Mulval扩展规则(抗取证数据库)

最新推荐文章于 2023-11-03 19:37:43 发布
最新推荐文章于 2023-11-03 19:37:43 发布
阅读量652 收藏 3
点赞数
文章标签: 数据库 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43915129/article/details/124877782
版权

A LOGIC-BASED NETWORK FORENSIC MODEL FOR EVIDENCE ANALYSIS

下面以一个攻击网络为例,进行分析,攻击网络结构图如下:
在这里插入图片描述
系统内设备的IP和漏洞如下表所示:
在这里插入图片描述
从表中不难看出,攻击者存在三种攻击:利用漏洞CVE-2009-1918访问数据库;通过sql注入攻击(CWE89);XSS跨站脚本攻击。

在这一网络中,安装了入侵检测系统,能够检测一些恶意访问,但是由于snort工具的规则可能不是那么完备,对于某些攻击可能无法检测到,如:
1.未检测到攻击者发送给客户的要求更新客户机密信息的钓鱼url
2.攻击者首先攻破workstation,再利用workstation做跳板,攻击数据库,这种行为在入侵检测系统看来是无害的。攻击者能利用workstation,并且获得根权限,这使得攻击者可以使用反取证技术删除在workstation留下的痕迹

入侵检测系统得到的日志如下图所示:
在这里插入图片描述
对照前面的表,从入侵检测系统的日志中能看出攻击者利用漏洞CVE-2009-1918攻击了workstation;使用跨站脚本攻击XSS攻击Administrator设备;攻击者先攻占webserver2,再通过webserver2向database发动sql注入攻击(CWE89)

利用上述漏洞和设备间的访问关系,可以通过mulval得到该系统的攻击图为:
在这里插入图片描述
图中节点信息如下:

1:execCode(admin,apache)
2:RULE 2 (remote exploit of a server program)
3:netAccess(admin,tcp,80) 
4:RULE 7 (direct network access)
5:hacl(internet,admin,tcp) 
6:attackerLocated(internet) 
7:networkServiceInfo(admin,httpd,tcp,80,apache)
8:vulExists(admin,‘XSS’,httpd,remoteExploit,privEscalation)
9:execCode(workStation1,apache) 
10:RULE 2 (remote exploit of a server program)
11:netAccess(workStation1,tcp,80) 
12:RULE 7 (direct network access)
13:hacl(internet,workStation1,tcp,80)
14:networkServiceInfo(workStation1,httpd,tcp,80,apache)
15:vulExists(workStation1,‘CVE-2009-1918,httpd, remoteExploit,privEscalation)
16:execCode(workStation2,apache) 
17:RULE 2 (remote exploit of a  server program)
18:netAccess(workStation2,tcp,80)
19:RULE 7 (direct network access) 
20:hacl(internet,workStation2,tcp,80)
21:networkServiceInfo(workStation2, httpd,tcp,80,apache)22:vulExists(workStation2,CVE-2009-1918,httpd, remoteExploit,privEscalation)
23:netAccess(dbServer,tcp,3660) 
24: RULE 6 (multi-hop access)
25:hacl(webServer,dbServer,tcp,3660) 
26:execCode(webServer,apache)
27:RULE 2 (remote exploit of a server program)
28:netAccess(webServer,tcp,80) 
29:RULE 7 (direct network access) 
30:hacl(internet,webServer,tcp,80)
31:networkServiceInfo(webServer, httpd,tcp,80,apache) 
32:vulExists(webServer,‘CWE89’, httpd,remoteExploit,privEscalation)

攻击者存在三种攻击方式,最终得到四条攻击路径:
1.攻击者使用跨站点脚本攻击窃取管理员的会话ID并获得管理员的特权,攻击路径为6→4→3→2→1
2.攻击者使用SQL注入攻击(CWE89)。攻击路径为6→29→28→27→26→24→23
3.攻击者使用缓冲区溢出的漏洞CVE-2009-1918。攻击路径为
6→12→11→10→9 和 6→19→18→17→16

对于实现数据库的execcode(dbserver,user),有三种方法:使用跳板机,通过跳板机访问数据库;利用数据库软件的漏洞;通过sql注入获取身份,能合法访问数据库。
从rule节点无法看出是哪一种攻击方式,因此拓展mulval规则,定义了谓词:anti Forensics(Category,Tool, Technique, Windows,Linux,Privilege,Access,Software,Consequence),谓词中的参数如下表所示:
在这里插入图片描述
对一个反取证数据库定义如下图:
在这里插入图片描述

1.anti_Forensics(Category,Tool,Technique,Windows,Linux,Privilege,Access,Program,Consequence).
2. vulHyp(H, vulID,Software,Range,Consequence) :-
/* The following three predicates are from the abductive reasoning result */ 
3. vulExists(Host, vulID,Software,Access,Consequence), 
4. networkServiceInfo(Host,Software,Protocol,Port,Perm), 
5. netAccess(Host,Protocol,Port). 
/* Introduce a hypothetical vulnerability */ 
6. anti Forensics(Category,Tool,Technique,OS,Privilege,Access,Software,Effect). 
7. hostConfigure(Host,OS,Software). 

