护网行动即将开始,在护网行动中,我们如何更好的防守住红队的攻击,下面介绍几款工具,弥补目前防护设备检出能力不足的情况。并且如果使用工具相互交叉验证除了加分外,也能够更好帮助我们交叉确定不是误报,更大方便我们确定攻击的真实性。
-
beaconeye,从内存级别检出免杀的cobaltstrike,可以对红队spawn或注入攻击后没有exe实体的攻击类型检出
-
java内存马扫描器
-
gscan linux综合工具,扫描linux环境下各种攻击面,持久化,webshell等综合工具
-
红蓝对抗书签,整合了各种木马查杀,webshell查杀,威胁情报等
BecaconEye
我们直接运行程序,可以看到对每个进程扫描,之后会提示扫出的程序是cs远控。
Scanning for beacon processess...(4952), Keys Found:True, Configuration Address: 0x907741264 (Please use the x86 version of BeaconEye to monitor)BeaconType: 8Port: 443Sleep: 60000MaxGetSize: 1048576Jitter: 0: x.x.x.x,/__utm.gifUserAgent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MALC)HTTP_Post_URI: /submit.phpprint ;:base64 ;header Cookie;header Content-Type: application/octet-stream;:parameter id;output:print ;Inject_Process: ????K??@??? <X1=1??HTTP_Method1: GETHTTP_Method2: POSTHttpPostChunk: 0Spawnto_x86: %windir%syswow64rundll32.exeSpawnto_x64: %windir%sysnativerundll32.exeWatermark: 1234567890StageCleanup: 0CfgCaution: 0KillDate: 0Host_Header:
tomcat内存马检测
把tomcat-memshell-scanner.jsp放到可能被注入内存的web项目中,直接路径访问即可。下图所示(图片来自于官网)。
gscan
使用gscan扫描后,会有如下提示,逐一排查即可
根据系统分析的情况,溯源后的攻击行动轨迹为:[1][风险] 黑客在2021-10-10 13:59:33时间,进行了setuid 后门植入,文件/usr/bin/ntfs-3g 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限[2][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ti_cc_2531 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限------------------------------扫描完毕,扫描结果已记入到 /home/test/Desktop/GScan-master/log/gscan.log 文件中,请及时查看
红蓝对抗书签
功能如下所示,收集了常用病毒查杀工具,和红蓝对抗资料
使用时导入书签即可
,增加红蓝对抗的能力
参考
1.https://github.com/c0ny1/java-memshell-scanner
2.https://github.com/CCob/BeaconEye
对于上述工具已给出参考地址,大家可以自行编译,或者加入圈子(会将自己的工具集合和技术资料发布到圈子中,相互交流学习)
原文始发于微信公众号(RJ45实验室):溯源工具-蓝队加分利器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论