护网行动即将开始,在护网行动中,我们如何更好的防守住红队的攻击,下面介绍几款工具,弥补目前防护设备检出能力不足的情况。并且如果使用工具相互交叉验证除了加分外,也能够更好帮助我们交叉确定不是误报,更大方便我们确定攻击的真实性。
-
beaconeye,从内存级别检出免杀的cobaltstrike,可以对红队spawn或注入攻击后没有exe实体的攻击类型检出
-
java内存马扫描器
-
gscan linux综合工具,扫描linux环境下各种攻击面,持久化,webshell等综合工具
-
红蓝对抗书签,整合了各种木马查杀,webshell查杀,威胁情报等
BecaconEye
我们直接运行程序,可以看到对每个进程扫描,之后会提示扫出的程序是cs远控。
Scanning for beacon processess...
(4952), Keys Found:True, Configuration Address: 0x907741264 (Please use the x86 version of BeaconEye to monitor)
BeaconType: 8
Port: 443
Sleep: 60000
MaxGetSize: 1048576
Jitter: 0
x.x.x.x,/__utm.gif :
UserAgent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MALC)
HTTP_Post_URI: /submit.php
print ;
:
base64 ;
header Cookie;
header Content-Type: application/octet-stream;
:
parameter id;
output:
print ;
Inject_Process: ????K??@??? <X1=1??
HTTP_Method1: GET
HTTP_Method2: POST
HttpPostChunk: 0
Spawnto_x86: %windir%syswow64rundll32.exe
Spawnto_x64: %windir%sysnativerundll32.exe
Watermark: 1234567890
StageCleanup: 0
CfgCaution: 0
KillDate: 0
Host_Header:
tomcat内存马检测
把tomcat-memshell-scanner.jsp
放到可能被注入内存的web项目中,直接路径访问即可。下图所示(图片来自于官网)。
gscan
使
用gscan扫描后,会有如下提示,逐一排查即可根据系统分析的情况,溯源后的攻击行动轨迹为:
[1][风险] 黑客在2021-10-10 13:59:33时间,进行了setuid 后门植入,文件/usr/bin/ntfs-3g 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[2][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ti_cc_2531 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
------------------------------
扫描完毕,扫描结果已记入到 /home/test/Desktop/GScan-master/log/gscan.log 文件中,请及时查看
红蓝对抗书签
功能如下所示,收集了常用病毒查杀工具,和红蓝对抗资料
使用时导入书签即可
,增加红蓝对抗的能力
参考
1.https://github.com/c0ny1/java-memshell-scanner
2.https://github.com/CCob/BeaconEye
对于上述工具已给出参考地址,大家可以自行编译,或者加入圈子(会将自己的工具集合和技术资料发布到圈子中,相互交流学习)
原文始发于微信公众号(RJ45实验室):溯源工具-蓝队加分利器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论