應(yīng)急響應(yīng)-從理論到實(shí)戰(zhàn)
第一章:了解應(yīng)急響應(yīng)
作為網(wǎng)絡(luò)安全從業(yè)人員,網(wǎng)絡(luò)安全我們并不陌生,網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,保證系統(tǒng)連續(xù)、可靠、正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。面對各種新奇怪異的病毒和不計(jì)其數(shù)的安全漏洞,建立有效的網(wǎng)絡(luò)安全應(yīng)急體系并使之不斷完善,已成為信息化社會發(fā)展的必然需要。
至此,網(wǎng)絡(luò)安全應(yīng)急響應(yīng)就呼之欲出了,網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進(jìn)行監(jiān)控、分析、協(xié)調(diào)、處理、保護(hù)資產(chǎn)安全。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)主要是為了人們對網(wǎng)絡(luò)安全有所認(rèn)識、有所準(zhǔn)備,以便在遇到突發(fā)網(wǎng)絡(luò)安全事件時(shí)做到有序應(yīng)對、妥善處理。
第二章:應(yīng)急響應(yīng)流程
對于初學(xué)者來說,首先我們該知道我們?nèi)绾蝸響?yīng)對一次真正的應(yīng)急響應(yīng)工作,通過全流程來進(jìn)行學(xué)習(xí)更有利于我們快速上手。
一、響應(yīng):
(1)事件類型判斷:
(2)信息收集
信息收集主要是做:流量、日志、可疑進(jìn)程的內(nèi)存、失陷系統(tǒng)鏡像、惡意樣本、客戶資產(chǎn)收集、資產(chǎn)相關(guān)漏洞測試報(bào)告、防御設(shè)備的日志。此處附上推薦應(yīng)急響應(yīng)工具,鏈接如下:??https://github.com/ra66itmachine/GetInfo/??
- 阻斷所謂阻斷只有三步:關(guān)站、關(guān)服務(wù)、拔網(wǎng)線。
(1)切斷網(wǎng)絡(luò)
情況分很多種:失陷后業(yè)務(wù)仍正常運(yùn)行、失陷后業(yè)務(wù)受滯、失陷后業(yè)務(wù)停擺。不同的情況,網(wǎng)絡(luò)切斷因地制宜。
切斷網(wǎng)絡(luò)的目的:觀察病毒行為、觀察流量特征、阻斷對內(nèi)通信、阻斷對外連接。
舉個(gè)例子:一個(gè)醫(yī)院大規(guī)模失陷,但是業(yè)務(wù)正常運(yùn)作,這時(shí)候可以選擇切斷部分不重要的主機(jī)去觀察行為。
(2)阻斷傳播
傳播包括:對內(nèi)傳播(感染)、對外傳播(外聯(lián))
對內(nèi)傳播(感染):進(jìn)程注入/遷移、第三方軟件感染、服務(wù)傳播(ftp/ssh爆破等)
對外傳播(外聯(lián)):挖礦行為、外聯(lián)攻擊、c2通信
阻斷傳播應(yīng)從:軟件層面、流量層面、代碼層面、網(wǎng)絡(luò)層面。
例如:排查軟件被劫持、排查流量發(fā)現(xiàn)無文件落地、利用代碼審計(jì)發(fā)現(xiàn)容器加載內(nèi)存馬、阻斷網(wǎng)絡(luò)發(fā)現(xiàn)通過服務(wù)傳播的病毒。
(3)隔離核心資產(chǎn)/隔離受害主體(群體)
這一步是應(yīng)急響應(yīng)的最終目的,無論實(shí)施過程如何、無論使用什么工具都必須保證被保護(hù)與淪陷方的隔離。
隔離核心資產(chǎn)是為了做到三個(gè)原則:保護(hù)、避害、不損害。
隔離受害主體(群體)是為了保護(hù)第一現(xiàn)場、收集攻擊者信息等。
- 分析
分析是前提是提煉,提煉出關(guān)鍵信息分析。而提煉的前提是熟悉,了解攻擊手法。
(1)日志、流量、樣本分析
分析三大件:日志、流量、樣本。
日志主要注意的是:時(shí)間、動作、結(jié)果;這個(gè)行為什么時(shí)候開始、什么時(shí)候結(jié)束,這個(gè)動作是登陸、退出、修改等、造成的結(jié)果是登陸成功/失敗、上傳/下載了文件、執(zhí)行了代碼等。
