原创 | 网络安全应急响应学习记录-接触

  • A+
所属分类:安全文章
原创 | 网络安全应急响应学习记录-接触
点击上方“蓝字”关注我们吧!
原创 | 网络安全应急响应学习记录-接触


之前学习了很多理论知识与操作流程,但未进行实际验证,未避免"纸上谈兵"这一哲学问题出现,故今天“实战”验证下前期所学,不敢奢求太多,此文对伙伴们有稍许即可,更盼望伙伴可以引导与指正,共同学习、共同进步,咳咳,闲聊到此,开始步入正题:


原创 | 网络安全应急响应学习记录-接触


了解敌人


欲先制敌,必先惑敌





主流Web攻击目的及现象




一般来说,没有无缘无故的攻击,攻击总是伴随着相关的目的性和攻击现象。


1.常见的主流Web攻击目的分类


数据窃取
数据窃取是指黑客一般通过获取相关数据进行进一步的利用变现。
案例:雅虎用户数据被窃取


原创 | 网络安全应急响应学习记录-接触


网页篡改
网页篡改是指对网站网页进行篡改/对重要网站植入暗链SEO。
案例:某网站被挂“黑页”


原创 | 网络安全应急响应学习记录-接触


恶意软件
恶意软件是指通过网站的安全漏洞,植入勒索病毒等,让受害者支付相关比特币或者其他的虚拟货币进行解密,以及利用漏洞植入挖矿程序,让受害者服务器/电脑成为矿机以挖取相关的虚拟货币。
案例:勒索病毒


原创 | 网络安全应急响应学习记录-接触


2.常见主流Web攻击现象
当网站遭遇了Web 攻击,通常会出现以下异常现象。


数据异常
数据异常是指通过各种手段发现数据外流、出现各种不合法数据以及网站流量异常伴随着大量攻击报文等。
例如:使用入侵检测系统检测异常数据


系统异常
系统异常是指服务器出现异常、异常网页、异常账号、异常端口等。
案例:系统登录异常


原创 | 网络安全应急响应学习记录-接触


系统CPU
根据CPU异常使用率,分析可疑进程。
案例:使用procexp进行分析


原创 | 网络安全应急响应学习记录-接触


网络数据异常
流量异常是指流量浮动明显与往常不一致,或者夹杂着异常攻击,出现这种情况很有可能已被病毒感染。
案例:防火墙提示服务器发出异常流量可能感染病毒


原创 | 网络安全应急响应学习记录-接触


告警异常
使用某些防护设备,当检测到攻击行为时,会进行告警操作,若出现告警情况,很有可能已被攻击,这个时候就需要仔细排查下了,但也可能是误报。
案例:攻击告警


原创 | 网络安全应急响应学习记录-接触





常见Web攻击入侵方式




命令执行
应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。


组件漏洞
例如:WebLogicWLS组件中存在远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击。


反序列化
通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。


注入攻击
例如Sql注入通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。


社工攻击
人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。


你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。


虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。


旁站攻击
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。


上传漏洞
利用上传功能的控制不足或者处理缺陷,或解析漏洞,让攻击者越权上传恶意文件,进行攻击行为。


信息泄露
例如泄露用户名、密码、内部人员信息等等,为进一步攻击做准备工作。


跨站攻击
例如利用xss漏洞进行下载病毒、木马,并进行窃取账号密码操作。


溢出攻击
Web服务器没有对用户提交的超长请求没有进行合适的处理,这种请求可能包括超长URL,超长HTTPHeader域,或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务,这一般取决于构造的数据。


拒绝服务
拒绝服务产生的原因多种多样,主要包括超长URL,特殊目录,超长HTTP Header域,畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当,因此出错终止或挂起。简单来说就是不想让你好过,我拿不到“权限”,你也别想用。

模拟演练

准备完毕,开始演练。




工具准备



Windows Sysinternals
Sysinternals工具是一套用于微软Windows平台,免费的高级管理、诊断和排错工具。
https://docs.microsoft.com/zh-cn/sysinternals/





