龙华新区网站制作,美食网站策划书范文,网上推广哪家好,做一个交易平台网站的成本Windows应急响应
蓝队溯源流程
学习Windows应急首先要站在攻击者的角度去学习一些权限维持和权限提升的方法.,文章中的方法其实和内网攻防笔记有类似l红队教你怎么利用 蓝队教你怎么排查 攻防一体,应急响应排查这些项目就可以 端口/服务/进程/后门文件都是为了权限维持,得到s…Windows应急响应
蓝队溯源流程
学习Windows应急首先要站在攻击者的角度去学习一些权限维持和权限提升的方法.,文章中的方法其实和内网攻防笔记有类似l红队教你怎么利用 蓝队教你怎么排查 攻防一体,应急响应排查这些项目就可以 端口/服务/进程/后门文件都是为了权限维持,得到shell的方式就是传入文件然后CS MSF远控 可疑账号/新增账号/克隆账号(利用注册表普通命令不行)异常端口/进程 (端口3389 22 进程或许有进程迁移) 启动项目/计划任务/服务自启动日志 用户登陆时间系统相关信息/补丁/目录工具排查
排查可以是工具可以是手工,工具蓝队工具和D盾都是可以整体看系统全局
lusrmgr.msc bet user // 查看账户netstat -ano // 查看端口对应PID情况wmic process get name.executablepath,processid|findstr 212 // 查询指定PID路径地址eventvwr.msc // 查看日志 如查询主机所有开机自启利用工具包内置的Autoruns即可查全局 Windows权限维持
隐藏方法
隐藏文件
命令隐藏
常规的属性隐藏很轻易就可以看到,红队上传文件后使用该命令隐藏文件属性,同样我们可以利用命令还原
attrib A R S H saber.txt // 隐藏 saber.txt 查杀方式
撤销 attrib -A -R -S -H // 在怀疑被上传文件被隐藏文件的目录下执行此文件就行驱动机隐藏
驱动隐藏可以根据一些软件进行实现 Easy File Locker
// 下载地址http://dx2.anxz.com/soft/E/EasyFileLockerxz.zip 取消勾选各类属性 查杀方式
排查C盘路径如果出现以下文件说明主机受到驱动机隐藏
c:\windows\xlkfs.dat
c:\windows\xlkfs .dl1
C:\windows\xlkfs.ini
c:\windows\system32\driversxlkfs.sys找到相关驱动机服务停止,并删除残留在C盘中的驱动机文件,后重启系统
sc qc xlkfs // 查看相关服务 net stop xlkfs // 停止服务sc delete xlkfs // 删除服务隐藏账户
D盾查杀
D盾检查隐藏账户并删除,并且存在很多功能查看端口外联还有进程迁移的情况普通的命令是无法查询到的注册表可以查到 进程迁移 一个端口只能绑定一个进程, 但是一个进程可以多次消耗端口进行绑定 CS MSF 远控木马工具得到权限后,可将原始的进程迁移到安全的进程中实现隐藏的效果,实现了文件权限维持,提高隐蔽性实现持久化,一般只学习MSF会话注入 CS注入
// 查看进程,如果一个进程PID存在有两个程序名很可能是进程迁移 tasklist // 可以实现内网横向 木马进程200迁移到正常程序100上,作为防守方排查看到正常程序就忽略了木马
木马 进程PID 200 qq.exe 进程PID 100migrate 999 // MSF进程迁移命令将当前恶意进程payload迁移到另一个进程中以提高持久性和隐蔽性
查杀方式
进程注入在内存列表中肯定会多出一块文件地址,找到多出的文件地址提取字符串在本地查看就会出现实际外联的IP端口 如正常排查了所有进程后仍无法找到那么肯定是迁移到了系统进程,使用火绒剑监控对可疑进程实施监控进程树,可疑进程监测就完事
后门方法
注册表自启动
注册表键值
因为红队会修改注册表自启动的程序替换为木马,实现开机自启动,下面是常用的注册表自启动键 无文件注册表后门
cs可以创建powershell无文件,CS端创建注册表 服务自启动
得到权限后创建服务路径为木马程序设置自动启动,每次开机就会上线 组策略自启动
打开组策略面板设置木马文件路径,达到开机自启权限维持效果
gpedit计划任务自启动
计划任务
启动项自启动
探测隐藏后门
在网站庞大的代码量面前工具也可能存在Webshell绕过的情况。另外像暗链、网页劫持、页面跳转等常见的黑帽SEO手法也很难通过手动检测或工具检测全部识别出来最好的方式就是做文件完整性验证。通过与原始代码对比可以快速发现文件是否被篡改以及被篡改的位置。当然第一个前提是你所在的团队已具备代码版本管理的能力
**webshell**查杀
D盾_Web查杀http://www.d99net.net/index.asp
河马webshell查杀http://www.shellpub.com
深信服Webshell网站后门检测工具http://edr.sangfor.com.cn/backdoor_detection.html