流量主要注意的是:狀態(tài)碼、交互過程、數(shù)據(jù)合理性;每一次交互的狀態(tài)碼,交互過程中是否符合該種協(xié)議的正確交互過程,每個(gè)字段的填充、每次流量的渲染是否正常。
樣本主要注意的是:啟動方式、偽裝方式、作用;根據(jù)啟動方式去選擇沙箱或者分析工具;偽裝方式判斷是否加殼做免殺和打擊方式;根據(jù)作用去判斷受害范圍。
日志屬于靜態(tài)信息需要應(yīng)急人員清晰分辨出日志表達(dá)的內(nèi)容和快速篩選出可疑的點(diǎn)。流量和樣本屬于動態(tài)信息,應(yīng)急人員需要擁有一定的滲透能力去分辨交互行為。
(2)行為分析&還原攻擊過程
從行為出發(fā),還原攻擊路徑,推演攻擊過程。
行為分析基于三大件分析,結(jié)合系統(tǒng)表現(xiàn)出來的情況做分析,例如:啟動項(xiàng)、啟動腳本、進(jìn)程、內(nèi)存等。
還原攻擊過程需要對攻擊大致的情況有一個(gè)綜合判斷,且必須具備滲透能力,再此基礎(chǔ)上放入沙箱重新復(fù)現(xiàn)攻擊過程,對后續(xù)的步驟提供幫助。
①下面是我整理出來的windows和linux應(yīng)急響應(yīng)的基本手工分析收集命令:
第一步:系統(tǒng)排查
1.windows系統(tǒng)
命令行中輸入【msinfo32】命令--查看服務(wù)、驅(qū)動
命令行中輸入【systeminfo】命令--簡單查看系統(tǒng)版本/主機(jī)名
2.linux系統(tǒng)
命令行中輸入【lscpu】命令,可查看 CPU 相關(guān)信息
命令行中輸入【uname -a】命令,可查看當(dāng)前操作系統(tǒng)信息
命令行中輸入【cat /proc/version】命令,可查看當(dāng)前操作系統(tǒng)版本信息
命令行中輸入【lsmod】命令,可查看所有已載入系統(tǒng)的模塊信息
第二步:啟動項(xiàng)
1.windows系統(tǒng)
命令行中輸入【msconfig】命令,可查看啟動項(xiàng)的詳細(xì)信息
2.linux系統(tǒng)
使用【cat /etc/init.d/rc.local】命令,可查看 init.d 文件夾下的 rc.local 文件內(nèi)容。
使用【cat /etc/rc.local】命令,可查看 rc.local 文件內(nèi)容。
使用【ls -alt /etc/init.d】命令,可查看 init.d 文件夾下所有文件的詳細(xì)信息
第三步:任務(wù)計(jì)劃
1.windows系統(tǒng)
終端輸入【Get-ScheduledTask】命令,可查看當(dāng)前系統(tǒng)中所有任務(wù)計(jì)劃的信息
命令行中輸入【schtasks】命令,可獲取任務(wù)計(jì)劃的信息
2.linux系統(tǒng)
命令行中輸入【crontab -l】命令,可查看當(dāng)前的任務(wù)計(jì)劃
輸入【ls /etc/cron*】命令查看 etc 目錄下的所有任務(wù)計(jì)劃文件
第四步:防火墻
1.windows系統(tǒng)
命令行中輸入【netsh】命令進(jìn)行查看。
使用【netsh Firewall show state】命令,可顯示當(dāng)前防火墻的網(wǎng)絡(luò)配置狀態(tài)
2.linux系統(tǒng)
無
第五步:進(jìn)程排查
1.windows系統(tǒng)
命令行中輸入【tasklist】命令,可顯示運(yùn)行在計(jì)算機(jī)中的所有進(jìn)程
輸入【tasklist /svc】命令,可以顯示每個(gè)進(jìn)程和服務(wù)的對應(yīng)情況
輸入【tasklist /m】命令進(jìn)行查詢某些加載 DLL 的惡意進(jìn)程
使用【netstat -ano | findstr "ESTABLISHED"】命令查看目前的網(wǎng)絡(luò)連接,定位可疑的 ESTABLISHED
使用【tasklist | find "2856"】命令可查看具體的程序
使用【Get-Wmi ObjectWin32_Process | select Name, ProcessId, ParentProcessId, Path】命令中 Get-WmiObject Win32_Process 表示獲取進(jìn)程的所有信息
