终端盘查的思路如下:
-
拓展线索以获得更多信息;
-
确认线索的准确性以及可靠性,防止错误和无意义的开始;
-
上机检查需注意多种情况,有目标地检查失陷痕迹,可高效应急。
线索扩展
-
蠕虫病毒木马恶意程序类(常见的威胁情报有:
DDOS木马、钓鱼网站、传播恶意软件、漏洞攻击,ip属性常为网络设备、物联网设备,详细可参考中睿大学-IP溯源课程)
-
黑客攻击类(常见的威胁情报有:
C2服务器、曾存在钓鱼网站、互联网蜜罐告警、常见漏洞利用等,IP属性常为攻击者购买的VPS或者动态IP)
-
针对性攻击类(常见的威胁情报有:
关联APT组织的分析报告、开放VPN端口,属于TOR节点等)。
线索确认
域前置技术
如何验证
验证恶意域名的解析ip是否是该域名的解析ip,如果不是可能为域前置情况,查找真实ip可参考链接https://www.anquanke.com/post/id/239640,但一般遇到域前置找到真实ip难度较大,可以返回重新查找线索换个思路进行排查
动态域名
如何验证
1) 查询域名威胁情报,看域名标签
2) Google 搜索域名信息,看是否有域名标签
利用高可信域名做命令中转
如何验证
1)验证主机上实际产生恶意链接的IP是否为域名的解析IP(如果是:可能为上述情况,如果不是可能为域前置技术);
2)上线链接可真实访问;
3)一般为URL链接,访问即可获得指令(可能是加密的)
Nginx反向代理
如何验证
查询威胁情报看该c2是否有威胁标签,一般nginx服务器也为攻击者可控服务器,此类型不好溯源到真实C2服务器IP。
肉鸡C2
如何验证
查询威胁情报看该c2是否有威胁标签,或者肉鸡一般存在漏洞,可以尝试漏洞利用拿下权限。
云函数/网站托管
如何验证
Google搜索该C2子域名,一般可以找到对应的云函数或者网关托管业务,如果属于该业务的URL,则可以确定。
如何验证域名上线
通过IP反查存在域名,验证域名是否为上述域名可靠性的情况。
如何处理域名解析变动频繁的情况
上机查找进程时,以IP反查域名的实时解析IP为搜索条件。(用失陷主机nslookup-q=a 反查的恶意域名)
图:解析域名查询
图:流量设备查询
图:域名缓存查询
上机检查
1)在确认了恶意域名及解析ip和发起连接的资产后,进行上机排查:
a、Netstat -ano(windows)/netstat-antpleu(linux) 通过该命令查询ip连接并记录相应的进程
b、根据定位到的进程查看发起连接的映像名称和服务 tasklist /svc/fi “PID eq pid” (windows)/ ps aux | grep pid(linux)
wmic process get name,executablepath,processid|findstr PID
2)也可以右击任务栏打开任务管理器,切换到详细信息,找到对应进程右击打开对应文件位置
图:任务管理器
使用可参考链接:https://blog.csdn.net/weixin_44156885/article/details/105269063
图:tcpview网络连接
图:火绒剑安全排查工具
在上机后无法查询到相关进程可进行下列排查:
a、在无法直接查到解析ip时需要查询该域名历史的解析记录,可以将近一个月的域名解析记录ip进行整理,然后查询流量解析记录。
查询威胁情报网站地址:
https://community.riskiq.com/
https://www.virustotal.com/
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
图:解析记录查询
b、如果IP对应的进程已结束,可能恶意程序已不活动,可以安装Sysmon日志,该日志安装后可实时记录所有的进程和网络链接创建,安装后可定期检索Sysmon日志查找发起该IP链接的进程及文件。
在通过恶意域名或ip确定恶意文件后,需要对该恶意文件进行排查,消除威胁。
确定威胁文件之后首先需要查看文件属性,关注文件创建者,排查入侵路径:
Windows文件属性查看
右击文件选择属性切换到详细信息或者光标定位文件按键 alt +enter
图:文件属性查看
Linux 文件权限及创建者查看
ls -la 文件名
查看文件创建者
可从下面几个方面进行排查:
a、如果是administrator,可以查看是否该资产存在3389爆破日志
b、如果是iis说明为webshell操作
c、如果为 mysql和sqlserver 管理用户则有可能该资产存在注入漏洞,通过注入进来
关注文件创建时间、修改时间、访问时间,根据文件创建时间或检测到异常情况的时间对该资产在该时间段的新增文件进行排查。
Windows文件属性查看
图:文件创建时间
查看时间段文件创建可使用everything使用命令:
-
dm:年/月/日 搜索指定修改日期的文件和文件夹
-
dr: 年/月/日 搜索指定打开时间的文件和文件夹.
-
da: 年/月/日 搜索指定访问时间的文件和文件夹.
-
dc: 年/月/日 搜索指定创建日期的文件和文件夹.
图:指定创建时间文件搜索
时间区间搜索dm:2021/05/01-2021/05/02
linux 文件属性查看
stat 文件名称
查找指定时间段内的文件:
find log/ -name '*.log' -newermt '2021-05-17 00:00' ! -newermt '2021-05-17 23:00' (查找 在2021年5月17日零点到23点log目录下log后缀的文件)
按照告警时间对主机安全日志进行排查,如排查window(4625和4624日志),linux(ssh登录日志)是否通过主机侧入侵。
排查Web应用日志,如iis日志及apache日志,查看时间期间内是否有爆破、注入、上传可疑文件等攻击行为操作。
图:浏览器痕迹
http://1li.kim/index.php/archives/365/
图:lastactivityview工具
图:usb插拔记录
windows启动项排查
▲windows目录:按照告警时间线对启动项目录进行排查,windows启动项单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
▲服务启动项 按照告警事件对启动的服务进行排查,单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,选择取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
▲注册表修改默认不记录日志,可通过进行设定或者工具对注册表修改做审计
-
通过修改系统组策略可对注册表修改行为做监控,具体操作设置可参考链接https://blog.51cto.com/zhangyue1105/274291
-
可以使用工具Process Monitor 对注册表进行监控 使用安装参考链接https://blog.csdn.net/dpsying/article/details/51894060
-
开启注册表审核对命令auditpol进行设置,同样可以监控注册表变动,具体操作步骤可参考https://docs.microsoft.com/zh-cn/archive/blogs/cobold/monitoring-when-registry-keys-are-modified
▲组策略启动脚本,按照告警时间线对启动项组策略脚本进行排查,看是否有可疑执行脚本 。组策略,运行gpedit.msc,查看window设置下的脚本(启动/关机)
Linux启动项
▲按照告警时间线排查该目录下的文件 /etc/rc.d/rc.local,/etc/rc.local是/etc/rc.d/rc.local的软连接
▲按照告警时间线排查该目录下的文件 /etc/profile.d/*.sh/etc/profile.d/是bash的全局配置文件可以在开机时启动
▲按照告警时间线排查/etc/rc.d/rcX.d (X代表每个运行级别0-6个级别)一般出问题为2和3级别重点关注在对应目录下使用 ls -l 查看软连接对应的文件
▲按照告警时间线排查/etc/init.d/ 下的启动项文件看是否有可疑文件。
▲按照告警时间对其他安全设备日志以及全流量对ip所属区域的排查;
▲按照告警时间对该区域对业务层面排查(VPN,VPN日志,堡垒机,堡垒机操作日志,Web服务器)看是否有异常操作行为。
后续
图文转载自中睿天下蓝鸟安全团队
扩展阅读:
本文始发于微信公众号(中睿天下):应急响应|时间线线索关联分析排查方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论