网络安全之应急响应
- 应急响应(是有一整套流程的):
- 原理:
- 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施
- 阶段:
- 准备->启动->抑制->根除->恢复->跟进
- 准备应急工具,相应的应急文档、合同、保密协议,开会沟通
- 启动:讨论这个是怎么进来的
- 抑制:切断受感染主机,拔网线,网络隔离
- 根除:查找病毒木马,分析日志,溯源,打补丁
- 恢复:业务恢复
- 跟进:监控,看是否还会进来
- 详细流程:
- 准备阶段:
- 做系统快照
- 准备应急工具包
- 备份数据
- 检测阶段:
- 检测木马病毒
- 抑制阶段:
- 查杀木马病毒
- 溯源
- 恢复阶段:
- 业务恢复
- 准备阶段:
- 原理:
- 实战笔记:
- 病毒木马区别:
- 病毒具有破坏性、复制性、传染性
- 手动查杀病毒木马技术:
- 具备技能:
- (1)熟悉windows系统进程;
(2)熟悉常见端口与进程对应关系;
(3)熟悉windows自带系统服务;
(4)熟悉注册表启劢项位置;
- (1)熟悉windows系统进程;
- 查找可疑的目录和文件 | 按时间排序查看创建时间日期 |
- 工具查杀:360,D盾,日志分析工具,
- 木马查杀工具:
- ARK(反内核)系列工具:冰刃、Xuetr、火绒剑
- 上传文件隐藏专家到win2003服务器:隐藏c:\\1.txt文件
- cmd执行mkdir 123..\ 文件夹,删也删不掉123文件夹
- 上传PCHunter到win3,执行木马查杀,查找1.txt,删除123文件夹
- 具备技能:
- windows入侵排查:
- 木马可能存在的位置(组策略|注册表|启动项|服务启动|计划任务|操作系统配置里 里边):
- 1)“启动”文件夹──最常见的自启动程序文件夹。
它位于系统分区的“documents and Settings-->User-->〔开始〕菜单-->程序”目录下。这时的User指的是登录的用户名。
2)“All Users”中的自启动程序文件夹──另一个常见的自启动程序文件夹。
它位于系统分区的“documents and Settings-->All User-->〔开始〕菜单-->程序”目录下。前面提到的“启动”文件夹运行的是登录用户的自启动程序,而“All Users”中启动的程序是在所有用户下都有效(不论你用什么用户登录)。
3)“Load”键值── 一个埋藏得较深的注册表键值。
位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\load〕主键下。(开机自动执行)
4)“Userinit”键值──用户相关
它则位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主键下,也是用于系统启动时加载程序的。一般情况下,其默认值为“userinit.exe”,由于该子键的值中可使用逗号分隔开多个程序,因此,在键值的数值中可加入其它程序。 - 用到的命令有: msconfig、services.msc、sc 、tasklist /svc( 注:/svc是详细查看一个宿主进程对应的多项服务 )。
- PCHunter找到svhost.exe进程(有数字签名的)很多服务躲到这个进程里,查看进程模块,黑色代表微软自带的进程,蓝色代表第三方进程,红色肯定有问题,命令:tasklist /svc | task kill -pid 1736
- sc 命令创建服务(服务相关操作命令),dll动态库文件借助exe挂载执行
- 木马病毒躲在win.ini里 | cmd 直接输入 win.ini |
- run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马。
- run=c:\windows\file.exe
- System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer.exe window.exe,注意这里的window.exe就是木马程序。
- 6、*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。
7、修改文件关联
修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的。“冰河”就是通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\Windows\Notepad.exe %1”改为“C:\Windows\System\SYSEXPLR.EXE %1”,这样一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。
8、捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
当发现可疑文件时,你可以试试能不能删除它,因为木马多是以后台方式运行的,通过按Ctrl+Alt+Del是找不到的,而后台运行的应是系统进程。如果在前台进程里找不到,而又删不了(提示正在被使用)那就应该注意了。 - 计划任务里
- 1)“启动”文件夹──最常见的自启动程序文件夹。
- 上传木马到服务器并查杀(木马不具备破坏性,看进程、启动项、网络):
- pcshare | cs | msf
- 使用灰鸽子远控生成木马