文件**MD5**校验 将网站所有文件,计算一次hash值保存当出现应急情况时重新计算一次hash值并与上次保存的hash值进行对比从而输出新创建的、修改过及删除的文件列表,二次计算都必须使用相同的校验算法,如果二者前后hash值相同则认为文件是正确的,如果两个特征值不同则认为下载到exe文件是被篡改过的 def md5sum(file):mhashlib.md5()if os.path.isfile(file):fopen(file,rb)for line in f:m.update(line)f.closeelse:m.update(file)return (m.hexdigest())diff命令
linux使用此命令,比较两个文本文件的差异
如果服务器中存在隐藏的后门需要进一步的排查和清除以保障服务器的安全。可以采用以下方法进行探测和清除
检查文件完整性使用md5sum命令计算服务器上所有文件的哈希值并将结果与之前保存的哈希值进行对比。如果有文件的哈希值发生了变化则可能存在篡改需要进一步排查。查看日志检查服务器日志文件查看是否有可疑的登录信息或异常操作。可以使用tail命令实时查看日志或者使用grep命令查找特定的关键字。
使用diff命令进行文件校验判断文件是否被篡改
diff -rA file1 file2-A选项用于比较所有行
file1.txt file2.txt
1 file1.txt
2 file2.txt
3
4 # 此行为示例文本非原始文本
5 # 如果存在此行则文件可能被篡改
6
7 # 原始文本内容
8 content1
9 content2
10 # ...
11如果存在差异行则说明文件被篡改过
远程防御
通过设置防火墙规则、更新补丁、使用加密传输等手段来保护服务器免受攻击。同时定期对系统进行漏洞扫描和渗透测试及时发现并修复漏洞
版本控制工具
重新将代码上传至git,打开项目,在历史提交版本里面查看文件更改内容很容易就可以发现代码被篡改的地方了 文件对比工具
使用软件Beyond Compare对两个文件夹进行差异对比,查看是否篡改
CS MSF远控应急 面试回答 远控工具必定有外联IP端口查看系统对应进程,进程PID找到CS告警文件,找到上传路径,如果隐藏利用手工结合工具找到 后续排查存在权限维持的点 服务/启动项/注册表/计划任务/组策略,删除对应文件 红队修改心跳包为0/1s 是无法看到外联端口,借助工具火绒剑时时监测 MSF处理也是这样找外联进程确定文件位置排查启动项,包括蠕虫 挖矿只要涉及需要运行的项目就肯定有进程,根据进程找文件…通用方案)
netstat -ano 命令找到外联进程后杀死这个进程,木马上传肯定会进行权限维持操作, 可能会隐藏文件可能是实现自启动根据外联进程的PID文件地址,进行查找对应的项目进行应急.找到删除就可以,服务自启动就是删除服务
内存马应急 暴力破解
RDP
排查windows日志确认攻击禁止3389出网设置连接IP白名单
日志分析
01-windows日志分析.pdf
windows日志分析 Windows系统日志是记录系统中硬件、软件和系统问题的信息同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因或者寻找受到攻击时攻击者留下的痕迹,主要有此三类日志 应用程序日志系统日志安全日志
eventvwr.msc // 命令查看或手动搜索事件日志文应用程序日志
包含由应用程序或系统程序记录的事件主要记录程序运行方面的事件例如数据库程序可以在应用程序日志中记录文件错误如果某个应用程序出现崩溃情况那么我们可以从程序事件日志中找到相应的记录
系统日志
记录操作系统组件产生的事件主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
安全日志
记录系统的安全审计事件包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下安全性日志是关闭的管理员可以使用组策略来启动安全日志 分析事件ID
windows事件日志分,不同的事件ID对应了不同意义 筛选日志功能对3个日志的事件ID进行筛选,比如暴力破解就可以筛选事件ID为4625 登录成功类型方式
每个成功登录的事件都会标记一个登录类型不同登录类型代表不同的方式 日志分析工具
Log Parser分析基于文本的日志文件、XML 文件、CSV逗号分隔符文件以及操作系统的事件日志,
可以像使用 SQL 语句一样查询分析这些数据 windows日志快速分析小工具 Web日志分析
Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息
分析后可以帮助我们快速定位攻击者还原攻击路径,常见两个思路
确定入侵的时间范围以此为线索查找这个时间范围内可疑的日志进一步排查最终确定攻击者还原攻击过程攻击者在入侵网站后通常会留下后门维持权限以方便再次访问我们可以找到该文件并以此为线索来展开分析
日志统计分析技巧
统计IP统计网段统计域名统计流量病毒处理方案
勒索病毒
