HW防守|应急溯源分析手册汇总篇

  • A+
所属分类:安全文章

Web漏洞应急篇


Shiro 攻击
特征rememberMe
恶意 Cookie rememberMe值构造
前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 -> 发送cookie

Apache Shiro处理cookie的流程
得到rememberMe的cookie值 -> Base64解码 -> AES-128-CBC解密-> 反序列化(readobject)


应急流程

设备查看告警信息,对rememberMe进行解密,查看反弹IP/域名进行进一步溯源。

rememberMe管理器代码中写到cookie加密密钥默认为AES算法,可以将黑客常用的攻击密钥做一个keylist进行解密,直接在解密内容里查看payload。


HW防守|应急溯源分析手册汇总篇
HW防守|应急溯源分析手册汇总篇

解密工具
https://github.com/Wh0ale/SHIRO_Rememberme_decode

排查思路,该漏洞都是通过rememberMe进行传入payload,直接对日志中shiro进行反编译即可查到相关信息(vps、未公开的利用链、特殊的payload)

HW防守|应急溯源分析手册汇总篇

Weblogic 攻击
流量层:可以直接查看到他的访问地址数据包内payload

如CVE-2020-2551(iiop)漏洞主要是通过 JtaTransactionManager 来进行加载 LDAP 协议的内容


HW防守|应急溯源分析手册汇总篇

在日志里显示:
Weblogic日志主要分为:Server日志、HTTP日志和DOMAIN日志;

1、Server日志
主要功能:记录Weblogic Server启动至关闭过程中的运行信息和错误信息。
日志结构:时间戳、严重程度、子系统、计算机名、服务器名、线程 ID、用户 ID、事务 ID、诊断上下文 ID、原始时间值、消息 ID 和消息文本。


2、DOMAIN日志
主要功能:记录一个DOMAIN下的各个Weblogic Server的启动至关闭过程中的运行信息和错误信息。
日志结构:
####<Oct 18, 2018 2:21:11 PM CST>     <[ACTIVE]ExecuteThread: '9' for queue: 'weblogic.kernel.Default (self-tuning)'> <> <> <> <1539843671288>  

iiop协议不会在http请求中有记录,应急主要注意domain日志的记录


HW防守|应急溯源分析手册汇总篇

应急流程:

t3协议
临时处置方式:
1.及时更新补丁
2.禁用T3协议
3.禁止T3端口对外开放, 或者限制可访问T3端口的IP来源
漏洞列表:
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893
CVE-2019-2890
CVE-2020-2555

iiop协议
临时处置:
1.及时更新补丁
2.通过 Weblogic 控制台进行关闭 IIOP 协议
漏洞列表:
CVE-2020-2551

Redis未授权

1.写webshell
2.写ssh密钥
3.写计划任务反弹shell

redis攻击方式请参考:
https://mp.weixin.qq.com/s/9fNVZy4k07bcIWGp5aSz5A

应急流程:

查看配置信息是否存在异常(根据显示信息可判断是哪种攻击方式)
config get *

HW防守|应急溯源分析手册汇总篇

写ssh密钥

HW防守|应急溯源分析手册汇总篇

反弹shell

HW防守|应急溯源分析手册汇总篇

写文件路径
查看key信息是否有攻击队特征信息

HW防守|应急溯源分析手册汇总篇

HW防守|应急溯源分析手册汇总篇

如果发现攻击队正在操作redis,可以使用 monitor命令进行检测

HW防守|应急溯源分析手册汇总篇

修复建议:
对于未授权漏洞,增加密码认证

冰蝎与内存马攻击
HW防守|应急溯源分析手册汇总篇

HW防守|应急溯源分析手册汇总篇

特征:后缀为动态脚本(jsp、asp、php) 请求体加密状态

内存马攻击特征:没有落地文件通常以 http://url.com/xxx/ (直接以某个文件夹为路径)

HW防守|应急溯源分析手册汇总篇

应急思路

针对webshell,可直接对web路径下查找动态脚本文件,也可以直接搜索文件内特征值

HW防守|应急溯源分析手册汇总篇

find / -name *.jsp | xargs grep "pass" 

(pass为特征值,可以修改。如果返回内容过多可自行修改特征)