- cmd 执行 netstat -ano 查看连接状态,如果是ESTABLISHED就代表建立了连接,比较可疑,工具PID去找进程
- pcHunter服务里找木马,查看哪些服务跟其他不一样,找到对应的进程,使用taskkill -pid 进程号 删除 | 文件里也可以使用pchunter工具强行删除 | 服务里删除对应的服务 | 网络里找到对应的软件 | 相应的服务和启动项去找 |
- pcshare生成木马并上传,然后进行查杀 :netstat -ano 查看木马对应链接,找到pid,根据pid找到对应的进程, 然后右键查看进程模块,木马躲进操作系统自带进程里,查看那个长的不一样,然后删除卸载即可 ,然后进到服务里删除 ,驱动模块里看蓝色,哪些比较可疑,没有数字签名啥的
- my ddos 查杀木马:首先查杀端口:netstat -ano 或者使用XueTr 找到对应的进程,看哪些没有数字签名属于第三方服务,就比较可疑
- 上传病毒到服务器并查杀:
- 威金病毒查杀(产看病毒名字是否是大写,大写比较可疑):
- win10进入安全模式,安全模式下病毒不会加载 ,查杀更加方便
- 运行威金病毒,发现进程增加了一个DLLHOST.exe进程,说明病毒已运行:(特征:通过注册表加载,隐藏很深,autorun传播,U盘右键打开,不要双击打开,双击打开会自动运行病毒,操作系统自我保护机制 )
开始-运行--输入msconfig 确认进入系统配置实用程序,找到启动选项,会发现启动项目里面rundll32没有病毒绝对路径,这是因为病毒使用了windows系统环境变量路径来加载病毒的,只要在环境变量下面的程序都可以不用文件路径。
通过 命令 dir /s rundll32.exe 来查看威金病毒绝对路径
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 找到load字符串,直接删除、刷新注册表。这样启动项的病毒就会马上消失。
删除病毒原文件,通过del /ah /f DLLHOST.exe就可以删除隐藏DLLHOST.exe病毒。
删除相应盘符下的autorun.ini,以防双击运行盘符再次调用病毒运行
- QQ盗号木马病毒查杀:
- 此病毒结束进程都结束不了,删除后还会运行,使用xuetr全选结束进程并删除即可
- 映像劫持(有东西就代表电脑中病毒了):
- 特性:病毒劫持注册表,修改了注册表,导致打不开注册表
- 解决办法:改名处理,就可以打开了,注册表regedit.exe改为111.exe即可打开
- 印象劫持对应的注册表:接着打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options发现被劫持的程序都在这里面并且还发现QQ病毒的另外一个病毒程序C:\WINDOWS\system32\drivers\adamrf.exe 到这里我们基本都知道映像劫持的作用了。
- 并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue -> 0x00 - 删除QQ病毒文件,先删除各盘符下面autorun再删除以下病毒文件
- xuetr工具删除,或者使用taskkill /pid 删除
- 熊猫烧香病毒查杀(特征:进程查杀有自我保护同时选定删除即可,autorun自动传播(修改只读隐藏属性)再删除,映象劫持(清空),图标(修改注册表),html挂马,启动项,任务计划,杀掉就行):
- 中毒表现:(服务器网站传播 | U盘传播 | 内网弱口令传播 | )
- 拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用
户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。(修改注册表)
2. 无法手工修改“文件夹选项”将隐藏文件显示出来。(修改注册表)
3. 在每个感染后的文件夹中可见Desktop_ini的隐藏文件,内容为感染日期 如:
2007-1-10
4. 电脑上的所有脚本文件中加入一段代码: (框架挂马)
5. 中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。 (映像劫持)
6. 不能正常使用任务管理器及注册表。(映像劫持)
7. 无故的向外发包,连接局域网中其他机器。 (暴力破解,扫整个内网,破解了就复制病毒感染整个内网)
8. 感染其他应用程序的.exe文件,并改变图标颜色,但不会感染微软操作系统自身的
文件。(改了注册表)
9. 删除GHOST文件(.gho后缀),网吧、学校和单位机房深受其害。(dir /s 查找.gho文件,然后直接删除)
10. 禁用常见杀毒工具。
病毒特征: 1. 关闭众多杀毒软件和安全工具。
2. 循环遍历磁盘目录,感染文件,对关键系统文件跳过。
3. 感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。
4. 感染所有.htm/.html/.asp/.php/.jsp/.aspx文件,添加木马恶意代码。
5. 自动删除*.gho文件。
- 拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用
- 查杀:
- 删除注册表里边的svcshare直接删除
- 删除启动项里边的spoclsv,cmd输入:msconfig
