一 前言
告警日志分析是一种通过对系统、应用程序或网络设备生成的告警日志进行处理和分析,以揭示潜在问题、异常行为或威胁的过程。告警日志分析对于监控系统和网络安全至关重要。通过对告警日志进行持续的分析,可以帮助发现并应对潜在的问题、漏洞和攻击,提高系统的可靠性和安全性。
以下是SQL注入攻击的告警日志和数据包;可以从告警信息里看到攻击者在尝试SQL注入攻击,命中了安全设备的策略和规则,所以该攻击被成功拦截。但分析这条payload发现,攻击者也可能在尝试挖掘XSS漏洞。
|
|
以下是StrutS2系列代码注入攻击的告警日志和数据包:从告警信息里可以看到该攻击的类型是Struts2系列代码注入,攻击的payload命中了防护策略,所以该攻击被成功拦截了。
|
|
在态势感知中,确定告警信息是误报还是真实攻击是非常重要的,以下是一些常见的判断方法:
1、事件验证:对告警事件进行验证和分析,包括查看相关日志、检查网络流量和系统行为,以确定是否存在真实攻击迹象。
2、威胁情报分析:比较告警信息与已知的威胁情报进行匹配。如果告警信息与已知的威胁行为相符,可能表明存在真实攻击。
3、行为分析:通过对受影响系统或网络的行为进行分析,识别异常活动。例如,检测到大规模登录失败、非授权访问等异常行为可能表明存在攻击。
4、安全设备协同:结合不同安全设备(如防火墙、入侵检测系统)的告警信息,进行综合分析。多个设备产生相似的告警可以增加判断的准确性。
5、情境分析:考虑当前系统环境和网络状态,结合告警信息进行综合分析。例如,如果告警事件发生在业务高峰期或系统升级期间,可能是误报。
6、恶意行为识别:基于已知的攻击模式和行为特征,对告警信息进行匹配和分析,判断是否存在恶意行为。
7、响应验证:对于可疑告警事件,进行深入调查和响应验证,使用额外的工具和技术确认是否存在真实攻击。
常见的攻击类型有远程代码执行、文件上传、sql注入、未授权访问、任意文件读取等漏洞。
以下是远程代码执行过程的流程图:
|
|
这里列举RCE类的攻击特征。
远程RCE类的漏洞有:
JAVA:Spring、weblogic、Struts2、Springboot、shiro等;
PHP:ThinkPHP、laravel等;
OA系统:致远、通达、蓝凌OA等;
安全设备:某上网行为管理、某神安全设备等。
 |
在态势感知中,判断RCE(远程代码执行)利用是否成功并非易事,尤其是对于零日攻击,设备可能无法直接检测出来。然而,通过分析攻击者的攻击行为,可以提供一些线索来间接判断是否发生了RCE利用。以下是一些常见的方法:
1、异常流量:监测网络流量的变化,特别关注与攻击有关的协议、端口和特征。如果发现异常的流量模式,可能暗示着攻击者已经成功利用了RCE。
2、异常系统行为:监测服务器系统的异常行为,如进程创建、文件操作、系统配置更改等。特别关注与RCE利用相关的系统调用和远程命令执行。
3、恶意程序和脚本:通过写入或远程下载并执行恶意脚本。发现这些不明行为的存在可能暗示RCE利用已经成功。
4、异常网络连接:监测与服务器建立的异常网络连接,包括外部与服务器的通信、C2通信和潜在的数据泄露等。
|
|
可以特别注意近两年新出的各类框架组件、OA系统、CMS系统、安全设备的高危漏洞。
https://mp.weixin.qq.com/s/CNgIYWIN8vG_cnBLPwOdjw2023年间建议关注的高危漏洞清单
*左右滑动查看更多
1、搜索高危字符串
比如shiro反序列化,可以通过关键字为“deleteMe”、“rememberMe”,通过关键字的搜索,可以有效的找到可能被攻击成功的日志信息。
涉及到RCE的关键字,如“exec、system、popen、eval、Runtime.exec““ProcessBuilder.command、bash、powershell”,这些关键字可以用来检测是否存在对应的代码或命令执行行为,以判断是否发生了RCE攻击。
涉及到服务器去主动请求下载恶意文件的关键字,如“curl”、“wget”、“certutil”、“ftp”、“axel”、“powershell”、“aria2c”,powershellWindows系统上的脚本和命令行工具,可用于执行下载操作;aria2c支持同时从多个源下载文件的命令行下载器;使用"curl"或"wget"可以方便地自动下载文件。
2、检索IP的日志
搜索语句:src_ip:IP、dst_ip:IP,具体的搜索语句视不同的安全设备而改变;
|
|
1、查找思路
根据态势感知平台提示的Log4j2漏洞,分析告警信息。
|
|
直接搜索关键字:
“${jndi:ldap”、“${jndi:rmi”、“${jndi”2、分析案例
态势感知检测到Log4j2远程代码执行成功的安全事件。
|
|
通过查看日志,发现服务器主动请求远程class对象,并且看到User-Agent:Java/1.8.0_131,可以确定为Log4j2-RCE漏洞利用的第二阶段。说明攻击者已经成功对服务器注入java对象,导致任意命令执行。
|
|
可以分析到攻击者已经用Log4j2远程代码执行成功,并内网横向攻击。
|
|
总结起来,通过识别安全告警,分析相关的安全日志和进行流量分析,我们可以找出有价值的安全事件。同时,通过站在攻击者的角度进行思考,我们可以进一步挖掘更多的安全事件。这种综合的方法可以帮助我们更好地理解和应对系统中的潜在安全威胁。
原文始发于微信公众号(安恒信息安全服务):九维团队-蓝队(防御)| 告警日志分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论