HW防守|应急溯源分析手册汇总篇

对于内存马,虽然现在有各种文章分析如何提取,但最简单的方法还是重启解决问题。

如果想知道如何手动清理,请移步至:
https://mp.weixin.qq.com/s/DRbGeVOcJ8m9xo7Gin45kQ

修复建议:
1.根据漏洞来定,如果是程序漏洞修复即可
2.上传漏洞,禁止上传动态脚本文件,采用白名单机制仅允许特定后缀上传

Windows应急思路篇


Windows排查

对于已经留有后门的机器,可以对进程进行排查
使用pc hunter对文件签名进行校验,发现存在未签名文件(红色),重点对该文件进行分析

颜色:
1.驱动检测到的可疑对象,隐藏服务,进程,被挂钩函数的文件或进程>红色。
2.文件厂商是微软的>黑色。
3.文件厂商非微软的>蓝色。
4.校验所有数字签名后,对没有签名的模块或签名已过期或吊销的>玫红色。
5.查看下挂模块时,微软进程被下挂其他公司模块的>黄棕色。


HW防守|应急溯源分析手册汇总篇

定位文件,提取样本进行分析

HW防守|应急溯源分析手册汇总篇

直接把样本上传微步在线,奇安信威胁平台等 进行沙箱分析
微步在线:https://x.threatbook.cn/

奇安信:https://ti.qianxin.com/
360:https://ti.360.cn/

HW防守|应急溯源分析手册汇总篇


文件找不到可查看网络连接,对可疑外网IP进行威胁情报查询

HW防守|应急溯源分析手册汇总篇

HW防守|应急溯源分析手册汇总篇

针对可疑进程在pchunter 定位,如果无法上传工具,也可手动定位
命令:tasklist | findstr pid (网络连接最后一行数字)

HW防守|应急溯源分析手册汇总篇

HW防守|应急溯源分析手册汇总篇

ps:建议直接输入路径进入

如果还是没有结果,可在虚拟机快照中,对文件进行分析(注意运行时请使用手机热点网络,与单位网络隔离)

通过火绒剑对进程动作进行捕获

HW防守|应急溯源分析手册汇总篇

网络中可以查看,实时连接IP服务

HW防守|应急溯源分析手册汇总篇

如果病毒迁移进system ,封禁IP。后续查找主机问题,修补漏洞,重启即可。

Linux应急思路篇


对于攻击者来说,不管他如何隐藏,总要走流量。我们主要针对流量进行分析即可。

netstat -anlpt 查看是否存在恶意流量(通过威胁情报进行判定是否为恶意域名)

HW防守|应急溯源分析手册汇总篇

查找对应流量连接位置
ls -al /proc/PID (根据查到pid进程输入)

如 ls -al /proc/791
exe -> 指向启动当前进程的可执行文件(完整路径)的符号链接

详细分析:

https://www.cnblogs.com/liushui-sky/p/9354536.html

HW防守|应急溯源分析手册汇总篇

发现样本文件,上传微步在线分析数据

HW防守|应急溯源分析手册汇总篇

应急处置措施:


分析攻击手段,首先判断该主机为什么系统,上面跑了什么业务。根据业务去判断,可能存在漏洞,调取相应日志进行取证。如果上面没有业务,也没开放高危端口,可查看是否为弱口令登录,查看登录日志。

last为登录成功日志


HW防守|应急溯源分析手册汇总篇

lastb为登录失败,可查看是否爆破

HW防守|应急溯源分析手册汇总篇

也可以结合文件上传时间对比登录用户,进行分析

stat 查看日志创建时间


HW防守|应急溯源分析手册汇总篇

如果怀疑某个文件为木马控制端,可直接对文件进行调试查看传递信息
strace -p pid #调试进程

HW防守|应急溯源分析手册汇总篇

查看history可以查看攻击者执行历史记录,但可能被删除了

history 或 cat ~/.bash_history 查看历史命令,查找痕迹


HW防守|应急溯源分析手册汇总篇

应急措施:
1.对于存在漏洞的cms采取相应的修复方案
2.对于不知道攻击源的登录方式,可直接修改密码


HW防守|应急溯源分析手册汇总篇

HW防守|应急溯源分析手册汇总篇
祝HW顺利!
Timeline Sec 团队
安全路上,与你并肩前行









发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: