应急响应工具之科来技术交流版
本文作者:Cherishao(信安之路合伙人 & 信安之路应急响应小组组长) 人才招募:信安之路应急响应小组寻找志同道合的朋友
前不久确定了一个想法,想和应急响应小组的小伙伴们一起研究一些比较贴心(工作中常用到)的应急响应工具,网络上类似的清单很多,但通常这些清单只会告诉你,这是一个什么工具,可以用来做什么,一些小技巧与实战场景并不会提及。如无意外,小组后续应该会分享一个系列(日志分析、进程分析、恶软分析、内存镜像、证据收集、安全加固等)的实用响应工具文章。应急响应是安全里面的一个小的分支,亦是不可或缺的一环,所涉及的知识也比较庞杂有趣(真的不骗你)。
下图为小组成员:12306 小哥以事件响应周期 "F3EAD" 为原型,所画的应急响应基础流程,一图带你了解应急响应人员的日常。小组里面大佬众多,欢迎,感兴趣有实力的小伙伴加入小组,一起交流,高清大图请点阅读原文 :).
Why is it ?
谈及数据包抓包与分析工具,大家的第一反应就是 Wireshark、TcpDump、Fiddler 等,那么我们为什么推荐科来的技术交流版呢?广告?自然不是,信安之路一直是个低调的分享干货的公众号。我们先来看看今天介绍的主角:
http://www.colasoft.com.cn/download/capsa.php
配置要求,常规电脑基本都满足,不算重量级;一看介绍主要用于网络故障诊断和排查网络安全隐患,在一开始,平常用科来 TSA(全流量分析)的笔者来说,是不怎么看的上这个工具的。因一次特殊的需求(离线分析大的数据包),笔者发现了这个工具的一些强大的之处:能将相关协议的日志和通信数据进行回溯关联分析。
Using Skills
回溯功能介绍
先导入一个数据包,这里导入一个 需要进行分析的数据包,大小为 527.1M。
导入完成后,在右下角会有导入了多少个数据包提示,这里导入 841848 个数据包,过滤的数据包为 0.
上方的网络档案里面有个名字表的功能,原本以为这个免费版是没有的,这个标签可能在进行分析的时候还是很实用的,能极高的提高辨识度。
过滤功能介绍
科来技术交流版的过滤功能非常简单,属于一看就会那种,直接根据首行栏目的信息进行过滤设置。
如:节点1 可设置节点 1 IP,字节则设置字节大小,以节点 2 地理位置为美国为例:
驱动人生木马后门分析实战
时间线
在进行下文的讲解之前, 先一起来了解下 “永恒之蓝” 木马下载器黑产团伙活动情况时间线及攻击流程(该时间线参照了腾讯安全):
攻击流程来源于腾讯安全:
从时间线我们可以看出,自 2019 年 3 月 6 号的驱动人生木马后门新增了 “无文件攻击技术”,并于 2019 年 4 月 4 日被发现直接驻留在内存中,进行挖矿。
无文件攻击
那什么是 ”无文件攻击技术“ 呢?
“无文件攻击” 是指恶意程序文件没有直接落地到目标系统的磁盘空间的攻击手法,一般情况下,“无文件攻击”会把攻击载荷直接载入到内存空间中执行,或者依附于合法的系统进程来进行恶意操作。
现代的 “无文件攻击” 大多是基于 Powershell 的整个攻击链、攻击步骤完全无文件,恶意代码依附于可信的系统进程。综上我们可以知道:“无文件攻击” 极其善于躲避检测、对抗杀软。更多 ”无文件攻击“ 推荐:
- 三零卫士 · 木星安全实验室 负责人——SkyMine 的 ”似新非新的’无文件攻击‘ “
- 深信服 · 千里目安全实验室的——基于注册表的 Poweliks 病毒分析
书归正传,怎么利用科来技术交流版进行检测和辅助分析呢?
我们可以从通信角度来看 ”驱动人生木马后门的无文件攻击“ 首先,我们可以查看数据流,驱动人生木马,有个比较明显的通信特征,会以 Get 方式回传被控主机信息。
下载文件时亦会产生通信,所以针对其不变的通信特征,我们可以对其进行监测。
利用科来技术交流版进行分析时,我们可以先查看其日志信息,可单独查看(http、DNS、Voip、Email 等日志),通过日志,在我们导入的检测包里,我们发现了可疑的驱动人生木马回传信息请求,这里扩展延申下,比如请求下载了一些 shell、exe、批量的 POST、GET 等,以日志形式来看都会比较直观。
通过 http 的日志信息,可以直接定位到会话视图
定位过来后,双击进去,就能看到与 IP:27.102.107.137
的全部会话,从会话端口我们可以看到:445、65533 的请求通信。
通信数据留存
数据包的原始数据信息如下:
在这里,我们可以将与该会话相关的数据包单独全部导出留存为证据,单独导出只是导出了选中的一条的数据包信息。
应急-计划任务清除
Win 2012 下清除驱动人生木马后门,一直存在 Powershell 的请求解决方案(来源于小组成员:守望)
安全建议
被远程控制,既然能挖矿,那也就能勒索、窃密。局域网内部大多比较脆弱。平时加强安全意识,有助于防患于未然。
1)启用杀软拦截可能的病毒攻击;
2) 启用防火墙,服务器暂时关闭不必要的端口(如 135、139、445、1433);
手动关闭端口教程:https://guanjia.qq.com/web_clinic/s8/585.html 永恒之蓝漏洞扫描:https://www.52pojie.cn/thread-625636-1-1.html
3)服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4) 关闭不常用的系统服务(如禁用 powershell),减少攻击面;
5)尽量关闭不必要的文件共享,及时升级系统补丁。
思考&总结
进行安全事件响应时,应急响应人员需要对安全事件进行深度挖掘和关联分析,进行准确定位,把损失和破坏降低到最低限度、弥补那些被利用的缺陷、恢复信息服务。而好的工具能大大提高我们的响应效率;攻击是链攻击(见下图)防护也是链防护,才能缩小攻防不对等的差距。事前做好安全检测,事中做好防护,事后做好预警与响应,方能较大化的降低安全风险。
- 【Go 语言,服务器模块】日志系统源码
- wait方法和sleep方法的区别
- Java面试系列10
- python django整理(三)页面基础(仿BBS)
- 高并发场景下的httpClient优化使用
- socket.io 相关:Example: A simple chat server(官方 实例)
- django整理(四)配置setting文件(CSS,JS,images,templates)路径
- idea 远程调试 tomcat web应用
- Java 中冷门的 synthetic 关键字原理解读
- Spring 数据库连接(Connection)绑定线程(Thread)的实现
- Golang语言实现AzDG可逆加密算法实例
- python django整理(五)配置favicon.ico,解决警告Not Found: /favicon.ico
- SpringMVC + Mybatis bug调试 SQL正确,查数据库却返回NULL
- 原生javascript实现图片轮播效果代码
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法