p74 应急响应-win&linux 分析后门&勒索病毒&攻击
数据来源
操作系统(windows,linux)应急响应:
- 常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)
- 常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
常见日志类别及存储:
Windows,Linux
补充资料:
- 应急响应大合集 - 先知社区 (aliyun.com)
- 值得收藏!史上最全Windows安全工具锦集 - SecPulse.COM | 安全脉搏
- 系统内部 - 系统内部 |微软学习 (microsoft.com)
病毒分析
- PCHunter:http://www.xuetr.com
- 火绒剑:https://www.huorong.cn
- Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
- processhacker:https://processhacker.sourceforge.io/downloads.php
- autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
- OTL:https://www.bleepingcomputer.com/download/otl/
- SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查杀
- 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
- 大蜘蛛:http://free.drweb.ru/download+cureit+free
- 火绒安全软件:https://www.huorong.cn
- 360 杀毒:http://sd.360.cn/download_center.html
病毒动态
- CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
- 微步在线威胁情报社区:https://x.threatbook.cn
- 火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
- 爱毒霸社区:http://bbs.duba.net
- 腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
在线病毒扫描网站
- http://www.virscan.org // 多引擎在线病毒扫描网
- https://habo.qq.com // 腾讯哈勃分析系统
- https://virusscan.jotti.org // Jotti 恶意软件扫描系统
- http://www.scanvir.com // 计算机病毒、手机病毒、可疑文件分析
演示案例:
- 攻击响应-暴力破解(RDP,SSH)-Win,Linux
- 控制响应-后门木马(Webshell,PC)-Win,Linux
- 危害响应-病毒感染(勒索 WannaCry)-Windows
- 自动化响应检测-Gscan 多重功能脚本测试-Linux
案例 1-攻击响应-暴力破解(RDP,SSH)-Win,Linux
先演示一下Windows系统的
1)日志文件默认位置:(参考)
- 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。
- 安全日志文件:%systemroot%\system32\config\SecEvent.EVT
- 系统日志文件:%systemroot%\system32\config\SysEvent.EVT
- 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
- Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志
- Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志
- Scheduler服务日志默认位置:%systemroot%\schedlgu.txt
2)windows自带日志工具(查找分析不方便,推荐使用插件LogFusion)
3)Windows-LogFusion 载入查看:(建议在windows10以上的系统安装)
工具下载:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
工具使用前提
LogFusion载入应用程序、硬件事件、安全、系统等日志
事件归类,事件 ID,事件状态等,参考百度资料
打开本地的日志
日志打开需要点时间(大概2到3分钟)
win10默认好像是不记录远程桌面的访问记录:怎么在Windows10启用远程协助的会话日志记录-百度经验 (baidu.com)
使用弱口令工具攻击看看
然后回到我们的日志分析软件就能查看到刚才暴力破解的日志,注意这里查看的是安全日志
在安全日志里看到很多账户登录失败的日志,可以判断当前主机遭受了爆破攻击,以及是否成功等
打开远程的日志
Linux系统-grep 筛选:
我这里在电脑开虚拟机,然后在真实机使用xshell连接执行命令
Linux系统日志文件相关介绍:(参考 )
- Linux系统日志文件存放在/var/log/目录下,该目录是系统日志文件的保存位置;除此之外,采用RPM包方式安装的系统服务也会默认把日志记录在/var/log/目录中。
- Linux日志文件说明 ①/var/log/messages:该文件记录着服务器系统发生的所有错误信息或重要的信息,所以这个文件相当重要,如果系统发生莫名的错误时,这个文件是必查的日志文件之一。
- /var/log/secure:该文件记录服务器牵扯到需要输入账号密码的软件,当登入时都会被记录到这个文件中,包括系统的login程序、图形界面登入所使用的gdm程序、su、sudo等程序,还有网络远程的ssh、telnet等程序,登入信息都会被记载。
- /var/log/maillog:该文件记录服务器邮件的来往信息,其实主要记录SMTP和POP3协议提供者所产生的信息。
- /var/log/cron:与定时任务相关的日志信息。
- /var/log/spooler:与UUCP和news设备相关的日志信息。
- /var/log/boot.log:守护进程启动和停止相关的日志信息。
- /var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
先用工具攻击一下目标主机
参考:Linux应急响应基础 - 我是菜狗2 - 博客园 (cnblogs.com)
1、统计了下日志,确认服务器遭受多少次暴力破解
# 因为暴力破解肯定会会有登录失败的情况,所以这里筛选 Failed password
grep -o "Failed password" /var/log/secure|uniq -c
# Ubuntu系统
grep -o "Failed password" /var/log/auth.log|uniq -c
secure 文件只有 root 用户拥有读权限,其他用户没有任何权限,这样就保证了用户密码的安全性。
注意,如果这个文件的权限发生了改变,则需要注意是否是恶意攻击。 我开的虚拟机是Ubuntu,运行命令报错“grep: /var/log/secure: 没有那个文件或目录
”查看了一下百度Ubuntu系统记录服务器牵扯到需要输入账号密码的软件的文件名是auth.log改一下就好了(参考)
2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
# Ubuntu系统
# 查看日志中第一次出现关键字Failed password的信息,确认攻击者第一次爆破的时间
grep "Failed password" /var/log/auth.log|head -1
# 查看日志中第一次出现关键字Failed password的信息,确认攻击者最后一次爆破的时间
grep "Failed password" /var/log/auth.log|tail -1
3、进一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0- 4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?)"|uniq -c | sort -nr
# Ubuntu系统
grep "Failed password" /var/log/auth.log|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
4、爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort - nr
# Ubuntu系统
grep "Failed password" /var/log/auth.log|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr 
5、登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
# Ubuntu系统
grep "Accepted " /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'
案例 2-控制响应-后门木马(Webshell,PC)-Win,Linux
windows:
默认配置测试
1)首先启动cs(如果你的虚拟机没有下载cs:cobaltstrike的安装与基础使用)
运行服务端程序,192.168.0.104是本机IP,user 是要设置的连接密码(可改)
./teamserver 192.168.1.3 user 在 cs4.0目录下新建终端,输入如下命令运行客户端程序
java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap 最后连接登录进去
2)生成Windows的后门木马
前提是你要创建监听器,不然受害者运行了木马你也不知道
创建一个新的监听器 -> 填写监听器名称(随便写,不重复就行)-> 选择有效载荷/攻击模块/攻击方式
添加HTTP主机
添加要在开启监听的HTTP端口:0-65535 在这个取值范围中1023以下的端口已经分配给了常用的一些应用程序,建议往大的填,避免端口被占用(重复)--> 最后保存即可
开始创建木马文件
3)在目标windows虚拟机中运行木马文件
4)回到cs查看
这边就能看到目标上线了
5)回到win分析进程,找出木马
这里使用PCHunter工具进行辅助分析,工具下载:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
工具的介绍:
- TCPView(网络分析)TCPView for Windows - Sysinternals | Microsoft Learn
- Process Explorer(进程分析)
- PCHunter64(综合)
- UserAssistView(文件启动)
- 命令行netstat -ano(网络分析)
- Autoruns(启动项排查)
- MemScanner(进程分析)
- Sysmon(系统监控)
一般的木马是没有产商信息
但是有些伪装的很好所以这个不能作为我们判断的唯一标准,可以再借助一些其他信息辅助我们进行判断
远程ip
可以在目标主机的命令行查看端口信息
# 查看本机端口开放信息
netstat -an
计划任务
系统用户名
还可以借助一些杀毒软件:腾讯、360、火绒这些
linux 借助 CrossC2 项目:
我这里又安装了cs3.14又因为cs的版本要与CrossC2相对应才行,搞了一天才发现这个问题,CS3.14 <——>CrossC2 -v2.1版本,其他版本的对应关系可以自己尝试
1)开启cs3.14服务端与客户端 (使用方式与上面介绍的CS4.0是一样的)
# 启动服务端
./teamserver 192.168.1.3 root 
