上篇文章简单从应急响应是安全岗位的必问知识点引入,从客户描述中寻找可利用信息帮助处理异常事件。重点介绍了什么是应急响应,应急响应基本流程。本篇文章将写道真实工作环境中我们我们的分析方法及具体采用的一些分析技术、工具等内容。
目录
后续会有采用一些具体的实例来让大家加深印象。欢迎关注订阅哦!
四、工作中分析流程(重点):
1. 日志分析
1. 寻找日志路径,下载日志
不同环境的服务器日志路径不一样
例如:
1. IIS环境:
现在用的很少了,但能帮助了解(IIS是图形化,更容易学习)
iis的 前提是站长没有关闭日志 ??
日志内容: 时间 ?攻击IP? 攻击文件 ?请求方式 ?状态码 ?等等
????????(日志是前期站长配置的 ?保留什么文件)
2. 宝塔环境:
是现在比较常见的,宝塔面板找到linux的安装目录, 找到配置文件,.conf等,发现日志文件路径,然后下载日志文件即可? ??
3. Windows查看日志:
打开服务器管理 ???找到对应的服务器
系统安全和程序较为重要????????? 事件ID数表示含义网上查找
4. 不同环境中的日志文件路径基本相似,再次不做过多介绍
在真实工作环境中,每个安全公司都会有成熟的应急响应流程,里面都会包括具体的服务器的相关日志文件路径。万一没有我们可以在白度进行查找。不必纠结
2. 分析日志思路
1.如何通过日志文件寻找攻击的呢 ??
首先:在日志中搜索有没有诸如语句关键字,以注入漏洞为例:
注入语句层面:搜索select,updataxml等关键字
攻击工具层面:搜索sqlmap,nmap等关键字
? ? ? ? (这其实就叫做指纹库搜索:根据工具指纹信息进行搜索)
然后:找出日志信息,定位IP
在真实环境中,我们很容易查出这类数据包(大型网站都会受到不计其数的攻击)
发现数据包(疑似攻击),我们需要定位其ip(日志文件中包含IP)? ? ? ?
接着:查找该IP的所有数据包,看他干过哪些事情(数据包请求) ??
以该IP为关键字进行查询,从头到尾的记录?? 看攻击者有没有成功? 可以分析关键性的攻击行为
接着:进行判断,判断其是否为此次异常的攻击源
如果我们可以在该IP的数据包中发现有提权、权限维持、上传后门等,基本上他就攻击成功了,我们需要记录他的所有相关信息
如果判断得出没有攻击成功,或者排除此次异常与其相关,简单记录。同理继续查看下一个IP。
最后:将得出的结果进行整理,对此次攻击进行处理,向客户提出根本性的解决建议。
整理-->报告
处理-->黑名单等(应急不是本质上解决,是临时处理。)
提出建议-->(我们只需要提出本质上解决的合理建议就可以)
3. 日志分析方式
1. 手工:(根据上面思路)
手工进行分析,在真实工作中几乎见不到
在一些个人网站存在,也是不常见的
通常我们会利用工具对日志进行分析
2. 利用工具
在真实工作环境中,公司都会有工具给你使用
4. 工具介绍
1. 奇安信的360星图日志分析工具:
目前官方已经停止维护,可自己百度下载
有缺点:都是老的一些东西(只支持iis apche nginx)
配置一下配置文件(config.ini)配置日志所在路径(可以单个路径 ?也可多个)
直接启动start.bat脚本文件就可以了
每个日志文件经过分析会生成三个报告文件
优点:
一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。
缺点:
支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合
2.?Win日志自动神器LogonTracer
后续会具体在介绍工具的使用
3. ELK和Splunk(用的最多的)
ELK和Splunk是都需要用到的工具(蓝队必须要用的)专有日志分析平台
检索大数据(快)
推荐 | 10个好用的Web日志安全分析工具 - Bypass - 博客园 ?十款常见的web日志安全分析工具
2. 后门分析
10款常见的Webshell检测工具 - Bypass - 博客园 ?十款常见的webshell查杀工具
1.常见危害:
暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)。
??? 暴力破解漏洞利用,操作系统漏洞利用,基于口令攻击的ftp,ssh等
??? 针对系统流量的,3种影响是软肋的(需要后续操作 ?不然不会有什么危害)
木马控制,病毒感染危害服务器的正常运行
网站性木马,PC木马(控制系统的木马),APP的木马??? 利用杀毒软件 ?免杀需人工
2.常见分析:
计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
常见日志类别及存储: Windows,Linux
补充资料:
https://xz.aliyun.com/t/485 ?应急响应大集合
值得收藏!史上最全Windows安全工具锦集 - SecPulse.COM | 安全脉搏 ?windows安全工具锦集
Sysinternals - Windows Sysinternals | Microsoft Docs ?windows官方的工具
病毒分析:
PCHunter:恶意代码检测 虚拟机脱壳. Rootkit检测 木马检测 ?
火绒剑:火绒安全 ?
Process Explorer:进程资源管理器 - Windows Sysinternals | Microsoft Docs ?
processhacker:Downloads - Process Hacker ?
autoruns:Autoruns for Windows - Windows Sysinternals | Microsoft Docs ?
OTL:https://www.bleepingcomputer.com/download/otl/ ?
SysInspector:下载-杀毒软件下载,防病毒,反木马 - ESET NOD32中国官方网站 ?
病毒查杀:
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe ?
大蜘蛛:Dr.Web CureIt! — Скачать бесплатно ?
火绒安全软件:火绒安全 ?
360杀毒:360杀毒_下载中心 ?
病毒动态:
CVERC-国家计算机病毒应急处理中心:CVERC-国家计算机病毒应急处理中心 ?
微步在线威胁情报社区:首页 - 微步在线威胁情报社区 ?
火绒安全论坛:火绒安全软件 - 火绒安全软件 ?
爱毒霸社区:电脑杀毒软件_中国知名杀毒软件-金山毒霸交流论坛|免费病毒救援 ?
腾讯电脑管家:软件功能下载_顽固木马专杀_网络诊断工具-腾讯电脑管家论坛 ?
在线病毒扫描网站 :
VirSCAN.org - Free Multi-Engine Online Virus Scanner v1.02, Supports 47 AntiVirus Engines! ?//多引擎在线病毒扫描网
腾讯哈勃分析系统 ?//腾讯哈勃分析系统
Jotti's malware scan ?//Jotti恶意软件扫描系统
ScanVir - 云鉴定网 - 威胁情报|云扫描|多引擎在线杀毒|可疑文件分析 ?//计算机病毒、手机病毒、可疑文件分析
木马是控制(监控),病毒是乱搞(破坏)
3. 流量分析
这种分析防火墙上会有相关策略,进行把控。
如,一定时间内访问量达到多少加入黑名单。陌生IP访问警告提醒等等。
针对流量进行分析,某一个IP访问流量超出一般水平较多即可以将其评为疑似攻击IP,然后日志查询进行分析。
针对流量进行分析,某一个IP访问流量超出一般水平太多即可以将其评为攻击IP,直接对其进行处理。常见的为黑名单形式。
不是本地IP进行特别关注
......
4. 脚本软件分析
利用脚本软件进行分析,我们需要有自己的应急响应工具包。
这一点,在后面会有一篇文章深入讲解。
5. 模拟渗透分析(少见)
在前面方式无果的情况下,是最麻烦的,也可以说黑客的水平很高很高。
那么这个时候我们需要自己模拟渗透,以发现纰漏。
这是最难的一种情况,也就是说,我们自己成为一名黑客进行攻击。