使用【wmic process get name,parentprocessid,processid /format:csv】命令,以 csv 格式來顯示進(jìn)程的名稱、父進(jìn)程 ID、進(jìn)程 ID
2.linux系統(tǒng)
利用【ls -alt /proc/PID】命令,可查看其對應(yīng)的可執(zhí)行程序
使用【kill -9 PID】命令結(jié)束進(jìn)程
第六步:服務(wù)排查
1.windows系統(tǒng)
輸入【services.msc】命令,可打開【服務(wù)】窗口
2.linux系統(tǒng)
命令行中輸入【chkconfig --list】命令,可以查看系統(tǒng)運(yùn)行的服務(wù)
第七步:文件痕跡排查
1.windows系統(tǒng)
檢查各個(gè)盤下的 temp(tmp)相關(guān)目錄、瀏覽器的歷史記錄、下載文件和 cookie 信息
使用【forfiles /m *.exe /d +2020/2/12 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null】命令就是對 2020/2/12 后的exe 新建文件進(jìn)行搜索。
2.linux系統(tǒng)
檢查/tmp 目錄和命令目錄/usr/bin /usr/sbin
檢查~/.ssh 及/etc/ssh 也經(jīng)常作為一些后門配置的路徑
使用命令【find / -ctime 0 -name "*.sh"】,可查找一天內(nèi)新增的 sh 文件
第八步:日志排查
1.windows系統(tǒng)
使用【Get-WinEvent -FilterHashtable @{LogName='Security';ID='4625'}】命令,
也可獲取安全性日志下事件 ID 為 4625 的所有日志信息
FullEventLogView 工具(綠色安裝,方便使用)
2.linux系統(tǒng)
Linux 系統(tǒng)中的日志一般存放在目錄“/var/log/”下
第九步:內(nèi)存排查和流量分析
常用的提取工具有 Dumpit、Redline、RAM Capturer、FTK Imager 等--提取出的文件上傳到 virustotal 平臺并進(jìn)行掃描判斷
常用的內(nèi)存分析工具有Redline/Volatility,舉例wireshark
使用【ip.addr ==ip】命令,可對特定 IP 地址進(jìn)行過濾
使用【ip.src==ip】命令,可對指定的源 IP 地址進(jìn)行過濾
直接輸入 HTTP、HTTPS、SMTP、ARP 等協(xié)議進(jìn)行篩選
使用【top.port==端口號】或【udp.port==端口號】命令,可對端口進(jìn)行過濾
使用【tcp contains strings】命令,可對數(shù)據(jù)包中的關(guān)鍵字進(jìn)行檢索
第十步:Linux 系統(tǒng)排查webshell
find ./ -type f -name "*.jsp" |xargs grep "exec("
find ./ -type f -name "*.php" |xargs grep "eval("
find ./ -type f -name "*.asp" |xargs grep "execute("
find ./ -type f -name "*.aspx" |xargs grep "eval("
搜索目錄下適配當(dāng)前應(yīng)用的網(wǎng)頁文件,查看內(nèi)容是否有 Webshell 特征,很多木馬和大馬都帶有典型的命令執(zhí)行特征函數(shù),如 exec()、eval()、execute()等
四、清除
我們要做的與滲透無異——“做好清除,藏好自己”。(1)非對抗情況下在不存在對抗的情況下,最極端就是全盤重裝,稍次就是數(shù)據(jù)遷移后對系統(tǒng)盤重裝。在普通情況下,我們可以進(jìn)行針對性的殺進(jìn)程、刪文件、殺軟清除。(2)存在對抗情況下對抗情況就是:頑固馬與不死馬存在,或者被持續(xù)攻擊(apt)。
這樣的情況下,首選是在允許情況下打補(bǔ)丁,再恢復(fù)。找到攻擊行為的源頭,先補(bǔ)上漏洞再清除。
五、加固