事件一



张三在用电脑看电影,突然屏幕锁定了,开始以为是误操作,但和他一起看电影的李四感觉不对劲。


原创 | 网络安全应急响应学习记录-接触


这看的好好的,什么也没干怎么就锁屏了呢,还显示已登录,让输入密码。因前一阵老师讲了些计算机安全知识,李四想这个症状有点像被远程登录了,于是就说了句:不好坏了,被攻击了,张三惊了,来了句:mmp,我的珍藏啊,想到这里,就开始以下操作:


1.拔掉网线:防止被进一步攻击

2.输入密码:可以挤掉攻击者的远程登录状态(若网络未断开,并第一时间发现,攻击方还未进行下一步操作的时候),例如下图所示:


原创 | 网络安全应急响应学习记录-接触


输入密码后,进入学习资料文件夹,发现珍藏还在,放心了,但还是很害怕,于是就对李四说:四哥能不能帮我看看是咋回事,要是被攻击了,看看能不能找到这个憨批,他到底要干啥啊,还好我的珍藏还在,四哥的意识是真NB。


李四回:好,那我试试,正好检验下前阵子所学的知识,看看是不是被攻击了,要是被攻击了,高低要找到这个憨批,不行的话百度下学习下新的知识,实战不行咱俩问问"老师"。说着接过键盘鼠标,按Ctrl R 输入cmd打开了cmd窗口。


原创 | 网络安全应急响应学习记录-接触


检测是否有可疑账号存在

net user


原创 | 网络安全应急响应学习记录-接触


哎正常啊,不行,安全第一,我还是注册表查看下。

regit.exe


原创 | 网络安全应急响应学习记录-接触


修改SAM文件夹权限,已满足当前用户查询要求。注意:查询完毕后,不要忘记恢复之前的权限设置(因SAM文件夹的特殊性,注册表备份恢复效果不是很好)


原创 | 网络安全应急响应学习记录-接触

重新启动注册表编辑器,已让权限设置生效。
小技巧:按方向键↑,调用之前的命令。


原创 | 网络安全应急响应学习记录-接触


看的一个带特殊符合的账号,因之前学习的时候查询无这个账号,还真被攻击了,都创建账号了,这攻击者手速够快啊,一看就是单身多年。


原创 | 网络安全应急响应学习记录-接触


日志分析
知道被攻击后,分析系统日志,验证攻击者攻击方式,并查询其IP地址。cmd窗口输入eventvwr.msc(输入eventvwr.exe也可以打开),打开事件查看器。


原创 | 网络安全应急响应学习记录-接触


事件ID:4648,攻击者尝试登录,查询其访问IP。


原创 | 网络安全应急响应学习记录-接触


事件ID:4624,攻击者登录成功,登录用户:study 登录类型:10 登录IP:192.168.50.1


小知识:
登录类型10:远程交互(RemoteInteractive)
当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。


原创 | 网络安全应急响应学习记录-接触


事件ID:4672,申请了特殊权限。


原创 | 网络安全应急响应学习记录-接触


事件ID:4620,创建用户帐户:study ![网络安全应急响应学习记录接触20.jpg]


(/img/sin/M00/00/3E/wKg0C19Pkm6AHL-vAADm4j__-a0367.jpg) 事件ID:4732,study用户被添加到安全本地组。


原创 | 网络安全应急响应学习记录-接触


事件ID:4648,使用身份凭据在尝试登录


原创 | 网络安全应急响应学习记录-接触


总结:
2020-08-31 9:46:14 :攻击者进行远程登录,IP:192.168.50.1
2020-08-31 9:46:14 :攻击者申请特殊权限
2020-08-31 9:46:45 :攻击者创建隐藏账户
2020-08-31 9:46:45 :用户被添加到安全本地组
2020-08-31 9:48:26 :夺回控制权限


原创 | 网络安全应急响应学习记录-接触
原创 | 网络安全应急响应学习记录-接触
www.sec-in.com
在这里,探索技术与热爱
-扫码关注我们-
原创 | 网络安全应急响应学习记录-接触




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: