雷鋒網按:本文作者sm0nk@獵戶攻防實驗室,雷鋒網宅客頻道授權轉載,先知技術社區擁有全部內容版權。媒體或商業轉載必須獲得授權,違者必追究法律責任。
1 事件分類
常見的安全事件:
Web入侵:掛馬、篡改、Webshell
系統入侵:系統異常、RDP爆破、SSH爆破、主機漏洞
病毒木馬:遠控、後門、勒索軟件
信息泄漏:拖褲、數據庫登錄(弱口令)
網絡流量:頻繁發包、批量請求、DDOS攻擊
2 排查思路
一個常規的入侵事件後的系統排查思路:
文件分析
a) 文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件
b) Webshell 排查與分析
c) 核心應用關聯目錄文件分析
進程分析
a) 當前活動進程 & 遠程連接
b) 啓動進程&計劃任務
c) 進程工具分析
i. Windows:Pchunter
ii. Linux: Chkrootkit&Rkhunter
系統信息
a) 環境變量
b) 帳號信息
c) History
d) 系統配置文件
日誌分析
a) 操作系統日誌
i. Windows: 事件查看器(eventvwr)
ii. Linux: /var/log/
b) 應用日誌分析
i. Access.log
ii. Error.log
3 分析排查
3.1 Linux系列分析排查
3.1.1 文件分析
敏感目錄的文件分析(類/tmp目錄,命令目錄/usr/bin /usr/sbin)
例如:
查看tmp目錄下的文件: ls –alt /tmp/
查看開機啓動項內容:ls -alt /etc/init.d/
查看指定目錄下文件時間的排序:ls -alt | head -n 10
針對可疑文件可以使用stat進行創建修改時間、訪問時間的詳細查看,若修改時間距離事件日期接近,有 線性關聯,說明可能被篡改或者其他。
新增文件分析
例如要查找24小時內被修改的JSP文件: find ./ -mtime 0 -name "*.jsp"
(最後一次修改發生在距離當前時間n24小時至(n+1)24 小時)
查找72小時內新增的文件find / -ctime -2
PS:-ctime 內容未改變權限改變時候也可以查出
根據確定時間去反推變更的文件
ls -al /tmp | grep "Feb 27"
特殊權限的文件
查找777的權限的文件 find / *.jsp -perm 4777
隱藏的文件(以 "."開頭的具有隱藏屬性的文件)
在文件分析過程中,手工排查頻率較高的命令是 find grep ls 核心目的是爲了關聯推理出可疑文件。
3.1.2 進程命令
使用netstat 網絡連接命令,分析可疑端口、可疑IP、可疑PID及程序進程
netstat –antlp | more
使用ps命令,分析進程
ps aux | grep pid | grep –v grep
將netstat與ps 結合,可參考vinc牛的案例:
(可以使用lsof -i:1677 查看指定端口對應的程序)
使用ls 以及 stat 查看系統命令是否被替換。
兩種思路:第一種查看命令目錄最近的時間排序,第二種根據確定時間去匹配。
ls -alt /usr/bin | head -10
ls -al /bin /usr/bin /usr/sbin/ /sbin/ | grep "Jan 15"
PS:如果日期數字<10,中間需要兩個空格。比如1月1日,grep “Jan 1”
隱藏進程查看
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2
3.1.3 系統信息
history (cat /root/.bash_history)
/etc/passwd
crontab /etc/cron*
rc.local /etc/init.d chkconfig
last
$PATH
strings
查看分析history (cat /root/.bash_history),曾經的命令操作痕跡,以便進一步排查溯源。運氣好有可能通過記錄關聯到如下信息:
a) wget 遠程某主機(域名&IP)的遠控文件;
b) 嘗試連接內網某主機(ssh scp),便於分析攻擊者意圖;
c) 打包某敏感數據或代碼,tar zip 類命令
d) 對系統進行配置,包括命令修改、遠控木馬類,可找到攻擊者關聯信息…
查看分析用戶相關分析
a) useradd userdel 的命令時間變化(stat),以及是否包含可疑信息
b) cat /etc/passwd 分析可疑帳號,可登錄帳號
查看UID爲0的帳號:awk -F: '{if($3==0)print $1}' /etc/passwd
查看能夠登錄的帳號:cat /etc/passwd | grep -E "/bin/bash$"
PS:UID爲0的帳號也不一定都是可疑帳號,Freebsd默認存在toor帳號,且uid爲0.(toor 在BSD官網解釋爲root替代帳號,屬於可信帳號)
查看分析任務計劃
a) 通過crontabl –l 查看當前的任務計劃有哪些,是否有後門木馬程序啓動相關信息;
b) 查看etc目錄任務計劃相關文件,ls /etc/cron*
查看linux 開機啓動程序
a) 查看rc.local文件(/etc/init.d/rc.local /etc/rc.local)
b) ls –alt /etc/init.d/
c) chkconfig
查看系統用戶登錄信息
a) 使用lastlog命令,系統中所有用戶最近一次登錄信息。
b) 使用lastb命令,用於顯示用戶錯誤的登錄列表
c) 使用last命令,用於顯示用戶最近登錄信息(數據源爲/var/log/wtmp,var/log/btmp)
utmp文件中保存的是當前正在本系統中的用戶的信息。
wtmp文件中保存的是登錄過本系統的用戶的信息。
/var/log/wtmp 文件結構和/var/run/utmp 文件結構一樣,都是引用/usr/include/bits/utmp.h 中的struct utmp
系統路徑分析
a) echo $PATH 分析有無敏感可疑信息
指定信息檢索
a) strings命令在對象文件或二進制文件中查找可打印的字符串
b) 分析sshd 文件,是否包括IP信息strings /usr/bin/.sshd | egrep '[1-9]{1,3}.[1-9]{1,3}.'
PS:此正則不嚴謹,但匹配IP已夠用
c) 根據關鍵字匹配命令內是否包含信息(如IP地址、時間信息、遠控信息、木馬特徵、代號名稱)
查看ssh相關目錄有無可疑的公鑰存在。
a) Redis(6379) 未授權惡意入侵,即可直接通過redis到目標主機導入公鑰。
b) 目錄: /etc/ssh ./.ssh/
3.1.4 後門排查
除以上文件、進程、系統 分析外,推薦工具:
chkrootkit rkhunter(www.chkrootkit.org rkhunter.sourceforge.net)
Ø chkrootkit
(迭代更新了20年)主要功能:
檢測是否被植入後門、木馬、rootkit
檢測系統命令是否正常
檢測登錄日誌
詳細參考README
Ø rkhunter主要功能:
系統命令(Binary)檢測,包括Md5 校驗
Rootkit檢測
本機敏感目錄、系統配置、服務及套間異常檢測
三方應用版本檢測
Ø RPM check檢查
系統完整性也可以通過rpm自帶的-Va來校驗檢查所有的rpm軟件包,有哪些被篡改了,防止rpm也被替換,上傳一個安全乾淨穩定版本rpm二進制到服務器上進行檢查
./rpm -Va > rpm.log
如果一切均校驗正常將不會產生任何輸出。如果有不一致的地方,就會顯示出來。輸出格式是8位長字符串, c 用以指配置文件, 接着是文件名. 8位字符的每一個 用以表示文件與RPM數據庫中一種屬性的比較結果 。 . (點) 表示測試通過。.下面的字符表示對RPM軟件包進行的某種測試失敗:
5 MD5 校驗碼
S 文件尺寸
L 符號連接
T 文件修改日期
D 設備
U 用戶
G 用戶組
M 模式e (包括權限和文件類型)
借用sobug文章案例:如下圖可知ps, pstree, netstat, sshd等等系統關鍵進程被篡改了
Ø Webshell查找
Webshell的排查可以通過文件、流量、日誌三種方式進行分析,基於文件的命名特徵和內容特徵,相對操作性較高,在入侵後應急過程中頻率也比較高。
可根據webshell特徵進行命令查找,簡單的可使用(當然會存在漏報和誤報)
find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'
Webshell的排查可以通過
Github上存在各種版本的webshell查殺腳本,當然都有自己的特點,可使用河馬shell查殺(shellpub.com)
綜上所述,通過chkrootkit 、rkhunter、RPM check、Webshell Check 等手段得出以下應對措施:
根據進程、連接等信息關聯的程序,查看木馬活動信息。
假如系統的命令(例如netstat ls 等)被替換,爲了進一步排查,需要下載一新的或者從其他未感染的主機拷貝新的命令。
發現可疑可執行的木馬文件,不要急於刪除,先打包備份一份。
發現可疑的文本木馬文件,使用文本工具對其內容進行分析,包括回連IP地址、加密方式、關鍵字(以便擴大整個目錄的文件特徵提取)等。
3.1.5 日誌分析
日誌文件 /var/log/message 包括整體系統信息 /var/log/auth.log 包含系統授權信息,包括用戶登錄和使用的權限機制等 /var/log/userlog 記錄所有等級用戶信息的日誌。 /var/log/cron 記錄crontab命令是否被正確的執行 /var/log/xferlog(vsftpd.log)記錄Linux FTP日誌 /var/log/lastlog 記錄登錄的用戶,可以使用命令lastlog查看 /var/log/secure 記錄大多數應用輸入的賬號與密碼,登錄成功與否 var/log/wtmp 記錄登錄系統成功的賬戶信息,等同於命令last var/log/faillog 記錄登錄系統不成功的賬號信息,一般會被黑客刪除
1.日誌查看分析,grep,sed,sort,awk綜合運用
2.基於時間的日誌管理:
/var/log/wtmp
/var/run/utmp
/var/log/lastlog(lastlog)
/var/log/btmp(lastb)
3.登錄日誌可以關注Accepted、Failed password 、invalid特殊關鍵字
4.登錄相關命令
lastlog 記錄最近幾次成功登錄的事件和最後一次不成功的登錄 who 命令查詢utmp文件並報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機 w 命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息 users 用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名把顯示相同的次數 last 命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶 finger 命令用來查找並顯示用戶信息,系統管理員通過使用該命令可以知道某個時候到底有多少用戶在使用這臺Linux主機。
