网络安全应急响应学习记录-接触

  • A+

之前学习了很多理论知识与操作流程,但未进行实际验证,未避免"纸上谈兵"这一哲学问题出现,故今天“实战”验证下前期所学,不敢奢求太多,此文对伙伴们有稍许即可,更盼望伙伴可以引导与指正,共同学习、共同进步,咳咳,闲聊到此,开始步入正题:

网络安全应急响应学习记录接触分割线.png

了解敌人

欲先制敌,必先惑敌

主流Web攻击目的及现象

一般来说,没有无缘无故的攻击,攻击总是伴随着相关的目的性和攻击现象
1.常见的主流Web攻击目的分类
* 数据窃取
数据窃取是指黑客一般通过获取相关数据进行进一步的利用变现
案例:雅虎用户数据被窃取

网络安全应急响应学习记录接触1.jpg
* 网页篡改
网页篡改是指对网站网页进行篡改/对重要网站植入暗链SEO。
案例:某网站被挂“黑页”

网络安全应急响应学习记录接触2.jpg
* 恶意软件
恶意软件是指通过网站的安全漏洞,植入勒索病毒等,让受害者支付相关比特币或者其他的虚拟货币进行解密,以及利用漏洞植入挖矿程序,让受害者服务器/电脑成为矿机以挖取相关的虚拟货币
案例:勒索病毒

网络安全应急响应学习记录接触3.png
2.常见主流Web攻击现象
当网站遭遇了Web 攻击,通常会出现以下异常现象。
* 数据异常
数据异常是指通过各种手段发现数据外流、出现各种不合法数据以及网站流量异常伴随着大量攻击报文等。
例如:使用入侵检测系统检测异常数据
* 系统异常
系统异常是指服务器出现异常、异常网页、异常账号、异常端口等。
案例:系统登录异常

网络安全应急响应学习记录接触4.png
* 系统CPU
根据CPU异常使用率,分析可疑进程
案例:使用procexp进行分析

网络安全应急响应学习记录接触5.png
* 网络数据异常
流量异常是指流量浮动明显与往常不一致,或者夹杂着异常攻击,出现这种情况很有可能已被病毒感染
案例:防火墙提示服务器发出异常流量可能感染病毒

网络安全应急响应学习记录接触6.png
* 告警异常
使用某些防护设备,当检测到攻击行为时,会进行告警操作,若出现告警情况,很有可能已被攻击,这个时候就需要仔细排查下了,但也可能是误报。
案例:攻击告警

网络安全应急响应学习记录接触7.png

常见Web攻击入侵方式

  • 命令执行
    应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
  • 组件漏洞
    例如:WebLogic WLS组件中存在远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击,
  • 反序列化
    通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
  • 注入攻击
    例如Sql注入通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。
  • 社工攻击
    人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
  • 旁站攻击
    这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
  • 上传漏洞
    利用上传功能的控制不足或者处理缺陷,或解析漏洞,让攻击者越权上传恶意文件,进行攻击行为。
  • 信息泄露
    例如泄露用户名、密码、内部人员信息等等,为进一步攻击做准备工作
  • 劫持攻击
  • 跨站攻击
    例如利用xss漏洞进行下载病毒、木马,并进行窃取账号密码操作
  • 溢出攻击
    Web服务器没有对用户提交的超长请求没有进行合适的处理,这种请求可能包括超长URL,超长HTTP Header域,或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务,这一般取决于构造的数据。
  • 拒绝服务
    拒绝服务产生的原因多种多样,主要包括超长URL,特殊目录,超长HTTP Header域,畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当,因此出错终止或挂起。简单来说就是不想让你好过,我拿不到“权限”,你也别想用。

模拟演练

准备完毕,开始演练

工具准备

  • Windows Sysinternals
    Sysinternals工具是一套用于微软Windows平台,免费的高级管理、诊断和排错工具。
    https://docs.microsoft.com/zh-cn/sysinternals/