加固就是打補(bǔ)丁、對系統(tǒng)進(jìn)行限制(網(wǎng)絡(luò)隔離、行為管理等)、升級防御設(shè)備、完善防御流程(防御設(shè)備的部署、人員的部署、規(guī)則庫的升級)
第三章:應(yīng)急響應(yīng)實(shí)戰(zhàn)
在了解過應(yīng)急響應(yīng)的一些基本概念和指導(dǎo)手冊,當(dāng)然唯有實(shí)戰(zhàn)操作才能讓我們更快的掌握應(yīng)急響應(yīng)的基操。
打開靶機(jī),先看題目,讓我們來看看應(yīng)急響應(yīng)我們需要做什么~
開整開整,給出我們遠(yuǎn)程連接主機(jī),不管那么多,先登上去看看
發(fā)現(xiàn)只有一個(gè)phpstudy_pro界面,其他的啥也沒有。
第一步,提權(quán)方式
我們首先判斷應(yīng)急響應(yīng)事件類型,才能對癥下藥,這不巧了,看一下題目要找木馬,找后門,這場景都給出答案找webshell,按照套路,根據(jù)我搜集起來的webshell工具(如下),先整活起來~
河馬掃一下站點(diǎn)目錄如圖1,掃出了16個(gè)可疑后門如圖2,查看這些.php文件如下如圖3,人為確認(rèn)后一個(gè)也不是,并沒有找到所謂的木馬
圖1
圖2
圖3
估摸著是做了免殺處理,查看一下apache日志
通過日志可以發(fā)現(xiàn)最開時(shí)是在進(jìn)行sql注入,各種payload,后面就開始掃目錄了
初步一看也沒有找到所謂的木馬文件,既然他進(jìn)行了sql注入,就有可能通過sql拿到shell進(jìn)而提權(quán),于就去sql文件夾下面看看,
結(jié)果就找到了udf.dll文件,那么第一步黑客的提權(quán)方式就應(yīng)該是udf提權(quán)了
第二步,找“黑客的webshell”
這里實(shí)在沒有什么好的套路,只能從日志分析圖1中來發(fā)現(xiàn),這是一件很大的工作量,發(fā)現(xiàn)是從一堆post請求日志中,發(fā)現(xiàn)了一個(gè)get請求,然后就去看了一下,結(jié)果真是webshell,webshell在/dede/inc/config_sys.php
圖1
第三步 黑客的賬號
這個(gè)就是比較簡單了,windows和linux中查看基礎(chǔ)信息的活,我們在windows下用net user查看~
刪除的話倆種方式,①命令行模式:net user xxx /delete;②圖像化界面:服務(wù)器管理器-->配置-->本地用戶和組-->用戶,刪除用戶就行
第四步 后門木馬
我們使用命令 netstat -ano查看,這個(gè)無論是windows還是linux中都是通用的,如下,netstat -ano 查看目前建立的連接,直接鎖定23.23.23.23
第五步 加固服務(wù)器
也是比較簡單的題,我們在開始菜單->本地安全策略->賬戶策略->密碼策略 修改密碼最小長度即可。
另外多提一句,linux中在加固服務(wù)器基本操作中,我們使用vim編輯器編輯/etc/pam.d/system-auth參數(shù)即可~
第六步 刪除木馬
通過第四步得到的IP找到進(jìn)程號6184,使用【tasklist | find "6184"】命令可查看具體的程序,最后直接鎖定system6.exe,刪除就完成
Ps:這里的system6.exe為啟動項(xiàng)中,我們直接在系統(tǒng)配置中關(guān)閉啟動項(xiàng)在刪除也是不能成功的,這里推薦D盾,安裝后直接在進(jìn)程查看也能發(fā)現(xiàn)system6.exe,可以直接關(guān)閉程序在刪除。
第七步 修復(fù)漏洞
由第一步已知是udf提權(quán),udf即用戶自己自定義函數(shù),通過添加新函數(shù),擴(kuò)充mysql的功能,而使用udf提權(quán),需要通過sql來進(jìn)行文件讀寫,故限制其文件讀寫的權(quán)限即可修復(fù)該漏洞,這里查找資料,發(fā)現(xiàn)secure_file_priv 可以實(shí)現(xiàn)修復(fù)漏洞
我們在mysql配置文件下my.ini中【mysqld】中添加secure_file_priv=null 如下
重啟一下mysql數(shù)據(jù)庫,再去check一下,搞定!
