应急溯源和反制

应急响应的流程

准备 - 检测 - 抑制 - 根除 - 恢复 - 书写报告 

1、准备工作,收集信息:收集告警信息、客户反馈信息、设备主机信息等。 

2、检测,判断类型:安全事件类型的判断(钓鱼邮件,webshell,爆破,中毒等) 

3、抑制,控制范围,隔离失陷设备 

4、根除,分析研判,将收集的信息分析 

5、恢复,处置事件类型(进程、文件、邮件、启动项,注册表等) 

6、输出报告

- 第一步,安全感知平台查看事件预警,分析预警是否误报

  误报,忽略;非误报,进行分析

- 第二步,从安全按感知平台,安全设备,对攻击事件进行分析

  不成功,封禁 IP;成功,开启应急响应排查流程

- 第三步,应急响应

  被上传 shell、网页被篡改、网页被加黑链:

  ```bash
  1、D盾扫找到最早shell,记录上传时间,备份shell并删除
  2、根据该shell在各类日志中找到恶意ip,并过滤出该ip的所有日志
  3、根据webshell生成时间找到该时间点的POST日志确认webshell生成方法
  4、继续向上溯源分析IP攻击路径以及可能利用的漏洞,重点关注POST日志,以及存在如upload、editor、admin、manage、sql等敏感字段的日志,同时分析网站用到的中间件或者框架,分析其中可能的漏洞
  5、修复攻击者使用的漏洞,
  ```

- 第四步,开始系统排查

1. 启动项

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

启动项的文件夹,排查是否有可疑的程序。

1. 计划任务

C:\Windows\System32\Tasks\

C:\Windows\SysWOW64\Tasks\

C:\Windows\tasks\

排查是否有恶意计划任务自动运行。

1. 系统用户

排查是否有多余的可疑账户,问题:2. 了解隐藏账户

常见windows系统后门排查

1. 工具列表: Pchunter 恶意代码检测工具
2. 后门排查思路:
   注册表启动项
   恶意进程
   系统服务
   网络连接
   计划任务  
3. 思路一:  Shift 粘滞键后门
   检查 `C:\Windows\sysytem32\sethc.exe` 或者 按 5 下 Shift 键
4. 思路二:NTFS(ADS)数据流(后门或者 WebShell)
   检查方法:
   \1. 使用 “dir \r” 检查目标目录中是否存在使用 NTFS 数据流隐藏的文件 2. 如果存在,就使用 “notpad 文件名:NTFS 隐藏文件名” 来查看隐藏的文件的内容是什么。 `dir /r /s` 连带子目录的文件一起检查
5. 思路三:系统日志 查看是否存在恶意登陆情况 1. 使用 Logparser 格式化后进行分析 2. 直接打开 winodws 控制面板 - 管理工具 - 事件查看器进行分析,比如我们要筛选是否存在。 3389 rdp 暴力破解行为的话,只要在 “安全” 日志中筛选事件 ID 为 4624(登陆成功)和 4625 (登陆失败

常见linux系统后门排查

1. 检查异常帐号 `cat /etc/passwd`
2. 检查异常登陆: `who` 查看当前登陆用户 (tty 本地登陆、pts 远程登陆) `w` 查看当前系统信息,想知道某一刻用户的行为 `last` 列出所有用户登陆信息 `lastb` 列出所有用户登陆失败的信息 `lastlog` 列出所有用户最近一次登陆信息
3. 查看历史命令: `cat ~/.bash_history`
4. 网络连接: `netstat -pant1`
5. 查看进程: `ps -ef | more` 锁定实际运行程序的符号链接 `ls -la /prc//exe` `lsof -p `
6. 计划任务: `crontab -l`  列出计划任务列表 `crontab -e`  编辑计划任务,当计划任务出现不可字符时,需要此命令才能看到具体信息 `ls -la /var/spool/cron/`  查看计划任务文件 `more /etc/crontab`
7. 系统启动项: `more /etc/rc.local` `ls -l /etc/rc.d/rc[0~6].d`  优先看 rc3.d `more /etc/ld.so.preload`  linux 动态链接库
8. 系统日志: `/var/log/secure`  SSH 登陆日志、su 切换用户日志,只要涉及帐号和密码的程序都会记录 `/var/log/message`  记录系统重要信息的日志,这个日志文件中会记录 Linux 系统的绝大多数重要信息 `/var/log/cron`  计划任务日志 `/var/log/wtmp`  记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件,这个文件是二进制文件用 last
9. Rootkit 查杀: `chkrootkit` `rkhunter`

