应急响应二 - 后门分析&勒索病毒&攻击

应急响应二 - 后门分析&勒索病毒&攻击

      • 操作系统(windows,linux)应急响应基础知识
      • 攻击响应-暴力破解(RDP,SSH)-Win,Linux
      • 控制响应-后门木马(Webshell,PC)-Win,Linux
      • 危害响应-病毒感染(勒索 WannaCry)-Windows

操作系统(windows,linux)应急响应基础知识

常见危害:
	1.暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破 。
	2.漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等 
	3.流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪 
	4.木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中的,而PC木马是进入系统进行植入的。目的是对系统进行持久控制 。
	5.病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,对目标文件或目录进行加密,用户需要支付酬金给黑客。
危险分析:
	账户:账户异常、账户增加,看攻击者是否留有后门账户 
	端口:异常端口开放,看是否与外部地址的某个端口建立了连接 
	进程:异常进程加载,看是否存在异常进程执行(排除系统正常进程) 
	网络:网络连接异常,看是否对局域网内其他IP地址进行请求(横向)或自身网络异常 
	启动:异常程序开机自启动,看是否存在开机自启动的程序,排查是否为恶意程序 
	服务:异常服务添加、启动,看机器上是否存在异常服务(排除系统正常服务) 
	任务:异常定时任务执行,看机器上是否存在定时任务 
	文件:异常文件,看机器上是否存在异常文件,如后门、病毒、木马等


补充资料:
应急响应大合集:https://xz.aliyun.com/t/485
Windows安全工具锦集:https://www.secpulse.com/archives/114019.html
微软官方工具:https://docs.microsoft.com/en-us/sysinternals/

病毒分析:
	PCHunter:http://www.xuetr.com
	火绒剑:https://www.huorong.cn
	Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
	processhacker:https://processhacker.sourceforge.io/downloads.php
	autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
	OTL:https://www.bleepingcomputer.com/download/otl/
	SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀:
	卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
	大蜘蛛:http://free.drweb.ru/download+cureit+free
	火绒安全软件:https://www.huorong.cn
	360 杀毒:http://sd.360.cn/download_center.html

病毒动态:
	CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
	微步在线威胁情报社区:https://x.threatbook.cn
	火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
	爱毒霸社区:http://bbs.duba.net
	腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站:
	多引擎在线病毒扫描网:http://www.virscan.org 
	腾讯哈勃分析系统:https://habo.qq.com 
	Jotti 恶意软件扫描系统:https://virusscan.jotti.org
	计算机病毒、手机病毒、可疑文件分析 :http://www.scanvir.com 

攻击响应-暴力破解(RDP,SSH)-Win,Linux

windows2012日志分析
windows2012服务器日志位置:打开服务器管理 --> 所有服务器 --> 计算机管理–> 事件查看器–> windows日志
Windows系统的日志一般分为三种
系统日志: System.evtx (系统组件等日志)
应用程序日志: Application.evtx (应用程序等日志)
安全日志: Security.evtx (系统登录等日志)
应急响应二 - 后门分析&勒索病毒&攻击_第1张图片
分为应用程序(软件信息)、安全(登录信息)、设置、系统(服务策略信息)
应急响应二 - 后门分析&勒索病毒&攻击_第2张图片
Windows系统日志默认保存在:c:\Windows\System3\config
应急响应二 - 后门分析&勒索病毒&攻击_第3张图片

windows自带日志工具不好用,查找分析不方便,推荐使用LogFusion工具。
LogFusion打开本地日志
应急响应二 - 后门分析&勒索病毒&攻击_第4张图片
演示Windows日志分析:
1.使用弱口令检测工具模拟攻击。
应急响应二 - 后门分析&勒索病毒&攻击_第5张图片
2.在LogFusion的安全里面查看登录情况
可根据时间ID进行筛选:
常见事件ID:
4624 登录成功
4625 登录成功
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户
应急响应二 - 后门分析&勒索病毒&攻击_第6张图片
双击进入,查看详细信息(可以看到是哪个IP地址爆破密码成功,成功登录了本机)
应急响应二 - 后门分析&勒索病毒&攻击_第7张图片
Linux的Ubuntu日志分析
-linux日志位置:/var/log