- dir /ah 显示所有属性文件 | attrib -r -h xxx.exe 去掉只读,隐藏属性 | del -rf xxx 强制删除
- 对于恢复隐藏的文件,我们通过修改注册表来恢复隐藏,注册表相当于操作系统的老大一样
- 图标恢复:
- 中毒表现:(服务器网站传播 | U盘传播 | 内网弱口令传播 | )
- 威金病毒查杀(产看病毒名字是否是大写,大写比较可疑):
- 木马可能存在的位置(组策略|注册表|启动项|服务启动|计划任务|操作系统配置里 里边):
- 病毒木马区别:
- windows入侵排查思路:
- 检查系统账号安全:
- 查看服务器是否有弱口令、远程管理端口是否公网开放
- 查看服务器是否存在可以账号、新增账号
- 排查隐藏账号:新建隐藏账号必须在注册表里查看,使用D盾查看病毒木马
- 计算机管理:事件查看器里,都有日志记录
- windows安全日志里查看,查看windows事件ID,日志分析(需要管理员权限)工具去查看
- a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
- b、导出Windows日志--安全,利用Log Parser进行分析。
- 检查端口、进程,组策略编辑:本地策略->审核策略(日志里就会有记录)
- netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID” - 进程
检查方法:
a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
3、小技巧:
a、查看端口对应的PID: netstat -ano | findstr “port”
b、查看进程对应的PID:任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”
c、查看进程对应的程序位置:
任务管理器--选择对应进程--右键打开文件位置
运行输入 wmic,cmd界面 输入 process
d、tasklist /svc 进程--PID--服务
e、查看Windows服务所对应的端口: %system%/system32/drivers/etc/services(一般%system%就是C:\Windows)
- netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
- 检查启动项、计划任务、服务
- 检查服务器是否有异常的启动项。g
- 检查方法:
a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。 b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。 c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
d、利用安全软件查看启动项、开机时间管理等。
e、组策略,运行gpedit.msc。
- 检查方法:
- 检查计划任务
- 检查方法:
a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。
b、单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
- 检查方法:
- 服务自启动
- 检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。
- 检查系统相关信息
- 1、查看系统版本以及补丁信息
检查方法:单击【开始】>【运行】,输入systeminfo,查看系统信息
2、查找可疑目录及文件
检查方法:
a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\
b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。
- 1、查看系统版本以及补丁信息
- 自动化查杀
- 病毒查杀
检查方法:下载安全软件,更新最新病毒库,进行全盘扫描。
webshell查杀
检查方法:选择具体站点路径进行webshell查杀,建议使用两款webshell查杀工具同时查杀,可相互补充规则库的不足。
- 病毒查杀
- 日志分析
- 系统日志
分析方法:
a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
b、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
C、导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析。
WEB访问日志
分析方法:
a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
Linux下,使用Shell命令组合查询分析
- 系统日志
- 检查服务器是否有异常的启动项。g
- 工具查杀:
- 病毒分析:火绒剑
- 病毒查杀:卡巴斯基、360杀毒
- 病毒动态:微步在线
- 检查系统账号安全:
- Linux入侵检查:
- 1)检查用户的信息(密码文件/etc/passwd、影子文件/etc/shadow 是否有可疑的账号,看账号是否有带nologin,没有就要注意)
2)
通过who 查看当前登录用户(tty本地登陆 pts远程登录);