5.幾個語句
定位有多少IP在爆破主機的root帳號 grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more 登錄成功的IP有哪些 grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more tail -400f demo.log #監控最後400行日誌文件的變化 等價與 tail -n 400 -f (-f參數是實時) less demo.log #查看日誌文件,支持上下滾屏,查找功能 uniq -c demo.log #標記該行重複的數量,不重複值爲1 grep -c 'ERROR' demo.log #輸出文件demo.log中查找所有包行ERROR的行的數量
3.1.6 相關處置
kill -9
chattr –i
rm
setfacl
ssh
chmod
3.2 Windows系列分析排查
3.2.1 文件分析
1.開機啓動有無異常文件
2.各個盤下的temp(tmp)相關目錄下查看有無異常文件
3.瀏覽器瀏覽痕跡、瀏覽器下載文件、瀏覽器cookie信息
4.查看文件時間,創建時間、修改時間、訪問時間。對應linux的ctime mtime atime,通過對文件右鍵屬性即可看到詳細的時間(也可以通過dir /tc 1.aspx 來查看創建時間),黑客通過菜刀類工具改變的是修改時間。所以如果修改時間在創建時間之前明顯是可疑文件。
5.查看用戶recent相關文件,通過分析最近打開分析可疑文件
a) C:\Documents and Settings\Administrator\Recent
b) C:\Documents and Settings\Default User\Recent
c) 開始,運行 %UserProfile%\Recent
6.根據文件夾內文件列表時間進行排序,查找可疑文件。當然也可以搜索指定日期範圍的文件及文件件
Server 2008 R2系列
Win10 系列
7.關鍵字匹配,通過確定後的入侵時間,以及webshell或js文件的關鍵字(比如博彩類),可以在IIS 日誌中進行過濾匹配,比如經常使用:
8.
知道是上傳目錄,在web log 中查看指定時間範圍包括上傳文件夾的訪問請求
findstr /s /m /I “UploadFiles” *.log
某次博彩事件中的六合彩信息是six.js
findstr /s /m /I “six.js” *.aspx
根據shell名關鍵字去搜索D盤spy相關的文件有哪些
for /r d:\ %i in (*spy*.aspx) do @echo %i
```
3.2.2 進程命令
1.netstat -ano 查看目前的網絡連接,定位可疑的ESTABLISHED
2.根據netstat 定位出的pid,再通過tasklist命令進行進程定位
3.通過tasklist命令查看可疑程序
3.2.3 系統信息
1.使用set命令查看變量的設置
2.Windows 的計劃任務;
3.Windows 的帳號信息,如隱藏帳號等
4.配套的註冊表信息檢索查看,SAM文件以及遠控軟件類
5.查看systeminfo 信息,系統版本以及補丁信息
例如系統的遠程命令執行漏洞MS08-067、MS09-001、MS17-010(永恆之藍)…
若進行漏洞比對,建議使用Windows-Exploit-Suggester
https://github.com/GDSSecurity/Windows-Exploit-Suggester/
3.2.4 後門排查
PC Hunter是一個Windows系統信息查看軟件
http://www.xuetr.com/
功能列表如下:
1.進程、線程、進程模塊、進程窗口、進程內存信息查看,殺進程、殺線程、卸載模塊等功能
2.內核驅動模塊查看,支持內核驅動模塊的內存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,並能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,並支持對這些Notify Routine的刪除
5.端口信息查看,目前不支持2000系統
6.查看消息鉤子
7.內核模塊的iat、eat、inline hook、patches檢測和恢復
8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測,並支持刪除
9.註冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.文件系統查看,支持基本的文件操作
12.查看(編輯)IE插件、SPI、啓動項、服務、Host文件、映像劫持、文件關聯、系統防火牆規則、IME
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.內核對象劫持檢測
17.WorkerThread枚舉
18.Ndis中一些回調信息枚舉
19.硬件調試寄存器、調試相關API檢測
20.枚舉SFilter/Fltmgr的回調
PS:最簡單的使用方法,根據顏色去辨識——可疑進程,隱藏服務、被掛鉤函數:紅色,然後根據程序右鍵功能去定位具體的程序和移除功能。根據可疑的進程名等進行互聯網信息檢索然後統一清除並關聯註冊表。
Webshell 排查
1.可以使用hm
2.也可以使用盾類(D盾、暗組盾),如果可以把web目錄導出,可以在自己虛擬機進行分析
3.2.5 日誌分析
1.打開事件管理器(開始—管理工具—事件查看/開始運行eventvwr)
2.主要分析安全日誌,可以藉助自帶的篩選功能
3.可以把日誌導出爲文本格式,然後使用notepad++ 打開,使用正則模式去匹配遠程登錄過的IP地址,在界定事件日期範圍的基礎,可以提高效率正則是:
4. ((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))
```
強大的日誌分析工具Log Parser
#分析IIS日誌
LogParser.exe "select top 10 time, c-ip,cs-uri-stem, sc-status, time-taken from C:\Users\sm0nk\Desktop\iis.log" -o:datagrid
有了這些我們就可以對windows日誌進行分析了 比如我們分析域控日誌的時候,想要查詢賬戶登陸過程中,用戶正確,密碼錯誤的情況,我們需要統計出源IP,時間,用戶名時,我們可以這麼寫(當然也可以結合一些統計函數,分組統計等等):
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"
事件ID是很好的索引
Windows server 2008系列參考event ID:
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4648 - 試圖使用明確的憑證登錄(例如遠程桌面)
3.2.6 相關處置
1.通過網絡連接鎖定的可疑進程,進行定位惡意程序後刪除(taskkill)
2.木馬查殺,可配合pchunter 進行進一步專業分析,使用工具功能進行強制停止以及刪除
3.最後清理後,統一查看網絡連接、進程、內核鉤子等是否正常。
3.3 應用類
Apache、tomcat、Nginx、IIS
無論任何web服務器其實日誌需要關注的東西是一致的,即access_log和error_log。一般在確定ip地址後,通過:
find . access_log |grep xargs ip攻擊地址
find . access_log| grep xargs 木馬文件名
頁面訪問排名前十的IP
cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10
頁面訪問排名前十的URL
cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10
查看最耗時的頁面
cat access.log | sort -k 2 -n -r | head 10
在對WEB日誌進行安全分析時,可以按照下面兩種思路展開,逐步深入,還原整個攻擊過程。
1.首先確定受到攻擊、入侵的時間範圍,以此爲線索,查找這個時間範圍內可疑的日誌,進一步排查,最終確定攻擊者,還原攻擊過程。
2.一般攻擊者在入侵網站後,通常會上傳一個後門文件,以方便自己以後訪問。我們也可以以該文件爲線索來展開分析。
4 應急總結
1.核心思路是“順藤摸瓜”
2.碎片信息的關聯分析
3.時間範圍的界定以及關鍵操作時間點串聯
4.Web入侵類,shell定位很重要
5.假設與求證
6.攻擊畫像與路線確認
5 滲透反輔
1.密碼讀取
a) Windows: Mimikatz
b) Linux: mimipenguin
2.帳號信息
a) 操作系統帳號
b) 數據庫帳號
c) 應用帳號信息
3.敏感信息
a) 配置信息
b) 數據庫信息
c) 服務端口信息
d) 指紋信息
4.滾雪球式線性拓展
a) 密碼口令類拓展(遠控)
b) 典型漏洞批量利用
5.常見的入侵方式Getshell方法
a) WEB入侵
i. 典型漏洞:注入Getshell , 上傳Getshell,命令執行Getshell,文件包含Getshell,代碼執行Getshell,編輯器getshell,後臺管理Getshell,數據庫操作Getshell
ii. 容器相關:Tomcat、Axis2、WebLogic等中間件弱口令上傳war包等,Websphere、weblogic、jboss反序列化,Struts2代碼執行漏洞,Spring命令執行漏洞
b) 系統入侵
i. SSH 破解後登錄操作
ii. RDP 破解後登錄操作
iii. MSSQL破解後遠控操作
