HW防守|应急溯源分析手册汇总篇
2020-09-21 15:53:13 Author: www.secpulse.com(查看原文) 阅读量:327 收藏

Web漏洞应急篇

Shiro 攻击
特征rememberMe
恶意 Cookie rememberMe值构造
前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 -> 发送cookie

Apache Shiro处理cookie的流程
得到rememberMe的cookie值 -> Base64解码 -> AES-128-CBC解密-> 反序列化(readobject)

应急流程
设备查看告警信息,对rememberMe进行解密,查看反弹IP/域名进行进一步溯源。

rememberMe管理器代码中写到cookie加密密钥默认为AES算法,可以将黑客常用的攻击密钥做一个keylist进行解密,直接在解密内容里查看payload。

解密工具
https://github.com/Wh0ale/SHIRO_Rememberme_decode

排查思路,该漏洞都是通过rememberMe进行传入payload,直接对日志中shiro进行反编译即可查到相关信息(vps、未公开的利用链、特殊的payload)
Weblogic 攻击
流量层:可以直接查看到他的访问地址数据包内payload

如CVE-2020-2551(iiop)漏洞主要是通过 JtaTransactionManager 来进行加载 LDAP 协议的内容

在日志里显示:
Weblogic日志主要分为:Server日志、HTTP日志和DOMAIN日志;

1、Server日志
主要功能:记录Weblogic Server启动至关闭过程中的运行信息和错误信息。
日志结构:时间戳、严重程度、子系统、计算机名、服务器名、线程 ID、用户 ID、事务 ID、诊断上下文 ID、原始时间值、消息 ID 和消息文本。

2、DOMAIN日志
主要功能:记录一个DOMAIN下的各个Weblogic Server的启动至关闭过程中的运行信息和错误信息。
日志结构:
####<Oct 18, 2018 2:21:11 PM CST>     <[ACTIVE]ExecuteThread: '9' for queue: 'weblogic.kernel.Default (self-tuning)'> <> <> <> <1539843671288>

iiop协议不会在http请求中有记录,应急主要注意domain日志的记录

应急流程:
t3协议
临时处置方式:
1.及时更新补丁
2.禁用T3协议
3.禁止T3端口对外开放, 或者限制可访问T3端口的IP来源
漏洞列表:
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893
CVE-2019-2890
CVE-2020-2555
iiop协议
临时处置:
1.及时更新补丁
2.通过 Weblogic 控制台进行关闭 IIOP 协议
漏洞列表:
CVE-2020-2551
Redis未授权
1.写webshell
2.写ssh密钥
3.写计划任务反弹shell
redis攻击方式请参考:
https://mp.weixin.qq.com/s/9fNVZy4k07bcIWGp5aSz5A
应急流程:
查看配置信息是否存在异常(根据显示信息可判断是哪种攻击方式)
config get *


写ssh密钥


反弹shell


写文件路径
查看key信息是否有攻击队特征信息
如果发现攻击队正在操作redis,可以使用 monitor命令进行检测
修复建议:
对于未授权漏洞,增加密码认证
冰蝎与内存马攻击


特征:后缀为动态脚本(jsp、asp、php) 请求体加密状态
内存马攻击特征:没有落地文件通常以 http://url.com/xxx/ (直接以某个文件夹为路径)
应急思路
针对webshell,可直接对web路径下查找动态脚本文件,也可以直接搜索文件内特征值

find / -name *.jsp | xargs grep "pass"

(pass为特征值,可以修改。如果返回内容过多可自行修改特征)

对于内存马,虽然现在有各种文章分析如何提取,但最简单的方法还是重启解决问题。
如果想知道如何手动清理,请移步至:
https://mp.weixin.qq.com/s/DRbGeVOcJ8**xo7Gin45kQ
修复建议:
1.根据漏洞来定,如果是程序漏洞修复即可
2.上传漏洞,禁止上传动态脚本文件,采用白名单机制仅允许特定后缀上传
Windows应急思路篇
Windows排查
对于已经留有后门的机器,可以对进程进行排查
使用pc hunter对文件签名进行校验,发现存在未签名文件(红色),重点对该文件进行分析

颜色:
1.驱动检测到的可疑对象,隐藏服务,进程,被挂钩函数的文件或进程>红色。
2.文件厂商是微软的>黑色。
3.文件厂商非微软的>蓝色。
4.校验所有数字签名后,对没有签名的模块或签名已过期或吊销的>玫红色。
5.查看下挂模块时,微软进程被下挂其他公司模块的>黄棕色。

定位文件,提取样本进行分析
直接把样本上传微步在线,奇安信威胁平台等 进行沙箱分析
微步在线:https://x.threatbook.cn/

奇安信:https://ti.qianxin.com/
360:https://ti.360.cn/
文件找不到可查看网络连接,对可疑外网IP进行威胁情报查询
针对可疑进程在pchunter 定位,如果无法上传工具,也可手动定位
命令:tasklist | findstr pid (网络连接最后一行数字)


ps:建议直接输入路径进入
如果还是没有结果,可在虚拟机快照中,对文件进行分析(注意运行时请使用手机热点网络,与单位网络隔离)
通过火绒剑对进程动作进行捕获
网络中可以查看,实时连接IP服务


如果病毒迁移进system ,封禁IP。后续查找主机问题,修补漏洞,重启即可。
Linux应急思路篇
对于攻击者来说,不管他如何隐藏,总要走流量。我们主要针对流量进行分析即可。
netstat -anlpt 查看是否存在恶意流量(通过威胁情报进行判定是否为恶意域名)
查找对应流量连接位置
ls -al /proc/PID (根据查到pid进程输入)

如 ls -al /proc/791
exe -> 指向启动当前进程的可执行文件(完整路径)的符号链接

详细分析:

https://www.cnblogs.com/liushui-sky/p/9354536.html

发现样本文件,上传微步在线分析数据

应急处置措施:


分析攻击手段,首先判断该主机为什么系统,上面跑了什么业务。根据业务去判断,可能存在漏洞,调取相应日志进行取证。如果上面没有业务,也没开放高危端口,可查看是否为弱口令登录,查看登录日志。

last为登录成功日志



lastb为登录失败,可查看是否爆破


也可以结合文件上传时间对比登录用户,进行分析

stat 查看日志创建时间

如果怀疑某个文件为木马控制端,可直接对文件进行调试查看传递信息
strace -p pid #调试进程
查看history可以查看攻击者执行历史记录,但可能被删除了

history 或 cat ~/.bash_history 查看历史命令,查找痕迹

应急措施:
1.对于存在漏洞的cms采取相应的修复方案
2.对于不知道攻击源的登录方式,可直接修改密码

本文作者:Timeline Sec

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/141292.html


文章来源: https://www.secpulse.com/archives/141292.html
如有侵权请联系:admin#unsafe.sh