w 查看系统信息,想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户,负载
3)在/etc/profile的文件尾部添加如下行数配置信息,通过.bash_history查看帐号执行过的系统命令(可疑详细时间、ip、历史记录)
4)使用netstat 网络连接命令,分析可疑端口、IP、PID,查看下pid所对应的进程文件路径(例如ls -l /proc/$PID/exe)
5)使用ps命令,分析进程(ps aux | grep pid)
6)开机自启动(利用vi /etc/inittab查看当前运行的级别,通过级别runlevel(0~6)对应目录看是否有可疑文件)
7)利用crontab创建计划任务是否存在可疑脚本
8)服务自启动(修改/etc/rc.d/rc.local 文件等,chkconfig --list查看可疑服务)
9)系统日志(日志默认存放位置:/var/log/,重点查看/var/log/secure安全日志,查看它的特征码,查看日志配置情况:more /etc/rsyslog.conf) - 工具查杀:
- Rootkit
- Clamav
- webshell查杀:河马
- RPM check检查:
- ./rpm -Va > rpm.log 系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了:
- 例子:当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d目录下,然后在/etc/rc.d/rc*.d中建立软链接即可
root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh 此处sshd是具体服务的脚本文件,S100ssh是其软链接,S开头代表加载时自启动;如果是K开头的脚本文件,代表运行级别加载时需要关闭的。 入侵排查: 启动项文件: more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/
- 1)检查用户的信息(密码文件/etc/passwd、影子文件/etc/shadow 是否有可疑的账号,看账号是否有带nologin,没有就要注意)
- 僵尸蠕虫:
- D盾查杀:根据端口异常,追踪异常ID,看病毒是不是缩到宿主进程里,查看它的子进程,一般都是dll文件,用卡巴斯基或者火绒剑去查杀
- 防火墙用禁止445端口
- 1、安装杀毒软件,定期全盘扫描
2、不使用来历不明的软件,不随意接入未经查杀的U盘
3、定期对windows系统漏洞进行修复,不给病毒可乘之机
4、做好重要文件的备份,备份,备份。
- 勒索病毒:
- 关端口、装杀毒软件杀毒、数据备份、打补丁
- 首页变成乱码
- 打开电脑所有文件变成sage格式
- 恢复磁盘数据
- 防范措施:
- 1、安装杀毒软件,保持监控开启,定期全盘扫描
2、及时更新 Windows安全补丁,开启防火墙临时关闭端口,如445、135、137、138、139、3389等端口
3、及时更新web漏洞补丁,升级web组件
4、备份。重要的资料一定要备份,谨防资料丢失
5、强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开
- 1、安装杀毒软件,保持监控开启,定期全盘扫描
- ARP病毒:
- 局域网安全防护依然是一项很艰巨的任务,网络的安全策略,个人/服务器的防毒机制,可以在一定程度上防止
病毒入侵。
另外不管是个人PC还是服务器,总还是需要做一些基本的安全防护:1、关闭135/137/138/139/445等端口 2、
更新系统补丁。
- 局域网安全防护依然是一项很艰巨的任务,网络的安全策略,个人/服务器的防毒机制,可以在一定程度上防止
- 挖矿病毒(排查通过weblogic反序列化进来的):
- cpu 100%,电脑温度升高,风扇声音大
- 360CERT:利用WebLogic漏洞挖矿事件分析
https://www.anquanke.com/post/id/92223
清除挖矿病毒:关闭异常进程、删除c盘temp目录下挖矿程序 。
临时防护方案
1. 根据实际环境路径,删除WebLogic程序下列war包及目录
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.interna
l/wls-wsat.war
rm -rf
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_in
ternal/wls-wsat
2. 重启WebLogic或系统后,确认以下链接访问是否为404
http://x.x.x.x:7001/wls-wsat
0x04 防范措施
新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率。通过利用永恒
之蓝(EternalBlue)、web攻击多种漏洞,如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞,
Struts2远程命令执行等,导致大量服务器被感染挖矿程序的现象 。总结了几种预防措施:
1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护
2、及时更新 Windows安全补丁,开启防火墙临时关闭端口
3、及时更新web漏洞补丁,升级web组件