BlueTeam 应急
应急
免责声明
本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
应急离不开调查取证,请配合 取证 使用
大纲
相关文章
应急案例
- 6.[应急响应]Linux 入侵排查思路 - bmjoker
- Linux应急响应 (一) :SSH 暴力破解
- 记一次博客被日的分析过程
- metinfo后台getshell exp
- 一键安装藏隐患,phpStudy 批量入侵的分析与溯源
- 一次入侵应急响应分析
- Linux入侵取证:从一次应急事件讲起
- 记一次耗时几天的挖矿脚本应急响应
- 记录一次企业官网被挂马的排查过程
- New campaign targeting security researchers
- A deeper dive into our May 2019 security incident
- Abusing cloud services to fly under the radar
- 回忆一次百转千回的应急响应 | 技术精选0127
- 应急响应入门
- 实战 | 记一次网吧挖矿应急响应
溯源案例
- 记一次溯源恶意ip45.123.101.251僵尸网络主机的全过程
- 如何通过一封恶意邮件追踪幕后黑客组织
- 网络小黑揭秘系列之黑产江湖黑吃黑—中国菜刀的隐形把手
- 中国菜刀仿冒官网三百万箱子爆菊记
- 投稿文章:记一次2020你懂的活动蓝队溯源历程
- 记一次反制追踪溯本求源
- 追踪活动中相遇CobaltStrike的故事
- Whitelist Me, Maybe? “Netbounce” Threat Actor Tries A Bold Approach To Evade Detection
- APT29—觊觎全球情报的国家级黑客组织(中)
- Fake dnSpy - 当黑客也不讲伍德
- Asylum Ambuscade: State Actor Uses Compromised Private Ukrainian Military Emails to Target European Governments and Refugee Movement
- Operation Dragon Castling: APT group targeting betting companies
- HW防守 | 溯源案例之百度ID层层拨茧
僵尸网络
指南
- theLSA/emergency-response-checklist - 应急响应指南
- Bypass007/Emergency-Response-Notes - 应急响应实战笔记,一个安全工程师的自我修养。
资源
- meirwah/awesome-incident-response - 精选的事件响应工具清单
- n4ll3ec/ThreatHound - 一款威胁情报查询工具,用于查询潜在的恶意 IP 或者域名.它结合 MISP 开源威胁情报共享平台作为其后端情报库,当前整合了开源社区69个开源威胁情报数据 feed.
- pandazheng/Threat-Intelligence-Analyst - 威胁情报,恶意样本分析,开源Malware代码收集
环境模拟
- NextronSystems/APTSimulator - 伪装成 APT 受害者
- G4rb3n/Malbox - 恶意软件容器靶机
- DataDog/stratus-red-team - Granular, Actionable Adversary Emulation for the Cloud
威胁情报
情报中心
- VirusTotal
- 微步威胁平台
- RedQueen安全智能服务平台
- IBM情报中心
- 奇安信威胁情报中心
- AlienVault
- VenusEye威胁情报中心
- ISC SANS威胁检测
- NTI - 绿盟威胁情报中心
- 360威胁情报中心
- TI - start.me
样本分析检测
- VirusTotal
- TheSecondSun/VTSCAN - cli 版 VirusTotal
- PolySwarm - Crowdsourced threat detection
- Interactive Online Malware Analysis Sandbox - ANY.RUN
- Automated Malware Analysis - Joe Sandbox Cloud Basic
- 360威胁情报中心
- VenusEye
- anlyz|REM
- firmware · ǝɹ - Free Online Firmware Unpacker, Scanner, Analyser - Firmware Genomics/Genome Project - Firmware Vulnerability and Backdoor Discovery - Firmware Mounting, Modification, Loading and Emulation - Embedded and Internet-of-Things Security
- Free Automated Malware Analysis Service - powered by Falcon Sandbox
- AVCaesar
- Intezer Analyze
- Jotti's malware scan
- NetworkTotal - Free Online Network Traffic Scanner
- OPSWAT MetaDefender Cloud | Vulnerability, CDR and Antivirus APIs