溯源技巧

对外溯源:确认攻击者的真实身份 

对内溯源:确认攻击者的行为 对内溯源 对内主要是溯源攻击者的行为,如果攻击者已经攻击成功了,攻击者肯定要上传攻击工具的,看一下他上传的什么工具。第一时间对其进行阻断,把 shell  先暂时干掉。干掉的同时,再去看外部日志 Apache 日志。通过攻击者上传 shell 的时间和攻击  IP,去索引搜索整个日志,然后看攻击者做了哪些请求,如果是 Get 请求可以看对方请求的一个资源、地址以及请求的内容;如果说是 Post  请求,攻击者应该是做了一些上传的操作,但是具体上传了什么东西,是不知道的,只能看到一个上传数据包,  不过可以通过防火墙去下载该完整的数据包,进行分析。 再之后,就进入了应急响应的一个流程。 对外溯源 *通过监测设备上面确定攻击 IP,确定是攻击者发起的请求,那么就通过这个 IP 确定域名,通过该域名查找到关于攻击者注册域名的一些相关信息。*通常会有 QQ 账号、QQ 邮箱等个人真实信息,再借助这些有效信息去社工。

通常情况下,接到溯源任务时,获得的信息如下:

```
攻击时间
攻击 IP
预警平台
攻击类型
恶意文件
受攻击域名/IP
```

其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。

通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP 地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。

如端口扫描大概率为个人 vps 或空间搜索引擎,在接到大量溯源任务时可优先溯源。

如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可优先溯源。

如爬虫大概率为空间搜索引擎,可放到最后溯源。 

如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2 地址可以使我们的溯源目标更有针对性) 

持续化控制代码需要详细分析,如采用 DGA 域名上线的方法,分析出域名算法,预测之后的域名可有效减少损失,增加溯源面。

**攻击痕迹清晰**

- 安全设备分析(若有)
- 系统日志分析

目的:获取对方攻击的时间节点,攻击方式,获取病毒文件,拿到攻击者的虚拟身份,最后攻击者复现

**攻击痕迹不清晰**

进行漏洞挖掘

相关人员询问

溯源反制

在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的画像。

- 比如拿到数据:

```bash
web攻击事件-11
攻击时间: 2021-08-17 09:09:99
攻击IP : 49.70.0.xxx
预警平台:天眼/绿盟/ibm/长亭waf

攻击类型: 植入后门文件
处置方式: 封禁需溯源
目标域名: 10.0.0.1
www.baidu.com
```

- 流程

1、针对 IP 通过开源情报 + 开放端口分析查询

首先通过威胁情报平台确认攻击 ip 是否为威胁 ip,常用的平台通常有如下

```
https://x.threatbook.cn/ 微步在线威胁情报社区
https://ti.qianxin.com/ 奇安信威胁情报中心
https://ti.360.cn/ 360威胁情报中心
https://www.venuseye.com.cn/  
VenusEye威胁情报中心

// 域名反查
站长之家IP查询网址:https://ip.tool.chinaz.com/ipbatch
IP138查询网:https://www.ip138.com/
高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx
IP信息查询:https://www.ipip.net/ip.html/
IP地址查询在线工具:https://tool.lu/ip/
多地Ping检测:http://ping.chinaz.com/
Whois查询:https://whois.chinaz.com/
```

当发现 IP 的为攻击 IP 后,可以尝试通过此 IP 去溯源攻击者,具体实现过程通常会用到下述方法: 

1. ip 反查域名
2. 域名查 whois 注册信息
3. 域名查备案信息、反查邮箱、反查注册人 http://whoissoft.com/
4. 邮箱反查下属域名
5. 注册人反查下属域名

