确认感染文件特征及感染时间: (1) 操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息 及解密联系方式; (2) 被加密的文件类型: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods,
关联分析用于把多个不同的入侵样本结合起来。 文档类 • hash • ssdeep • 版本信息 (公司/作者/最后修改作者/创建时间/最后修改时间) 行为分析 • 基于网络行为 – 类似的交互方式 可执行文件相似性分析 • 特殊端口 • 特殊字符串/密钥 • PDB 文件路径– 相似的文件夹 • 代码复用 – 相似的代码片段
基于日志的溯源 使用路由器、主机等设备记录网络传输的数据流中的关键信息 (时间、源地址、目的地址),追踪时基于日志 查询做反向追踪。 这种方式的优点在于兼容性强、支持事后追溯、网络开销较小。但是同时该方法也受性能、空间和隐私保护 等的限制,考虑到以上的因素,可以限制记录的数据特征和数据数量。另外可以使用流量镜像等技术来减小 对网络性能的影响。 路由输入调试技术 在攻击持续发送数据,且特性较为稳定的
文件分析 • 最近使用文件 – C:\Documents and Settings\Administrator\Recent – C:\Documents and Settings\Default User\Recent – %UserProfile%\Recent • 系统日志分析 – 事件查看器 eventvwr.msc用户分析 • 查看是否有新增用户 • 查看服务器是否有弱口令 • 查看管理
文件分析 • 最近使用文件– find / -ctime -2 – C:\Documents and Settings\Administrator\Recent – C:\Documents and Settings\Default User\Recent – %UserProfile%\Recent • 系统日志分析 – /var/log/ • 重点分析位置 – /var/log/wtmp 登录
1 响应流程事件发生 运维监控人员、客服审核人员等发现问题,向上通报。 事件确认 收集事件信息、分析网络活动相关程序,日志和数据,判断事件的严重性,评估出问题的严重等级,是否向 上进行汇报等。 事件响应 各部门通力合作,处理安全问题,具体解决问题,避免存在漏洞未修补、后门未清除等残留问题。 事件关闭 处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。2 事件分类• 后门、
msf msf ⽣成shellcode的yara 扫描 这⾥有msf 目前到6.0.12版本的生成shellcode 的yara 规则,但是存在部分误报,如果需要根据特征去匹配内存中。yara 需要进⼀步在研究 dnslog/httplog 等的反制 针对dnslog和httplog 的反制,获取的对方的payload 的url ,然后批量使用站长之家进⾏批量ping 或者使
你是某一个网站的管理员,有一天,你的管理员账号admin却登录不了,进入数据库查看,原来管理员账号用户名不存在了,却多了另外一个管理员用户名。不对,不是新增了管理员,而是你的管理员用户名被篡改了。现象描述 前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改 问题处理 1、网站webshell 在针对网站根目录进行webshell扫描,发现存在脚本木马。2、定位IP 通过木马创建
网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改。而这种篡改事件在某些场景下,会被无限放大。现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。 问题处理 1、确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间。2、访问日志溯源 通过图片修改的时间节点,发现可疑IP:1
当你直接打开网址访问网站,是正常的,可是当在搜索引擎结果页中打开网站时,会跳转到一些其他网站,比如博彩,虚假广告,淘宝搜索页面等。是的你可能了遇到搜索引擎劫持。 现象描述 从搜索引擎来的流量自动跳转到指定的网页 问题处理 通过对index.php文件进行代码分析,发现该文件代码 对来自搜狗和好搜的访问进行流量劫持。进一步跟着include函数包含的文件,index,php包含/tmp/.ICE-u
PC端访问正常,移动端访问出现异常,比如插入弹窗、嵌入式广告和跳转到第三方网站,将干扰用户的正常使用,对用户体验造成极大伤害。 现象描述 部分网站用户反馈,手机打开网站就会跳转到赌博网站。 问题处理访问网站首页,抓取到了一条恶意js: http://js.zadovosnjppnywuz.com/caonima.js我们可以发现,攻击者通过这段js代码判断手机访问来源,劫持移动端(如手机、ipad
新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容,新闻源网站程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被恶意攻击。现象描述: 某新闻源网站首页广告链接被劫持到菠菜网站有三个广告专题,链接形式如下: http://www.xxx.cn/zhuanti/yyysc/
0x00 前言 门罗币,全名:MONERO,缩写:XMR,是一种具有高保密性的数字货币,可通过交易所购买获得,也可以通过挖矿方式获得。只需创建一个用户,配置JS脚本,打开网页就挖矿,是一种非常简单的挖矿方式。 0x01 应急场景 某安全产品漏洞预警,局域网某IP频繁访问的恶意内容。0x02 事件分析 抓取恶意网页url,分析网页源代码,发现在网站页面被植入在线门罗币挖矿代码:<script&
网站被植入webshell,意味着网站存在可利用的高危漏洞,恶意第三方通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。 0x00 现象描述 网站管理员在站点目录下发现存在webshell,于是使用查杀工具如D盾、河马等开始了对入侵过程展开了分析。0x01 事件分析 1.定位时间范围 通过发现的web
1.现象描述 某服务器网络资源异常,感染该木马病毒的服务器会占用网络带宽,甚至影响网络业务正常应用。 2.系统分析 针对日志服务器病毒事件排查情况: 在开机启动项/etc/rc.d/rc.local发现可疑的sh.sh脚本,进一步跟踪sh.sh脚本,这 是一个检测病毒十分钟存活的脚本。 在root目录下发现存活检测脚本3.解决步骤: 1. 结束进程 ps aux | g
0x00 前言 Linux盖茨木ma是一类有着丰富历史,隐藏手法巧妙,网络入侵行为显著的DDoS,主要恶意特点是具备了后门程序,DDoS入侵的能力,并且会替换常用的系统文件进行伪装。得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨的过程,可以发现有很多值得去学习和借鉴的地方。0x01 应急场景 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽:0x02
0x00 前言 随着虚拟币的疯狂炒作,利用wa矿脚本来实现流量变现,使得wa矿bd成为不法分子利用最为频繁的方式。新的wa矿展现出了类似蠕虫的行为,并结合了高级技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web多种漏洞(如tomcat弱口令、Weblogic WLS组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染wa矿程序
0x00 前言 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。 0x01 应急场景 某天,网络管理员在出口WAF检测到某台服务器不断向香港I发起请求 ,感觉很奇怪,登录服务
0x00 前言 SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被恶意者爆破,一旦被恶意者获取,可用来直接登录系统,控制服务器所有权限。0x01 应急场景 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图:1. TCP初
0x00 前言 作为一个工程师,而非一个专业的bd分析工程师,遇到了比较复杂的bd怎么办?别怕,虽然对二进制不 熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。0x01 感染现象 1、向大量远程IP的445端口发送请求2、使用各种杀毒软件查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistrib
0x00 前言 随着虚拟币的疯狂炒作,wa矿bd已经成为不法分子利用最为频繁的攻ji方式之一。bd传播者可以利用个人电脑或服务器进行wa矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。0x02 事件分
0x00 前言ARPbd并不是某一种bd的名称,而是对利用arp协议的漏洞进行传播的一类bd的总称,目前在局域网中较为常见。发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫bd还要严重得多。0x01 应急场景 某天早上,小伙伴给我发了一个微信,说192.168.64.76 CPU现在负载很高,在日志分析平台查看了一下这台服务器的相关日志,流量在某个时间点暴涨
0x00 前言 勒bd,是一种新型电脑bd,主要以邮件、程序webshell、网页挂马的形式进行传播。该bd性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种bd利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能解开。自WannaCry勒索bd在全球爆发之后,各种变种及新型勒索bd层出不穷。 0x01 应急场景 某天早上,网站管理员打开OA系统,首页访问异常
0x00 前言 蠕虫bd是一种十分古老的计算机,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。常见的蠕虫bd:熊猫烧香bd 、冲击波/震荡波bd、conficker bd等。 0x01 应急场景 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连
0x00 前言 FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果第三者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步测试提权,直至控制整个网站服务器。0x01 应急场景 从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,
linux服务器webshell查杀、远控、勒索等应急响应
适用于红蓝对抗,服务器基线排查等。
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