- PDFExaminer: pdf malware analysis
- Scan Android application - Andrototal
- VirSCAN.org-多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
- 腾讯哈勃分析系统
- 首页 - 微步在线威胁情报社区
- cryptam: office document malware detection and analysis
- 恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析
- NoDistribute - Online Virus Scanner Without Result Distribution
- 奇安信威胁情报中心
- Free Automated Malware Analysis Service
- ViCheck - Upload Files to Find Embedded Malware
- MalwareBazaar
- URLhaus
恶意样本查询
- Malware Source
- VirusBay
- Koodous
- Hello there! | apklab.io
- Haruko - Fumik0's Malware Tracker
- CyberCrime
- ANY.RUN - Interactive Online Malware Sandbox
- abuse.ch | Fighting malware and botnets
- VX Vault
- Malpedia (Fraunhofer FKIE)
- VirusShare.com
- MalShare
- ytisf/theZoo
- Advanced File Analysis System | Valkyrie
钓鱼监测
- https://phishstats.info/ - 钓鱼网站收集
- https://www.phishtank.com/ - 钓鱼网站收集
- x0rz/phishing_catcher - 以接近实时的方式捕获可疑的钓鱼域名
暗网监测
- s045pd/DarkNet_ChineseTrading - 暗网中文网监控爬虫
URL分析
- VirusTotal
- urlscan.io - 网站扫描器
- Sucuri SiteCheck - 免费网站安全检查和恶意软件扫描器
- Quttera - 网站安全监控和恶意软件清除
- 魔盾安全分析 - 恶意软件分析 & URL链接扫描 免费在线病毒分析平台
- 微步在线威胁情报社区
- Threat Crowd - 开源威胁情报
- ThreatMiner.org - 用于威胁情报的数据挖掘系统
- Cisco Talos Intelligence Group - 综合威胁情报系统
- CheckPhish - 免费的URL扫描器和网络钓鱼检测器
- Alexa - 网站流量、统计和分析
- Domain Dossier - Investigate domains and IP addresses, get owner and registrar information, see whois and DNS records
- Moz - Free Domain SEO Analysis Tool
- Intelligence X
- RiskIQ Community Edition
IP分析
在线查询
- VirusTotal
- AbuseIPDB - IP 地址威胁情报库
- SSLBL - IP 地址威胁情报库
- 微步在线威胁情报社区
- 奇安信威胁情报中心
- AlienVault
相关工具
- wgpsec/tig - Threat Intelligence Gathering 威胁情报收集,旨在提高蓝队拿到攻击 IP 后对其进行威胁情报信息收集的效率。
PassiveDNS
Passive DNS 对安全研究非常重要,因为它可以在前期帮助我们构建出目标的基础设施结构,并且可以得到以下三方面的答案
- 该域名曾经绑定过哪些 IP
- 这个 IP 有没有其他的域名
- 该域名最早/最晚什么时候出现
相关资源
IOCs
相关文章
相关资源
- sroberts/awesome-iocs - IOC相关资源的合集
APT事件
-
相关文章
-
资源
系统层面
Windows 应急工具
- travisfoley/dfirtriage - 基于 Windows 的事件响应的数字取证工具。
Linux 应急工具
- grayddq/GScan - 在安全事件时进行 CheckList 检测
- tide-emergency/yingji - 应急相关内容积累
- 0x1997CN/Emergency - 一个应急响应信息收集的脚本
- al0ne/LinuxCheck - 一个 linux 信息搜集小脚本 主要用于应急响应,在 Debian 或 Centos 下都可使用
病毒分析工具
相关文章
TTP
- 在网络设备上确认下 nat 前后是哪台?不要搞错机器
- 疑似机器上查端口
- 疑似机器上查进程
- 查内网安全设备上的日志
Rootkit
什么是 Rootkit
Rootkit 是一种特殊的程序(或一组程序),通常与木马、后门等其他恶意程序结合使用。
Rootkit 主要任务是隐藏并长期驻留在感染机器上,从事各类恶意活动,达到高隐藏高持久化目的。
相关文章
- 【Rootkit 系列研究】序章:悬顶的达摩克利斯之剑
- 【Rootkit 系列研究】Windows平台的高隐匿、高持久化威胁