# 启动客户端
java -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
2)下载linux插件CrossC2-v2.1
打开Github:GitHub - gloxec/CrossC2: generate CobaltStrike's cross-platform payload
3)生成linux木马
方式一:脚本的方式生成 (genCrossC2.Linux)
# 运行脚本genCrossC2.Linux 系统类型、生成的文件名(这里也可以写文件路径,生成到指定的文件路径如:tmp\c2)
./genCrossC2.Linux 监听器ip 监听器端口 null null Linux x64 C2
方式二:
按道理来说会有个弹框,弹框内会有个下载链接但是我这里没有反应(我之前用3.1版本的插件就就是这样),应该是cs与插件的版本不是很匹配,不管了有一种方式生成木马辅助我们学习就好,毕竟我们不是要做违法的事,知道有这种方式就好。
4)有了木马之后要创建一个监听器,这个插件只支持https的协议(windows/beacon_https/reverse_https),所以我们要创建https的监听器,注意:监听器的ip与端口要与刚才的木马文件相对应
可以直接在当前的攻击机运行木马测试一下(我这里的cs是安装的kali中的所以可以运行linux的木马文件)
kali成功上线
5)把木马拿到受害者主机运行
# 赋予执行权限
chmod +x 木马文件名
6)接下来就是分析日志,查找后门等( 通过网络监听工具及 windows 日志分析或执行记录查找后门问题 )
手动分析系统日志的方法在上面案例一的有介绍,使用脚本自动化检测会在案例4演示
这里演示一下查看系统开放端口,查找后门
# 可以查看tcp端口
netstat -ntl应该是我的虚拟机的问题,我看别人的可以
然后再通过ps命令找到对应的进程,分析其是否是木马病毒
# 查看进程
ps aux
案例 3 -危害响应-病毒感染(勒索 WannaCry)-Windows(一般情况下我们的杀毒软件会直接将病毒程序杀死)
详细说明中毒表现及恢复指南
推荐2个勒索病毒解密网站安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士 (360.cn)
主页面 | The No More Ransom Project
[下载]永恒之蓝样本(勒索病毒): https://bbs.pediy.com/thread-217586-1.htm
不要在真实机运行病毒
病毒运行效果:打开任何文件都是乱码
1)打开解密网站
解码刑警 | The No More Ransom Project
换360的解密网站看看:安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士 (360.cn)
不过在页面后面他推荐360解密大师,下载试试
2)使用360看看能不能解决
注意:要先使用杀毒软件把病毒干掉,不然文件恢复了以后也会被加密
案例 4-自动化响应检测-Gscan 多重功能脚本测试-Linux
自动化响应检测工具:GScan(这个是python语言的脚本)、chkrootkit(c语言的脚本)、rkhunter、lynis
工具对比:(都下载一下,应急响应时全都跑一遍)
GScan 程序定位为安全人员提供的一项入侵检测工具,旨在尽可能的发现入侵痕迹,溯源出黑客攻击的整个路径。 chkrootkit 程序定位为安全人员提供的一项入侵检测工具,旨在发现被植入的后门或者rootkit。 rkhunter 程序定位为安全人员提供的一项入侵检测工具,旨在发现被植入的后门或者rootkit。 lynis 程序定位为安全人员日常使用的一款用于主机基线和审计的工具,可辅助漏洞扫描和配置管理,也可部分用于入侵检测。
Gscan 工具下载:GitHub - grayddq/GScan: 本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。
1)下载Gscan
命令行执行运行命令即可
# 如果没有安装git:yum -y install git
git clone https://github.com/grayddq/GScan.git2)运行脚本进行检测
执行时间:默认安全扫描大概执行时间为4~6分钟,完全扫描在1~2小时之间,程序执行时间的长度由检测文件的多少决定,有可能会存在较长的时间,请耐心等待
# 切换管理员模式
sudo su
# 查看脚本参数
python3 GScan.py -h
# 运行脚本
python3 GScan.py
漫长的等待,最后可以检测出可能存在风险的地方(直接将木马文件复制粘贴到目标主机中的是检测不出来的,如果是命令执行的方式下载并运行的就可以检测的出来)
涉及资源:
- 应急响应大合集 - 先知社区 (aliyun.com)
- 安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士 (360.cn)
- GitHub - gloxec/CrossC2: generate CobaltStrike's cross-platform payload
- GitHub - darkr4y/geacon:练习Go编程并在Go中实现CobaltStrike的Beacon
- GitHub - grayddq/GScan: 本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。
- [下载]永恒之蓝样本(勒索病毒)-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com (kanxue.com)
- 主页面 | The No More Ransom Project
- Sysinternals - Sysinternals | Microsoft Learn
- 值得收藏!史上最全Windows安全工具锦集 - SecPulse.COM | 安全脉搏
- https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao