應急響應|入侵的通用處置流程
應急響應通用方法
查看日志
通過 cmd 輸入 eventvwr.msc 打開事件查看器
在 % SystemRoot%\System32\Winevt\Logs\ 位置存放著日志文件
常見的事件 ID
安全日志
security.evtx
PLAINTEXT
1 2 3 4 5 6 7 8 4624 -成功登錄 4625 -失敗登錄 4647 -成功注銷 4720 -創建?戶 4722 -啟?賬戶 4724 -重置密碼 4732 -添加?戶到組 4738 -修改賬戶
遠程登錄日志
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
PLAINTEXT
1149:?戶認證成功 ? 21:遠程桌?服務:會話登錄成功 ? 22:遠程桌?服務: 已收到 Shell 啟動通知 ? 24:遠程桌?服務:會話已斷開連接 ? 25:遠程桌?服務:會話重新連接成功
連接其他機器日志
Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx
PLAINTEXT
? 1024:RDP ClientActiveX 正在嘗試連接到服務器(ip)
? 1102:客戶端啟動了到服務器 ip 的多傳輸連接
系統日志
PLAINTEXT
1 2 ? 7034:日志重新導入 ? 104、1012:日志被清除
日志分析工具
EvtxLogparse
款用于快速篩查整理日志的工具,貼近實戰場景
PLAINTEXT
基礎用法 evtxLogparse.exe -s success security.evtx #SMB登錄成功 evtxLogparse.exe -s fail security.evtx #SMB登錄失敗 evtxLogparse.exe -r success security.evtx #RDP登錄成功 evtxLogparse.exe -r fail security.evtx #RDP登錄失敗
Aurora
https://github.com/cyb3rfox/Aurora-Incident-Response
進行入口溯源排查時,可以填入相應的地址時間,快速整理出一張攻擊分析圖,適用于大型網絡
在線威脅分析平臺
PLAINTEXT
深信服威脅情報中心 http//ti.sangfor.com./analysis-platform 微步在線 http//x.threatbook.cn 沙箱地址 http//s.threatbook.cn 天際友盟 http//redqueen.tj-un.c/IntelHome.htm 啟明星辰 http//www.venuseye.com./ VirusTotal威脅情報中心 http//www.virustotal.com 在線沙箱AnyRun http//app.any.run 勒索病毒查詢 http//lesuobingdu.#
web 日志分析
系統 log 日志
尋找帶有 log 的目錄
IIS 日志
存放位置 C:\WINDOWS\system32\LogFiles\
默認日志命名方式:ex + 年份的末兩位數字 + 月份 + 日期 +.log
apache 日志
Windows: Linux:/usr/local/apache/logs
webshell 查殺
windows
1、使用 D 盾、安全狗等 webshell 查殺工具進行查殺
2、使用 everything 搜索 web 目錄下的腳本文件
linux
掛載磁盤使用 d 盾進行查殺
http//github.c/winf/sshfs-win
下載安裝好兩個程序
輸入 linux 相應的賬密
PLAINTEXT
1 \\sshfs\root@x.x.x.x\..\
內存馬
簡介:隨著攻防演練熱度越來越高,攻防雙方的博弈,流量分析、EDR 等專業安全設備被藍方廣泛使用,傳統的文件上傳的 webshell 或以文件形式駐留的后門越來越容易被檢測到,內存馬使用越來越多。內存馬又名無文件馬,見名知意,也就是無文件落地的 Webshell 技術。內存馬就是將 Webshell 注入到容器中的常駐進程中,將路由和 Webshell 進行綁定,就可以實現訪問任意 url 或者指定 url,帶上命令執行參數,即可讓服務器返回命令執行結果。由于內存馬沒有文件落地,所以攻擊者比較喜歡在 Web 服務上寫入內存馬進行權限維持。特別是在遇到 Java Web 開發的網站且網站存在代碼注入、反序列化漏洞時,就會通過這些漏洞寫入內存馬,然后用 Webshell 管理工具連接。
哥斯拉內存馬
冰蝎內存馬
蟻劍內存馬
排查處置
1、進行關機重啟可清除內存馬
2、java-memshell-scanner
http//github.c/c0n/java-memshell-scanner
下載內存馬檢測工具 放置在根目錄下把對應的進行 kill 掉
3、Copagent
http//github.c/LandGr/copagent
使用 cop.jar 工具,運行 java -jar cop.jar,運行后會在.copagent 目錄生成結果
webshell 流量特征
蟻劍
數據包字段以 0x 進行開頭
冰蝎 2.0
快速識別特征方式
1、冰蝎 2 默認 Accept 字段的值很特殊,而且每個階段都一樣
Accept: te/html, ima/gif, ima/jpeg, *; q=.2, /**; q=.2
2、Content-Length
Content-Length: 16, 16 就是冰蝎 2 連接的特征
流量特征共分為兩次 get 請求,第一次請求服務端產生密鑰寫入 session,第二次請求用于獲取 key
htt//tools.bugscaner.c/cryptoaes
到該網站使用上面的 key 進行 AES 解密,解密后的內容為 base64 編碼后的結果
冰蝎 3.0
快速識別特征方式
1、Accept 字段
冰蝎中使用的 Accept 字段與常規瀏覽器使用的不同,且每次請求使用的 Accept 內容都相同
2、長連接
冰蝎通訊默認使用長連接,避免了頻繁的握手造成的資源開銷。默認情況下,請求頭和響應頭里會帶有 Connection: Keep-Alive
3、較長的 base64 編碼的請求包
在加密通訊時,p/jsp shell 會提交 base64 編碼后的請求數據
哥斯拉
請求含有 pass=
Cobaltstrike
BeaconEye 的核心原理是通過掃描 CobaltStrike 中的內存特征,并進行 BeaconConfig 掃描解析出對應的 Beacon 信息,項目地址是
http//github.c/CC/BeaconEye
常見的攻擊事件分析
Struts2
特征
PLAINTEXT
1.content-type出現異常字段,非MIME類型標識
2.字段格式為典型的注入代碼格式%{ognl}
3.存在命令執行方法java.lang.ProcessBuilder().start()
4.執行命令“whoami”,返回包中返回執行成功信息“root”
5.出現類似于“3345*23565”的日志,通常都是掃描器掃描的日志
weblogic
CVE-2017-10271 特征
PLAINTEXT
1.目標端口7001 2.URL包含/wls-ws/CoordinatorPortType 3.body部分為xml字段 4.執行命令“whoami”,返回包中返回執行成功信息“root”
CVE-2019-2725 特征
PLAINTEXT
1.目標端口7001 2.URL包含字/_asy/AsyncResponseService 3.body部分為超長xml字段,且為byte字節碼 4.返回包無回顯,狀態碼為202
shiro
特征
PLAINTEXT
1.cookie頭的rememberMe字段超長 2.解密rememberMe可獲取異常信息 在線解密網站:http//vulsee.c/too/shiro/shiroDecrypt.html http//simolin./too/shi/ 3.若有回顯,可以看到執行的相關命令和回顯結果
fastjson
PLAINTEXT
1.body部分為json格式 2.body部分含有“dataSourceName”字段,且內容為 rm///exp或者lda///exp 3.body部分必定含有“@type”字段(指定反序列化類,調用類中屬性的特定請求方法) 4.返回包狀態碼為500