- 【Rootkit系列研究】Linux平台的高隐匿、高持久化威胁
- 【Rootkit系列研究】Rootkit检测技术发展现状
- 【Rootkit系列研究】Windows平台高隐匿、高持久化威胁(二)
Rootkit 检测工具
- chkrootkit - 本地检查 rootkit 的工具
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar zxvf chkrootkit.tar.gz cd chkrootkit-* make sense ./chkrootkit - Rootkit Hunter - 查找 rootkit 的工具
wget https://svwh.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz tar -zxvf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6 ./installer.sh --install rkhunter -c - process_list - 隐藏进程检测工具
- dgoulet/kjackal - Linux Rootkit Scanner
- nbulischeck/tyton - Kernel-Mode Rootkit Hunter
- bytedance/Elkeid - Elkeid是一个云原生的基于主机的安全(入侵检测与风险识别)解决方案。
- qilingframework/qiling - 一个高级二进制仿真框架,能够模拟多平台,多架构的运行环境,通过类似于沙箱的环境运行 Rootkit,并且记录 Rootkit 运行过程中的行为。这为恶意Rootkit 的检测和分析提供了一种全新的思路。传统沙箱对恶意软件的检测很难达到这种细粒度的监控效果。
- Gui774ume/ebpfkit-monitor - 该工具可用于静态分析 eBPF 字节码或在运行时监控可疑的 eBPF 活动
DLL劫持
相关工具
- cyberark/DLLSpy - DLL Hijacking Detection Tool
勒索软件
识别样本
解密工具
- jiansiting/Decryption-Tools: Decryption-Tools - 日常搜集的勒索病毒解密工具的汇总
- Emsisoft: Free Ransomware Decryption Tools - 免费的勒索解密工具
Web层面
暗链
Tips
- 在整个网站目录下面搜索关键字 spider 来定位黑链,因为直接访问黑链链接发现并不存在,而从搜索引擎去访问的时候却存在,说明黑链文件判断了访问的来源是否是搜索引擎,而一般这种做法就是来判断 UA 是否来自搜索引擎,关键字就是 spider,搜索后找到黑链文件
- 搜索引擎 :
黑产关键字+site:"网站域名",查看更多 黑产seo关键词 - 用工具批量爬取网站外链查看有无关键字
检测工具
相关文章
- 关于黑产暗链的分析与看法
- Dark_chain_detection
- 黑产相关信息挖掘初探学习笔记
- 【黑帽SEO系列】基础知识
- 【黑帽SEO系列】页面跳转
- 【黑帽SEO系列】网页劫持
- 【黑帽SEO系列】暗链
- 黑帽SEO剖析之手法篇
- 黑帽SEO剖析之工具篇
- 黑帽SEO剖析之隐身篇
- 黑帽SEO剖析之总结篇
- 前端web安全暗链分析&实例
webshell后门
本地扫描工具
- D 盾
- 安全狗
- 深信服 Web 后门扫描
- 河马 webshell 查杀
- 铱迅 Webshell 扫描器
- 网站安全狗网马查杀
- OpenRASP WEBDIR+检测引擎
- cys3c/BackdoorMan - 一个工具包,可帮助你在选定的目标位置找到恶意,隐藏和可疑的 PHP 脚本和 shell。
- he1m4n6a/findWebshell - findWebshell 是一款基于 python开发的 webshell 检测工具。
- mornone/webshell-find-tools - 分析 web 访问日志以及 web 目录文件属性,用于根据查找可疑后门文件的相关脚本。
- chiruom/Webshell_finder - 网站木马检测
- virink/as_scanwebshell - 通过正则匹配,查找后门 webshell
- c0ny1/java-memshell-scanner - 通过 jsp 脚本扫描 java web Filter/Servlet 型内存马
在线扫描
Tips
find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|(gunerpress|(base64_decoolcode|spider_bc|shell_exec|passthru|($_\POST[|eval (str_rot13|.chr(|${"_P|eval($_R|file_put_contents(.*$_|base64_decode'
grep -i -r eval($_post /app/website/*
find /app/website/ -type f|xargs grep eval($_post
网络层面
IP 信息
- RIPEstat — Internet Measurements and Analysis
- IP Info
- IP/DNS Detect - What is your IP, what is your DNS, what informations you send to websites.
