HW防守｜应急溯源分析手册汇总篇

Web漏洞应急篇

Shiro 攻击

特征rememberMe 恶意 Cookie rememberMe值构造 前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 -> 发送cookie Apache Shiro处理cookie的流程 得到rememberMe的cookie值 -> Base64解码 -> AES-128-CBC解密-> 反序列化(readobject)

应急流程

设备查看告警信息，对rememberMe进行解密，查看反弹IP/域名进行进一步溯源。 rememberMe管理器代码中写到cookie加密密钥默认为AES算法，可以将黑客常用的攻击密钥做一个keylist进行解密，直接在解密内容里查看payload。

解密工具

https://github.com/Wh0ale/SHIRO_Rememberme_decode

排查思路，该漏洞都是通过rememberMe进行传入payload，直接对日志中shiro进行反编译即可查到相关信息（vps、未公开的利用链、特殊的payload）

Weblogic 攻击

流量层：可以直接查看到他的访问地址数据包内payload 如CVE-2020-2551(iiop)漏洞主要是通过 JtaTransactionManager 来进行加载 LDAP 协议的内容

在日志里显示： Weblogic日志主要分为：Server日志、HTTP日志和DOMAIN日志； 1、Server日志 主要功能：记录Weblogic Server启动至关闭过程中的运行信息和错误信息。 日志结构：时间戳、严重程度、子系统、计算机名、服务器名、线程 ID、用户 ID、事务 ID、诊断上下文 ID、原始时间值、消息 ID 和消息文本。

2、DOMAIN日志 主要功能：记录一个DOMAIN下的各个Weblogic Server的启动至关闭过程中的运行信息和错误信息。 日志结构：

####<Oct 18, 2018 2:21:11 PM CST>     <[ACTIVE]ExecuteThread: '9' for queue: 'weblogic.kernel.Default (self-tuning)'> <> <> <> <1539843671288>  

iiop协议不会在http请求中有记录，应急主要注意domain日志的记录

应急流程：

t3协议 临时处置方式： 1.及时更新补丁 2.禁用T3协议 3.禁止T3端口对外开放, 或者限制可访问T3端口的IP来源 漏洞列表： CVE-2017-3248 CVE-2018-2628 CVE-2018-2893 CVE-2019-2890 CVE-2020-2555

iiop协议 临时处置： 1.及时更新补丁 2.通过 Weblogic 控制台进行关闭 IIOP 协议 漏洞列表： CVE-2020-2551

Redis未授权

1.写webshell 2.写ssh密钥 3.写计划任务反弹shell

redis攻击方式请参考： https://mp.weixin.qq.com/s/9fNVZy4k07bcIWGp5aSz5A

应急流程：

查看配置信息是否存在异常（根据显示信息可判断是哪种攻击方式） config get *

写ssh密钥

反弹shell

写文件路径

查看key信息是否有攻击队特征信息

如果发现攻击队正在操作redis，可以使用 monitor命令进行检测

修复建议： 对于未授权漏洞，增加密码认证

冰蝎与内存马攻击

特征：后缀为动态脚本（jsp、asp、php） 请求体加密状态

内存马攻击特征：没有落地文件通常以 http://url.com/xxx/ (直接以某个文件夹为路径)

应急思路

针对webshell，可直接对web路径下查找动态脚本文件，也可以直接搜索文件内特征值

find / -name *.jsp | xargs grep "pass" 

（pass为特征值，可以修改。如果返回内容过多可自行修改特征）

对于内存马，虽然现在有各种文章分析如何提取，但最简单的方法还是重启解决问题。

如果想知道如何手动清理，请移步至： https://mp.weixin.qq.com/s/DRbGeVOcJ8m9xo7Gin45kQ

修复建议： 1.根据漏洞来定，如果是程序漏洞修复即可 2.上传漏洞，禁止上传动态脚本文件，采用白名单机制仅允许特定后缀上传

Windows应急思路篇

Windows排查

对于已经留有后门的机器，可以对进程进行排查 使用pc hunter对文件签名进行校验，发现存在未签名文件（红色），重点对该文件进行分析 颜色： 1.驱动检测到的可疑对象，隐藏服务，进程，被挂钩函数的文件或进程>红色。 2.文件厂商是微软的>黑色。 3.文件厂商非微软的>蓝色。 4.校验所有数字签名后，对没有签名的模块或签名已过期或吊销的>玫红色。 5.查看下挂模块时，微软进程被下挂其他公司模块的>黄棕色。

定位文件，提取样本进行分析

直接把样本上传微步在线，奇安信威胁平台等 进行沙箱分析 微步在线：https://x.threatbook.cn/ 奇安信：https://ti.qianxin.com/ 360：https://ti.360.cn/

文件找不到可查看网络连接，对可疑外网IP进行威胁情报查询

针对可疑进程在pchunter 定位，如果无法上传工具，也可手动定位 命令：tasklist | findstr pid (网络连接最后一行数字）

ps：建议直接输入路径进入

如果还是没有结果，可在虚拟机快照中，对文件进行分析（注意运行时请使用手机热点网络，与单位网络隔离）

通过火绒剑对进程动作进行捕获

网络中可以查看，实时连接IP服务

如果病毒迁移进system ，封禁IP。后续查找主机问题，修补漏洞，重启即可。

Linux应急思路篇

对于攻击者来说，不管他如何隐藏，总要走流量。我们主要针对流量进行分析即可。

netstat -anlpt 查看是否存在恶意流量（通过威胁情报进行判定是否为恶意域名）

查找对应流量连接位置 ls -al /proc/PID (根据查到pid进程输入) 如 ls -al /proc/791 exe -> 指向启动当前进程的可执行文件（完整路径）的符号链接 详细分析：

https://www.cnblogs.com/liushui-sky/p/9354536.html

发现样本文件，上传微步在线分析数据

应急处置措施：

分析攻击手段，首先判断该主机为什么系统，上面跑了什么业务。根据业务去判断，可能存在漏洞，调取相应日志进行取证。如果上面没有业务，也没开放高危端口，可查看是否为弱口令登录，查看登录日志。 last为登录成功日志

lastb为登录失败，可查看是否爆破

也可以结合文件上传时间对比登录用户，进行分析 stat 查看日志创建时间

如果怀疑某个文件为木马控制端，可直接对文件进行调试查看传递信息 strace -p pid #调试进程

查看history可以查看攻击者执行历史记录，但可能被删除了 history 或 cat ~/.bash_history 查看历史命令，查找痕迹

应急措施： 1.对于存在漏洞的cms采取相应的修复方案 2.对于不知道攻击源的登录方式，可直接修改密码

祝HW顺利！

Timeline Sec 团队

安全路上，与你并肩前行