主要是应急响应的完整流程和用得到的工具演示,文末会有个人观看蓝队报告后总结的摘要,建议看看
目录
应急响应
应急相应的流程:
基本信息查看
攻击分类以及处置:
黑页
遭遇DDOS
Windows日志分析记录:
挖矿病毒过程演示:
结合挖矿病毒实例报告分析:
处置挖矿病毒:
溯源
工具:
工具的简单使用
WireShark:流量分析方法。
D盾演示:
科来工具流量分析:
科来的主要使用场景:
实例报告分析
报告1:
报告2:
报告3:溯源攻击者
报告4:
报告5:
报告6:
首先就是有条件断网的,先断网再处理。
挂黑页,主页被替换。首先恢复正常业务,漏洞杀掉,后门删除,找到攻击路径
大流量:买高防机房IP , 流程→流量发送到服务器的,发到购买的高防机房IP进行流量清洗→回源,这样可以保证本身业务的稳定。
先了解下这是个怎么过程。注意在虚拟机上测试。代码就不贴了,看看流程就好
在Ubuntu虚拟机上输入命令。这仅是测试,不存在计划任务,保护进程的命令。
下载好了会有c3pool目录
输入top命令,查看进程占有率
执行程序
ls
./xmrig //xmirg经常是挖门罗币的程序,其他的还有kpccv这个
再查看进程占有率:top
最后关掉终端:再打开输入top查看是否存在xmrig这个进程了。有的话,找到对应的PID,然后sudo kill -9 PID 关掉进程。再查看。
发现和确认情况:
这是分析一个CTF题目,主要就是被盲注的日志,通过分析日志找出flag,数据包找不到了。大概知道下日志的关键信息:一条举例的盲注语句(题目也是此格式的数据):id=1’ and ascii(substr(databse(),1,1))>40
gopher协议:请求包的一个特征就是URL解码两次。
搜索下载很简单,通过把源码放进去,D盾通过匹配特征分析,一般来说级别为5的是危险文件。要注意审查
过滤器的使用:这里有很多的选项,勾选上就是只抓某个协议的包。
比如抓取本地8888端口的流量。
点击确定,勾选上。再重新开始测试,这是应该是没数据包的。
然后浏览器访问下 www.baidu.com:8888 ,能够看到这里出现了你的访问流量。
病毒分析,客户现场中病毒。(我们不一定要去现场)通过客户现场搭建镜像,搭建虚拟机,在本地使用科来分析病毒的来龙去脉以及生存周期。
这些都是蓝队的报告:都是真实的事件,总结后的大概信息。
攻击者通过漏洞打进服务器。看日志文件。。上传了文件(看看文件内容)。查看到可疑的IP放到微步社区检测——继续看攻击者:攻击者getshell后,内网穿透,通过反向连接——利用拿下的内网主机,利用已知密码进行撞库,或通过别的方式--》横向移动,登录了别的主机,有的网段之间存在限制,利用别的网段可以访问内网特定的服务器。这些登录信息能够从enentvwr看到:4624登录成功,4625登录失败,如果是爆破主机,一定会存在大量的登录失败。
这只是一个反制的报告。没有很完全
通过态势感知发现恶意攻击,IP放在fofa搜索,找到域名,扫描网站,找到后台,尝试登陆等
安全设备告警,微步搜索下IP,根据微步的情报找到域名,找到博客,ping博客的地址是可以找到github的,从博客看看信息,发现了他的豆瓣还有信息。解析域名,得到了历史域名解析记录(www.virustotal.com),查询到之前使用的IP和域名,再信息收集,后来得到了IP,得到了个省的网站,弱口令进去查询人,拿到手机号,继续通过手机号搜索人。
态势感知发现恶意IP对我方资产进行扫描,拿到攻击者IP,查看一下,使用历史域名解析网站搜一下(www.virustotal.com),又发现解析的域名。。域名拿去whois查询(大公司不一定真实)。。发现了攻击者的QQ和姓名,使用社工库。通过IP查询攻击者地址。
在线子域名查询子域名收集,收集那个人的网站的子域名。不行,再找fofa试试,,开放了22端口,超级弱口令工具跑一下出来了,但是进不去。
云平台检测到了扫描行为,蜜罐收集到了端口扫描的信息。ip拿去fofa访问,发现端口,御剑扫描后台,发现了ThinkPHP的V3.2.5,扫描后台。。数据库root,root,ThinkPHP还是可以继续利用。。(反序列化的漏洞。) 数据库可以写马,可以尝试。。
查看态势感知发现IP,攻击目标,对IP的操作:查询IP位置。whois查询,对于陌生的邮箱,搜索一下,可能会是企业内的邮箱,公司名字出来了。。。MAC地址也能用,手机号拿去微信,支付宝,钉钉(先添加到通信录再看朋友),微博(搜ID), 领英APP也会有个人信息的。。
小知识:谷歌浏览器搜 XXXX公司名 XXX姓名 招标 ——》这是公示的信息,八成有的
谷歌浏览器搜索必须有的元素→例如人名 加上双引号