使用grep筛选
1、统计了下日志,确认服务器遭受多少次暴力破解
	grep -o "Failed password" /var/log/secure|uniq -c 
2.输出登录爆破的第一行和最后一行,确认爆破时间范围
	grep "Failed password" /var/log/secure|head -1 grep "Failed password" /var/log/secure|tail -1 
3.进一步定位有哪些 IP 在爆破?
	grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[04][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][09]?)"|uniq -c | sort -nr 
4.爆破用户名字典都有哪些?
	grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort nr 
5.登录成功的日期、用户名、IP
	grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

控制响应-后门木马(Webshell,PC)-Win,Linux

windows执行木马,CS上线,模拟攻击
windows:默认配置测试
1.cs上线Windows
应急响应二 - 后门分析&勒索病毒&攻击_第8张图片
2.使用工具来查看进程通讯信息
TCPView工具,可以查看哪个进程进行过远程通讯,从而确定系统是否曾经遭受过攻击。(windows自带工具,不推荐,进程信息加载不全)
应急响应二 - 后门分析&勒索病毒&攻击_第9张图片
Process Explorer工具,可以查看分析进程(windows自带)
应急响应二 - 后门分析&勒索病毒&攻击_第10张图片
PCHunter工具。集成了查看进程和ip通信和进程查看。
缺点是:windows高版本(Windows2012以上)网络信息获取不全。比如木马在windows7执行后,该工具可以获取网络信息。

黑色的为系统进程,蓝色的为非系统进程
应急响应二 - 后门分析&勒索病毒&攻击_第11张图片
1.“进程”页面下,缺少数字签名、文件厂商等信息的进程很有可能是木马
2.“网络”页面下,可以排查可疑的远程连接和它指向的文件名
3.有些木马文件会写到内核里头,需要在内核界面排查
4.“文件”页面可以看隐藏文件
5.在“启动信息”“启动项”排查有无可疑启动项,“服务”“计划任务”可以排查可疑服务
6.“系统杂项”“系统用户名”排查有无隐藏用户

UserAssistView:
UserAssistView可以查看文件执行记录,是官方工具

找到后门文件后,可以通过该文件查看后门文件的执行情况

LogonSessions:
LogonSessions可以查看当前会话,是官方工具
可以用来分析有没有远程连接

Autoruns:
Autoruns可以查看Windows上的自启动项目

Linux-自动化响应检测-Gscan
CS上线Linux主机参考:https://www.adminxe.com/1287.html
自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis
GScan下载:https://github.com/grayddq/GScan/

使用git下载
    git clone https://github.com/grayddq/GScan.git
来到Gscan的文件夹
    cd GScan
运行Gscan
    python GScan.py
    
GScan功能:
	 1、主机信息获取
	 2、系统初始化alias检查
	 3、文件类安全扫描
	 4、各用户历史操作类
	 5、进程类安全检测
	 6、网络类安全检测
	 7、后门类检测
	 8、账户类安全排查
	 9、日志类安全分析
	 10、安全配置类分析
	 11、Rootkit分析
	 12.WebShell类文件扫描---Python3运行文件---扫描的结果---netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒---ps命令显示linux进程信息,进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等 

运行Gscan,自动检测
应急响应二 - 后门分析&勒索病毒&攻击_第12张图片
Gscan检测效果:
应急响应二 - 后门分析&勒索病毒&攻击_第13张图片

危害响应-病毒感染(勒索 WannaCry)-Windows

系统中毒表现:
所有文本文件都变为乱码,尝试打开会连带打开病毒介绍,桌面图片也连带被改变

永恒之蓝样本下载地址: https://bbs.pediy.com/thread-217586-1.html
勒索病毒解密网站:
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html

你可能感兴趣的:(web安全,安全)