然后,在端口:我们可以可查看一些开放服务进行进一步利用

再通过 nmap 对开放端口进行识别

```
nmap -p 3389,3306,6378 -Pn IP
```

| 7001/7002   | WebLogic 控制台  | 反序列化、控制台弱口令                                |
| ----------- | ---------------- | ----------------------------------------------------- |
| 3389        | RDP 远程端口连接 | shift 后门、爆破、ms12-020、CVE-2019-0708             |
| 6379        | Redis 数据库     | 可尝试为授权访问、弱口令爆破                          |
| 27017/27018 | MongoDB 数据库   | 爆破、未授权访问                                      |
| 3306        | Mysql 数据库     | 注入、提权、爆破                                      |
| 1521        | Oracle 数据库    | TNS 爆破、注入、反弹 shell                            |
| 53          | DNS 域名服务器   | 允许区域传送、DNS 劫持、缓存投毒、欺骗、CVE-2020-1350 |
| 21          | FTP 文件传输协议 | 允许匿名的上传、下载、爆破和嗅探操作                  |
| 22          | SSH 远程连接     | 爆破、SSH 隧道及内网代理转发、文件传输                |
| 23          | Telnet 远程连接  | 爆破、嗅探、弱口令                                    |
| 25          | SMTP 邮件服务    | 邮件伪造                                              |

**2、查询定位**

通过蜜罐等设备获取真实 IP,对 IP 进行定位,可定位具体位置。

定位 IP 网站:https://www.opengps.cn/Data/IP/ipplus.aspx

**3、得到常用 ID 信息收集:**

(1) 百度信息收集:“id” (双引号为英文)

(2) 谷歌信息收集

(3) src 信息收集(各大 src 排行榜,如果有名次交给我套路)

(4) 微博搜索(如果发现有微博记录,可使用 tg 查询 weibo 泄露数据)

(5) 微信 ID 收集:微信进行 ID 搜索(直接发钉钉群一起查)

(6) 如果获得手机号(可直接搜索支付宝确定目标姓氏、淘宝找回密码确定目标名字、社交账户等)

注意:获取手机号如果自己查到的信息不多,直接上报企业微信 / 钉钉群(利用共享渠道对其进行二次社工)

(7) 豆瓣 / 贴吧 / 知乎 / 脉脉 你能知道的所有社交平台,进行信息收集

**4、预警设备信息取证:**

上方数据一无所获,可考虑对其发起攻击的行为进行筛查,尝试判断其是否有指纹特征。

如看看不能上传 webshell ,在 webshell 中植入 probe.js,在 webshell 中增加 canvas 探针,获取  CPU,主板什么信息,如果对方用的 chrome 的话,并存在 Chrome UAF 0day ,CS 免杀客户端获得微信 ID

**5、跳板机信息收集(触发):**

进入红队跳板机查询相关信息

如果主机桌面没有敏感信息,可针对下列文件进行信息收集

last:查看登录成功日志

cat ~/.bash_history  :查看操作指令

ps -aux #查看进程

查看是否有类似 ID 的用户

重点关注 uid 为 500 以上的登录用户

nologin 为不可登录

注意:手机号、昵称 ID 均为重点数据,如查不到太多信息,直接上报指挥部。

- 附:

  - 攻击者上传了恶意程序的话:

    如果攻击者在恶意攻击过程中对目标资产上传攻击程序(如后门、恶意脚本、钓鱼程序等),我们可通过对攻击者上传的恶意程序进行分析,并通过 IP 定位等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:

  ```bash
  微步在线云沙箱:https://s.threatbook.cn/
  腾讯哈勃:https://habo.qq.com/
  Virustotal:https://www.virustotal.com/gui/home/upload
  火眼:https://fireeye.ijinshan.com
  魔盾安全分析:https://www.maldun.com/analysis/
  ```

- - 如果攻击者被蜜罐捕获的话:

    蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

    - 蜜罐溯源的两种常见方式:

      一种是在伪装的网站上插入特定的 js 文件,该 js 文件使用攻击者浏览器中缓存的 cookies 去对各大社交系统的 JSONP、XSS、CSRF 接口获取攻击者的 ID  和手机号等。另一种是在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

应急溯源和反制_第1张图片

你可能感兴趣的:(应急响应,应急响应)