8. with hypothesis(vulHyp, Post-Condidtion) :
9. cleanState, 
10. assert(vulHyp(H, vulID,Software,Range,Consequence)), 
11. post-Condition.

vulHyp谓词表示攻击者可能用到的脆弱性攻击

利用新构建的规则生成的攻击图如下:
在这里插入图片描述
新得到的攻击图和原图的区别为,
1.原图中的攻击路径(6→19→18→17→16)被移除,在原图中这条攻击路径的目标为workstation2。这是因为workstation2是一台linux机器,而CVE-2009-1918是在windows系统中的漏洞
2.添加了一条新的攻击路径1→42→43,这是利用了administrator的会话id,对应网络钓鱼攻击
3.添加了在跳板机(workstation)和数据库之间的一条攻击路径(27→38→11),这是因为使用反取证数据库,规则系统发现攻击者可以通过workstation访问数据库。

WHOAMI???
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MulVAL工具安装包
11-11
MulVAL是企业安全分析工具,它使用漏洞扫描程序(OVAL/Nessus)来分析网络攻击路径
MulVal工具的安装以及配置
qq_41172122的博客
09-25 3429
MulVal工具的安装和配置mulval工具下载和安装说明:http://people.cs.ksu.edu/~xou/argus/software/mulval/readme.html1、安装JDK,配置java环境2、安装gcc(g++,make)3、安装XSB4、安装MulVal5、可能会出现的一些问题6、编译并试验环境运行结果 mulval工具下载和安装说明:http://people.c...
Kali下Mulval攻击图工具环境安装与配置
qq_31689083的博客
03-19 1473
参考网页: https://blog.csdn.net/PARIS9394/article/details/83962757 Mulval 是一款常用的网络安全分析工具,使用漏洞扫描程序来扫描网络漏洞,之后再生成攻击图进行安全分析。该工具在Mac和Linux下进行了正常的运行测试,其官方网址如下: http://people.cs.ksu.edu/~xou/argus/software/mu...
Mulval推理规则介绍以及攻击图生成实例
weixin_43915129的博客
05-03 3061
Title 文章目录一、Mulval谓词(一)谓词介绍(二)推理规则二、Mulval实战三、Mulval自定义规则 一、Mulval谓词 (一)谓词介绍 1.漏洞警告 vulExists(webServer, 'CAN-2002-0392', httpd). 表示扫描器发现了机器 web 服务器上的编号为CVE- CAN-2002-0392 的漏洞。漏洞涉及的程序为httpd。 vulProperty('CAN-2002-0392', remoteExploit, privilegeEscalation
基于Mulval生成的攻击图优化算法
weixin_43915129的博客
06-13 568
A novel approach for analysis of attack graph 文章目录一、摘要二、相关技术介绍(一) 一、摘要 本文主要是提出了一种算法来完善攻击图,以产生过渡图。过渡图能帮助我们理解分析攻击图并对漏洞进行监视 二、相关技术介绍 (一) ......
[更新中]MulVAL:基于逻辑推理的攻击图生成及风险评估工具
最新发布
Dalongggggg的博客
11-03 833
MulVAL是一个可以描述多主机、多阶段的基于逻辑推理的攻击图生成工具
MulVAL工具的安装和配置
编号9527的小铭同学的博客
11-11 4290
MulVAL工具的安装和配置概述安装 概述 MulVAL是企业网络安全分析的工具。它使用漏洞扫描程序(OVAL / Nessus)作为攻击路径生成的数源,其中包括扫描结果和网络可访问性信息。 其原始网页: MulVAL: A logic-based, data-driven enterprise security analyzer 里面包含工具基础的使用说明和这个团队的研究论文。 1.需要实现准备...
MULVAL安装步骤.txt
08-29
用虚拟机在ubuntu环境下安装MULVAL步骤,内含详细安装步骤,必要软件、插件下载链接,可能遇到的相关问题解决方案
rar安装工具包
12-16
安装工具包 rar win64 windows8 windows10, windows xp, windows 2012 R2 datacenter
漏洞数据集,漏洞数据集NVD.zip
04-07
