应急响应总结
一、 基础技能&工具
常用方法
三要素:时间;地点;事件(系统、安全设备、相关应用、操作历史日志)
回溯攻击法:模拟攻击
经验法:常用目录(tmp; /var/tmp: dev/shm; RECYCLER);惯用手法(常见一句话木马;常见后门);常见恶意程序特征
日志
主机:应用程序;安全性;系统
其他:IIS;Apache;Tomcat
日志id
登录:4625 登陆失败;4624登陆成功
事件:5 拒绝访问;6 句柄无效;7 存储控制块被破坏;8 存储空间不足;9 存储控制块地址无效
常用工具
Sysintermals Suite(系统内部套件)工具集合(https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite)
Autoruns对进程、服务、启动项等进行检查
procdump对内存进行dump
PCHunter可以查看内核文件、驱动模块、隐藏进程、注册表内核,网络(火绒剑/PowerTool)
Process monitor主要是监控进程的行为应用程序运行时使用此软件来监控程序的各种操作。文件系统,注册表,进程,网络,分析
Event Log Explorer-系统安全-查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件
FullEventLogView是个轻量级的日志检索工具
Log Parser是微软工程师写的一个日志分析工具
勒索病毒及解密工具查询网站
https://id-ransomware.malwarehunterteam.com
https://esupport.trendmicro.com/en-us/home/pages/technical-support/1114221.aspx
https://noransom.kaspersky.com
https://www.emsisoft.com/ransomware-decryption-tools/
https://www.avast.com/en-us/ransomware-decryption-tools
威胁情报
二、勒索病毒
例子
Crysis;Phobos;Globelmposter;Sodinokibi;WannaCry
日志查看工具
Event log Explorer; LogParser; 观星平台
三、挖矿木马
常见挖矿木马
WannaMine、 Mykings(隐匿者)、 Bulehero, 8220Miner、“匿影”挖矿木马、DDG、h2Miner、 MinerGuard、 Kworkerds、 Watchdogs
特点
CPU占用率高;内网漏洞及咆勃的方式进行传播;蠕虫病毒
Windows平台利用漏洞
weblogic
CVE-2014-4210 SSRF漏洞
CVE-2017-10271 XMLDecoder 反序列化漏洞< 10.3.6
CVE-2018-2628 WLS Core Components 反序列化命令执行(T3协议)
CVE-2018-2894 任意文件上传漏洞
CVE-2019-2618 任意文件读取+文件上传
CVE-2020-14882 特殊http请求控制console
CVE-2020-14883 权限绕过漏洞
Drupal
CVE-2018-7600 远程代码执行
CVE-2018-7602 远程命令执行漏洞
CVE-2019-6339 远程代码执行漏洞
CVE-2019-6341 XSS
CVE-2020-28948/28949 远程代码执行漏洞/任意文件覆盖漏洞
Struts2
CVE-2017-5638
CVE-2017-9805
CVE-2018-11776
ThinkPHP
ThinkPHPv3 GetShell
ThinkPHPv5 GetShell
Windows Server
弱口令爆破
CVE-2017-0143
phpMyAdmin
弱口令
Mysql
弱口令
Spring Data Commons
CVE-2018-1273
Tomcat
弱口令爆破
CVE-2017-13615
Mssql
弱口令爆破
JeKins
CVE-2019-1003000
JBoss
CVE-2010-0738
CVE-2017-12149
组件利用漏洞
Docker
Docker未授权漏洞
docker逃逸
CVE-2016-5195
CVE-2019-5736
配置不当引发的docker逃逸(emote api 未授权访问、docker.sock挂载到容器内部、特权模式)
Nexus Repository
Nexus Repository Manager 3远程代码执行
ElasticSearch
ElasticSearch未授权漏洞
Hadoop Yarn
Hadoop Yarn REST AP|未授权漏洞
Kubernetes
Kubernetes API Server未授权漏洞
Jenkins
Jenkins RCE(CVE-2019-1003000)
Spark
Spark REST AP未授权漏洞
Windows
排查账号
lusrmgr.msc、net user
注册表
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
四、WEBSHELL
检测
基于流量的Webshell检测
基于文件的Webshell检测
基于日志的Webshell检测
web日志
lIS日志、Apache日志、Tomcat日志、Tomcat日志
五、网页篡改
隔离被感染的服务器/主机
排查业务系统
确定漏洞源头、溯源分析
恢复数据和业务
六、数据泄漏
文件排查
查看文件(文件夹)详细信息:stat
查找当前目录下,指定日期后创建的文件:find ./ -newerct 2021-03-06
隐藏进程查看:
ps -ef |awk '{print $2}' |sort -n|uniq >1
ls /proc | sort -n | uniq > 2
diff 1 2
进程排查
列会显示:docker ps -a --no-trunc command
日志排查
utmp:当前正在本系统中的用户信息。
wtmp:登陆过本系统的用户信息
数据源:/var/log/vtmp 、/var/log/btmp
定位ip爆破:grep "Failed password for root" /var/log/secure|awk '{print $11}'|sort|uniq -c|sort -nr|more
登录成功ip:grep "Accepted" /var/log/secure|awk '{print $11}'|sort|uniq -c|sort-nr|more
用户信息文件:/etc/passwd
定时任务文件:/etc/crontab
异步定时任务:/etc/anacrontab
开机启动项:/etc/rc.d/rc.local
登录失败日志:last /var/log/btmp
定时任务执行日志:/var/log/cron
所有用户最近登录信息:lastlog
验证、授权:/var/log/secure
后门查找
查找SUID:find / -type f -perm -04000 -ls -uid 0 2>/dev/null
busybox 命令被替换或者系统函数被劫持可以用
chkrootkit、 rkhunter, Webshell Check
sysmom
监控:ProcessCreate 进程创建、FileCreateTime 进程创建时间、NetworkConnect 网络链接
ProcessTermina 进程结束、DriverLoad 驱动载 ImageLoad 镜像加载
CreateRemoteTh远程线程创建、RawAccessRead 驱动器读取、ProcessAccess 进程访问
FileCreate 文件创建 、RegistryEvent 注册表事件、 FileCreateStre 文件流创建
HawkEye
主要功能:企业 Github信息监测;告警推送;周期性监控:Web端管理
浙公网安备 33010602011771号