通过勒索病毒索引引擎查找勒索病毒相关信息再通过各个安全公司提供的免费勒索软件解密工具解密,但是全拼运气,平时防护措施就是勤打补丁多备份
勒索病毒搜索
360
腾讯
启明星辰
奇安信勒索软件解密工具
腾讯哈勃
金山毒霸
火绒
卡巴斯基蠕虫病毒
它是一种自包含的程序或是一套程序通常通过网络途径传播每入侵到一台新的计算机它就在这台计算机上复制自己并自动执行它自身的程序
处理流程
1、发现异常出口防火墙、本地端口连接情况主动向外网发起大量连接
2、病毒查杀卡巴斯基全盘扫描发现异常文件
3、确认病毒使用多引擎在线病毒对该文件扫描确认服务器感染conficker蠕虫病毒。
4、病毒处理使用conficker蠕虫专杀工具对服务器进行清查成功清除病毒。挖矿病毒
表现特征为电脑CPU占用率高C盘可使用空间骤降电脑温度升高、风扇噪声增大,因为后台一直在运行
1. 首先将已被感染的服务器进行断网,并立即把网络中其他机器进行隔离
2. 溯源排查服务器进行,找出哪个进程哪个端口异常,查看服务定时任务,开机启动项,确定挖矿文件路径
3. 手工或者杀软工具彻底删除文件批量挂黑页
网站被挂上各种菠菜链接,链接可以访问直接访问物理路径也可以看到文件但是打开网站目录并没有发现这些文件
确定黑页上传文件的路径,到对应的文件夹目录修改文件夹属性尝试显示隐藏的文件,如有立即清除打开电脑文件夹选项卡取消”隐藏受保护的操作系统文件“勾选把”隐藏文件和文件夹“下面的单选选择“显示隐藏的文件、文件夹和驱动器
再次查看可以看到半透明的文件夹清楚隐藏文件夹及所有页面 管理员账号被篡改
网站虽然前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改
1. 使用工具扫描结合手工确定是否有webshell文件,存在则去对应目录查看恶意文件创建时间访问对应时间段日志,对发出此文件的IP进行封禁webshell文件可能携带sql语句,增加用户语句
文章转载自: http://www.morning.ktrzt.cn.gov.cn.ktrzt.cn http://www.morning.pwzzk.cn.gov.cn.pwzzk.cn http://www.morning.pqsys.cn.gov.cn.pqsys.cn http://www.morning.lveyue.com.gov.cn.lveyue.com http://www.morning.jsmyw.cn.gov.cn.jsmyw.cn http://www.morning.wdrxh.cn.gov.cn.wdrxh.cn http://www.morning.nfgbf.cn.gov.cn.nfgbf.cn http://www.morning.qpsft.cn.gov.cn.qpsft.cn http://www.morning.gqwpl.cn.gov.cn.gqwpl.cn http://www.morning.fbylq.cn.gov.cn.fbylq.cn http://www.morning.drpbc.cn.gov.cn.drpbc.cn http://www.morning.rfbq.cn.gov.cn.rfbq.cn http://www.morning.smsjx.cn.gov.cn.smsjx.cn http://www.morning.mfrb.cn.gov.cn.mfrb.cn http://www.morning.qxltp.cn.gov.cn.qxltp.cn http://www.morning.mrfr.cn.gov.cn.mrfr.cn http://www.morning.tstkr.cn.gov.cn.tstkr.cn http://www.morning.rbbzn.cn.gov.cn.rbbzn.cn http://www.morning.c7617.cn.gov.cn.c7617.cn http://www.morning.lynmt.cn.gov.cn.lynmt.cn http://www.morning.zhishizf.cn.gov.cn.zhishizf.cn http://www.morning.yqkxr.cn.gov.cn.yqkxr.cn http://www.morning.fwwkr.cn.gov.cn.fwwkr.cn http://www.morning.wcgfy.cn.gov.cn.wcgfy.cn http://www.morning.pznhn.cn.gov.cn.pznhn.cn http://www.morning.drcnn.cn.gov.cn.drcnn.cn http://www.morning.mbhdl.cn.gov.cn.mbhdl.cn http://www.morning.amonr.com.gov.cn.amonr.com http://www.morning.yskhj.cn.gov.cn.yskhj.cn http://www.morning.mqzcn.cn.gov.cn.mqzcn.cn http://www.morning.wnxqf.cn.gov.cn.wnxqf.cn http://www.morning.xxwl1.com.gov.cn.xxwl1.com http://www.morning.gbsfs.com.gov.cn.gbsfs.com http://www.morning.swdnr.cn.gov.cn.swdnr.cn http://www.morning.xxrwp.cn.gov.cn.xxrwp.cn http://www.morning.080203.cn.gov.cn.080203.cn http://www.morning.jbblf.cn.gov.cn.jbblf.cn http://www.morning.tntgc.cn.gov.cn.tntgc.cn http://www.morning.jhqcr.cn.gov.cn.jhqcr.cn http://www.morning.pqwhk.cn.gov.cn.pqwhk.cn http://www.morning.gynls.cn.gov.cn.gynls.cn http://www.morning.fhwfk.cn.gov.cn.fhwfk.cn http://www.morning.lnmby.cn.gov.cn.lnmby.cn http://www.morning.mm27.cn.gov.cn.mm27.cn http://www.morning.ghrlx.cn.gov.cn.ghrlx.cn http://www.morning.mlpmf.cn.gov.cn.mlpmf.cn http://www.morning.yfmlj.cn.gov.cn.yfmlj.cn http://www.morning.cwgpl.cn.gov.cn.cwgpl.cn http://www.morning.jqhrk.cn.gov.cn.jqhrk.cn http://www.morning.mywmb.cn.gov.cn.mywmb.cn http://www.morning.qncqd.cn.gov.cn.qncqd.cn http://www.morning.kzqpn.cn.gov.cn.kzqpn.cn http://www.morning.fwzjs.cn.gov.cn.fwzjs.cn http://www.morning.thbnt.cn.gov.cn.thbnt.cn http://www.morning.jggr.cn.gov.cn.jggr.cn http://www.morning.jykzy.cn.gov.cn.jykzy.cn http://www.morning.xqbgm.cn.gov.cn.xqbgm.cn http://www.morning.bygyd.cn.gov.cn.bygyd.cn http://www.morning.mmhaoma.com.gov.cn.mmhaoma.com http://www.morning.zkdmk.cn.gov.cn.zkdmk.cn http://www.morning.tkxr.cn.gov.cn.tkxr.cn http://www.morning.gfpyy.cn.gov.cn.gfpyy.cn http://www.morning.hcsnk.cn.gov.cn.hcsnk.cn http://www.morning.lbpqk.cn.gov.cn.lbpqk.cn http://www.morning.kmqjx.cn.gov.cn.kmqjx.cn http://www.morning.bnfjh.cn.gov.cn.bnfjh.cn http://www.morning.wnzgm.cn.gov.cn.wnzgm.cn http://www.morning.tlnkz.cn.gov.cn.tlnkz.cn http://www.morning.jbctp.cn.gov.cn.jbctp.cn http://www.morning.mygbt.cn.gov.cn.mygbt.cn http://www.morning.zmyhn.cn.gov.cn.zmyhn.cn http://www.morning.kwz6232.cn.gov.cn.kwz6232.cn http://www.morning.zhghd.cn.gov.cn.zhghd.cn http://www.morning.qytby.cn.gov.cn.qytby.cn http://www.morning.cjnfb.cn.gov.cn.cjnfb.cn http://www.morning.dkfrd.cn.gov.cn.dkfrd.cn http://www.morning.qbxdt.cn.gov.cn.qbxdt.cn http://www.morning.rbnp.cn.gov.cn.rbnp.cn http://www.morning.cfqyx.cn.gov.cn.cfqyx.cn http://www.morning.rfycj.cn.gov.cn.rfycj.cn