1.NVD是美国国家通用漏洞数据库 2.漏洞数据包括2000年-2017年的漏洞数据(总共5万多条漏洞,23个漏洞类型) 3漏洞数据存储格式为xml,供软件安全研究人员使用 Step 1: Set up an empty MySQL database for ...
Mulval自定义规则-网络层劫持
weixin_43915129的博客
07-17 603
Mulval是一款常用的网络安全分析工具,使用漏洞扫描程序来扫描网络漏洞,之后再生成攻击图进行安全分析。传统的Mulval没有将考虑网络层错误配置带来的影响,本文将针对这一部分展开,介绍针对网络错误配置的自定义规则相关内容。下面给出一个ARP欺骗的场景在这个场景中,位于子网A的ftp的客户端准备和位于子网B的服务器端通信,攻击者也位于子网A,子网A中的所有结点都使用ARP协议获取MAC地址,攻击者可以利用ARP中漏洞欺骗位于子网A中的网关。得到攻击图如下httpshttps。...
使用MulVAL工具生成攻击图
YXq1373的博客
03-24 491
mulval工具在ubuntu20版本下的安装全过程
Mac安装攻击图生成工具MulVAL
Fancy_Handsome的博客
05-05 265
最近在做自动化渗透测试的研究,不可避免的接触到一个工具MulVAL,能够生成对目标网络的攻击图,对一些自动化渗透测试工具来说这是必不可少的一个工具.下面记录一下安装过程及避过的坑.提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
Mulval接入Nessus扫描数据文件,Neo4j生成攻击模拟图
qq_34550787的博客
07-15 733
最近由于工作原因接触了Mulval和Nessus,本文整理研究过程中遇到的问题,记录下来以备以后查看些许能给有需要的同学提供一些帮助。 我想主要写以下几点: 1:mulval的安装(这是一个开源软件,可以从github上clone参看源码研究)过程出现的一些问题 2:nessus安装 3:neo4j安装 ...
通过漏洞信息提取增强Mulval功能的策略分析
weixin_43915129的博客
05-04 307
Design Procedure of Knowledge Base for Practical Attack Graph Generation 文章目录一、摘要二、相关技术介绍(一) 一、摘要 二、相关技术介绍 (一)
MulVAL 工具安装配置
水林夕smile的博客
06-23 3193
mulval工具安装下载和安装说明: http://people.cs.ksu.edu/~xou/argus/software/mulval/readme.html1、XSB安装 https://github.com/flavioc/XSB/blob/master/INSTALL 主要步骤: 1)cd XSB/build 2)./configure 3)./makexsb 4)N
红蓝攻防对MulVAL攻击图入门
ailx10
06-13 958
最近因为宽带到期了,没有续费,所以最近一周没有发表文章。憋了一个星期,终于我的纯流量卡到了,我用的套餐是一个月29块钱,一个月200G流量,花了半个小时就顺利激活了,于是我又可以欢乐的更新文章了。说实话,也有部分原因是,因为我决定要考CISSP。我在阿里搬砖的博士同学,也劝我趁早考几个证,毕竟这些花里胡哨的东西在35岁的档口,能保命。今天的主题是红蓝对MulVAL是用于企业网络安全分析的工具。...
Mulval与Nessus联动
ailx10
07-02 637
最近收到阿里巴巴的猎头电话,蚂蚁金服安全研发,还有两个阿里巴巴安全部大佬,做安全检测产品、安全研发工作,加了微信。还有一个来自蚂蚁金服的知乎er,私信要了我微信,建议我把握这次阿里扩招的机会。这还好,都是安全岗。校友微信群里,也有很多大厂招聘,阿里巴巴赫然在目,另一个是字节跳动~想啥呢?工作三年不到,跳啥跳?人的精力是有限的,顾此失彼,最后活不成期望的样子。身边的例子,南哥211研究生,工作8年换...
攻击图生成工具mulval的安装和配置
weixin_30908707的博客
02-13 1246
https://doc.mbalib.com/view/8620168b35e50fbe9b005fee33c192ad.html http://www.bingbig.com/227.html 转载于:https://www.cnblogs.com/diyunpeng/p/10371860.html
kali linux下安装dnsdict6工具
服务猿
03-05 2436
最近迷上了linux的魔力,特别是kali渗透测试,就自己偷偷在学一些 搞到信息收集部分,发现挺多好用的小工具,比如dig,dnsenum,再比如这个dnsdict6,然后自己尝试的时候居然发现kali不带dnsdict6了,就去搜了很多安装教程 错误安装命令示范: wgethttp://www.thc.org/releases/thc-ipv6-2.7.tar.gz (会提...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值