事件一

张三在用电脑看电影,突然屏幕锁定了,开始以为是无操作,但和他一起看电影的李四感觉不对劲,

网络安全应急响应学习记录接触8.jpg
这看的好好的,什么也没干怎么就锁屏了呢,还显示已登录,让输入密码。因前一阵老师讲了些计算机安全知识,李四想这个症状有点像被远程登录了,于是就说了句:不好坏了,被攻击了,张三惊了,来了句:mmp,我的珍藏啊,想到这里,就开始以下操作:
* 拔掉网线
防止被进一步攻击
* 输入密码
可以挤掉攻击者的远程登录状态(若网络未断开,并第一时间发现,攻击方还未进行下一步操作的时候),例如下图所示:

网络安全应急响应学习记录接触9.jpg
输入密码后,进入学习资料文件夹,发现珍藏还在,放心了,但还是很害怕,于是就对李四说:四哥能不能帮我看看是咋回事,要是被攻击了,看看能不能找到这个憨批,他到底要干啥啊,还好我的珍藏还在,四哥的意识是真NB
李四回:好,那我试试,正好检验下前阵子所学的知识,看看是不是被攻击了,要是被攻击了,高低要找到这个憨批,不行的话百度下学习下新的知识,实战不行咱俩问问"老师"。
说着接过键盘鼠标,按Ctrl R 输入cmd打开了cmd窗口。

网络安全应急响应学习记录接触10.jpg
* 检测是否有可疑账号存在
net user

网络安全应急响应学习记录接触11.jpg
哎正常啊,不行,安全第一,我还是注册表查看下
regit.exe

网络安全应急响应学习记录接触12.jpg
修改SAM文件夹权限,已满足当前用户查询要求,
注意:查询完毕后,不要忘记恢复之前的权限设置(因SAM文件夹的特殊性,注册表备份恢复效果不是很好)

网络安全应急响应学习记录接触13.jpg
重新启动注册表编辑器,已让权限设置生效。
小技巧:按方向键↑,调用之前的命令

网络安全应急响应学习记录接触14.jpg
看的一个带特殊符合的账号,因之前学习的时候查询无这个账号,还真被攻击了,都创建账号了,这攻击者手速够快啊,一看就是单身多年。

网络安全应急响应学习记录接触15.jpg
* 日志分析
知道被攻击后,分析系统日志,验证攻击者攻击方式,并查询其IP地址
cmd窗口输入eventvwr.msc(输入eventvwr.exe也可以打开),打开事件查看器

网络安全应急响应学习记录接触16.jpg
事件ID:4648,攻击者尝试登录,查询其访问IP

网络安全应急响应学习记录接触17.jpg
事件ID:4624,攻击者登录成功,登录用户:study 登录类型:10 登录IP:192.168.50.1
小知识:
登录类型10:远程交互(RemoteInteractive)
当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。

网络安全应急响应学习记录接触18.jpg
事件ID:4672,申请了特殊权限

网络安全应急响应学习记录接触19.jpg
事件ID:4620,创建用户帐户:study$

网络安全应急响应学习记录接触20.jpg
事件ID:4732,study$用户被添加到安全本地组

网络安全应急响应学习记录接触21.jpg
事件ID:4648,使用身份凭据在尝试登录

网络安全应急响应学习记录接触22.jpg
* 总结:
2020-08-31 9:46:14 :攻击者进行远程登录,IP:192.168.50.1
2020-08-31 9:46:14 :攻击者申请特殊权限
2020-08-31 9:46:45 :攻击者创建隐藏账户
2020-08-31 9:46:45 :用户被添加到安全本地组
2020-08-31 9:48:26 :夺回控制权限

相关推荐: 通过Hijack DLL绕过AMSI

译文声明 本文是翻译文章,文章原作者 Philippe Vogler,文章来源:https://sensepost.com 原文地址:https://sensepost.com/blog/2020/resurrecting-an-old-amsi-bypass…