理論加實(shí)踐,應(yīng)急響應(yīng)輕松拿下!
第四章:應(yīng)急響應(yīng)總結(jié)
- 應(yīng)急人員應(yīng)有自己的方法論,對不同攻擊的威脅建模,擁有威脅情報(bào)分析能力,結(jié)合工具的輔助進(jìn)行現(xiàn)場響應(yīng)與遠(yuǎn)程支撐。
工具和排查點(diǎn)大同小異,提升方法在于應(yīng)急人員的是否熟悉該種攻擊,利用特征和行為去排查更節(jié)省時(shí)間。
3.紅藍(lán)同源,應(yīng)急響應(yīng)屬于藍(lán)隊(duì),但必須具備一定的滲透能力。
Ps:下面是我整理歸納出來的一些提高效率的工具
01、多引擎在線病毒掃描
當(dāng)發(fā)現(xiàn)一個(gè)可疑的異常文件,使用多個(gè)不同的病毒引擎進(jìn)行掃描檢測,確認(rèn)文件是否是惡意代碼。
①VirSCAN:免費(fèi)多引擎在線病毒掃描1.02版,支持47個(gè)殺毒引擎。
https://www.virscan.org/
②VirusTotal:一個(gè)提供免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站。
https://www.virustotal.com/
③Jotti:惡意軟件掃描系統(tǒng),使用幾個(gè)反病毒程序進(jìn)行掃描可疑文件。
https://virusscan.jotti.org
02、病毒查殺軟件
聯(lián)網(wǎng)狀態(tài)下,直接下載殺毒軟件進(jìn)行全盤掃描查殺。
①360殺毒:整合了五大領(lǐng)先查殺引擎,殺毒查殺率比較高。
https://sd.360.cn/
②火絨安全軟件:一款非常精致的軟件,包含了火絨劍,安全專業(yè)人士很好用的分析工具。
https://www.huorong.cn/
03、病毒清除工具
無法聯(lián)網(wǎng)時(shí),可使用綠色免安裝的病毒清除工具,掃描電腦中的所有文件。
①Dr.Web CureIt:綠色免安裝版本,具有單機(jī)版Dr.Web的所有功能。
https://free.drweb.ru/download+cureit+free/
②Rootkit后門檢測工具:用于在本地檢查rootkit后面的工具。
chkrootkit:http://www.chkrootkit.org
04、勒索病毒搜索引擎
勒索病毒自救最有力的工具,輸入病毒名或加密文件后綴名,就可以找到解密工具或者了解病毒詳情。
①【騰訊】 勒索病毒搜索引擎,支持檢索支持檢索超過 1000+ 種常見勒索病毒。
https://guanjia.qq.com/pr/ls/
②【360】 勒索病毒搜索引擎,支持檢索超過上800種常見勒索病毒。
http://lesuobingdu.360.cn05
05、Webshell檢測工具
網(wǎng)站被入侵時(shí),我們需要一款Webshell檢測工具,來幫助我們發(fā)現(xiàn)webshell,進(jìn)一步排查系統(tǒng)可能存在的安全漏洞。
①D盾_Web查殺:http://www.d99net.net/index.asp
②百度WEBDIR+:https://scanner.baidu.com/
③河馬webshell查殺:http://www.shellpub.com
06、安全分析工具
①SysinternalsSuite:包含一系列免費(fèi)的系統(tǒng)分析工具,如Process Explorer、啟動項(xiàng)分析工具 AutoRuns等。
https://docs.microsoft.com/zh-cn/sysinternals/downloads/
②PCHunter:一款強(qiáng)大的手工殺毒輔助工具。
http://www.xuetr.com
07、日志分析工具
我們經(jīng)常需要處理各種日志,如系統(tǒng)日志、WEB日志、DNS日志等,一款簡單好用的日志分析工具,可以大大提升效率。
①Log Parser:微軟公司出品的日志分析工具,它功能強(qiáng)大,使用簡單。
https://www.microsoft.com/en-us/download/details.aspx?id=24659
②EmEditor :可能是世界上最快的Windows文本編輯器,支持高達(dá)248 GB的大文本。
https://www.emeditor.com/#download
本文作者:zhj123456, 轉(zhuǎn)載請注明來自FreeBuf.COM