iv. SMB遠程命令執行(MS08-067、MS17-010、CVE-2017-7494)
c) 典型應用
i. Mail暴力破解後信息挖掘及漏洞利用
ii. VPN暴力破解後繞過邊界
iii. Redis 未授權訪問或弱口令可導ssh公鑰或命令執行
iv. Rsync 未授權訪問類
v. Mongodb未授權訪問類
vi. Elasticsearch命令執行漏洞
vii. Memcache未授權訪問漏洞
viii. 服務相關口令(mysql ldap zebra squid vnc smb)
6 資源參考
https://www.waitalone.cn/linux-find-webshell.html
http://vinc.top/category/yjxy/
http://www.shellpub.com/
http://linux.vbird.org/linux_security/0420rkhunter.php
https://cisofy.com/download/lynis/
https://sobug.com/article/detail/27?from=message&isappinstalled=1
http://www.freebuf.com/articles/web/23358.html
https://www.microsoft.com/en-us/download/details.aspx?id=24659
http://www.cnblogs.com/downmoon/archive/2009/09/02/1558409.html
http://wooyun.jozxing.cc/static/drops/tips-7462.html
http://bobao.360.cn/learning/detail/3830.html
https://yq.aliyun.com/ziliao/65679
http://secsky.sinaapp.com/188.html
http://blog.sina.com.cn/s/blog_d7058b150102wu07.html
http://www.sleuthkit.org/autopsy/
7 FAQ
1.應急需求有哪些分類:
a) 被誰入侵了? 關聯 攻擊IP 攻擊者信息
b) 怎麼入侵的? 關聯 入侵時間軸、漏洞信息
c) 爲什麼被入侵? 關聯 行業特性、數據信息、漏洞信息
d) 數據是否被竊取? 關聯 日誌審計
e) 怎麼辦? 關聯 隔離、排查分析、刪馬(解密)、加固、新運營
2.關於windows的日誌工具(log parser)有無圖形界面版?
Log Parser Lizard 是一款用Vc++.net寫的logParser增強工具。主要有以下特點:
a) 封裝了logParser命令,帶圖形界面,大大降低了LogParser的使用難度。
b) 集成了幾個開源工具,如log4net等。可以對IIS logs\EventLogs\active directory\log4net\File Systems\T-SQL進行方便的查詢。
c) 集成了Infragistics.UltraChart.Core.v4.3、Infragistics.Excel.v4.3.dll等,使查詢結果可以方便的以圖表或E. XCEL格式展示。
d) 集成了常見的查詢命令,範圍包含六大模塊:IIS
e) 可以將查詢過的命令保存下來,方便再次使用。
PS:軟件是比較老的,對新系統兼容性不好,還是建議微軟原生態log parser
3.在linux日誌中,有無黑客入侵後的操作命令的統計****
a) 可以根據history信息進行溯源分析,但一般可能會被清除
b) 還有方法是需要結合accton 和 lastcomm
4. 3.2.3 提到了Windows-Exploit-Suggester,有無linux版?
Linux_Exploit_Suggester https://github.com/PenturaLabs/Linux_Exploit_Suggester
5.有無linux自動化信息收集的腳本工具?
LinEnum https://github.com/rebootuser/LinEnum
6.
7.有無綜合的取證分析工具
Autopsy 是sleuthkit提供的平臺工具,Windows 和 Linux磁盤映像靜態分析、恢復被刪文件、時間線分析,網絡瀏覽歷史,關鍵字搜索和郵件分析等功能
http://www.sleuthkit.org/autopsy/
8.關於業務邏輯的排查方法說明
新型業務安全中安全事件,例如撞庫、薅羊毛、支付、邏輯校驗等敏感環節,未在本文體現,所以後續有必要針對業務側的應急排查方法歸納。
雷鋒網(公衆號:雷鋒網)再次聲明:本文作者sm0nk@獵戶攻防實驗室,雷鋒網宅客頻道授權轉載,先知技術社區擁有全部內容版權。媒體或商業轉載必須獲得授權,違者必追究法律責任。
雷鋒網版權文章,未經授權禁止轉載。詳情見轉載須知。