- ip8 - IP Lookup Tool
- 查看自己的IP地址
- IPList
- ASNIP.net - ASN Query
- IP Addresses - Plot IP
- IP Geolocation API and databases - DB-IP
- IPIP.NET_最专业的 IP 地址库
- IP查询 | 查IP地址 | ip数据库 | 手机号码归属地 | 邮政编码 | worldclock 世界时间 calendar 万年历 Google PageRank Alexa rank domain whois
- ip查询,ip地址查询,ip位置 - Hao7188
- MyIP.cn - 我的IP地址查询,网站综合信息查询,域名注册信息,搜索引擎收录,Alexa排名,Google PR,Sogou PR,反向链接,百度关键字指数
- Whois
- 国家IP段查询、全球国家IP段--查错网
- 更精准的全球IP地址定位平台_IP问问 -埃文科技(ipplus360.com)
- 高精度IP定位 - openGPS.cn
- IP地址查询 本机IP查询 — GPSspg
- IP地址查询--手机号码定位 | 万年历 | 身份证号码查询
- 多数据源IP地址查询 - HaoIP.CN 好IP在线工具 最好的IP位置查询
- 微信IP地址查询 -- 如何查微信ip地址,查微信好友ip地址
- IP查询 - IP地址查询 - IP精确定位
- 我们知道的IP地址
- DeerCloud/IPList: IP CIDRs List / IP 地址列表
- Get your IPv4 and IPv6 address instantly
- What is my IP Address :: WebBrowserTools
- What Is My IP Address? - ifconfig.me
- ipapi - IP Address Location
- IP Address API and Data Solutions - geolocation, company, carrier info, type and more - IPinfo.io
- gaoyifan/china-operator-ip - 中国运营商IPv4/IPv6地址库-每日更新
- out0fmemory/qqwry.dat - 自动更新的纯真ip库,每天自动更新
- Hackl0us/GeoIP2-CN
DDOS
SYN 类攻击
特征:
- 服务器 CPU 占用率很高。
- 出现大量的 SYN_RECEIVED 的网络连接状态。
- 网络恢复后,服务器负载瞬时变高。网络断开后瞬时负载下将。
UDP 类攻击
由于 UDP 是一种无连接的协议,因此攻击者可以伪造大量的源 IP 地址去发送 UDP 包,此种攻击属于大流量攻击。正常应用情况下,UDP 包双向流量会基本相等,因此在消耗对方资源的时候也在消耗自己的资源。
特征:
- 服务器 CPU 占用率很高。
- 网卡每秒接受大量的数据包。
- 网络 TCP 状态信息正常。
CC 类攻击
原理就是借助代理服务器针对目标系统的消耗资源比较大的页面不断发起正常的请求,造成对方服务器资源耗尽,一直到宕机崩溃。因此在发送 CC 攻击前,我们需要寻找加载比较慢,消耗资源比较多的网页。比如:需要查询数据库的页面、读写硬盘的文件等。
特征:
- 服务器 CPU 占用率很高。
- Web 服务器出现类似 Service Unavailable 提示。
- 出现大量的 ESTABLISHED 的网络连接状态且单个 IP 高达几十个甚至上百个连接。
- 用户无法正常访问网站页面或打开过程非常缓慢,软重启后短期内恢复正常,几分钟后又无法访问。
icmp flood
此攻击属于大流量攻击,其原理就是不断发送不正常的 ICMP 包(所谓不正常就是 ICMP 包内容很大),导致目标带宽被占用。但其本身资源也会被消耗,并且目前很多服务器都是禁 ping 的(在防火墙里可以屏蔽 ICMP 包),因此这种方式已经落伍。
syn flood
原理就是伪造大量不存在的 IP 地址,阻断 TCP 三次握手的第三次 ACK 包,即不对服务器发送的 SYN+ACK 数据包做出应答。由于服务器没有收到客户端发来的确认响应,就会一直保持连接直到超时,当有大量这种半开连接建立时,即造成 SYN Flood 攻击。
特征:
- 大量 syn+ack
netstat -n -p TCP | grep SYN_RECV
防御:
/proc/sys/net/ipv4/tcp_max_syn_backlog: 在 Linux 上可以修改以下配置提高 TCP 半开连接队列大小的上限/proc/sys/net/ipv4/tcp_synack_retries: 可以减少半开状态下等待 ACK 消息的时间或者重试发送 SYN-ACK 消息的次数
CLDAP 协议 Reflection DDoS
在 CLDAP 中只提供三种操作:searchRequest、searchResponse (searchResEntry和searchResDone)、abandonRequest,在不提供身份验证功能的情况下,客户端可以使用 UDP 数据报对 LDAP 服务器 389 端口发起操作请求。由于客户端发起 searchRequest 后服务端将返回 searchResEntry 和 searchResDone 两条应答消息,一般情况下执行该操作将具有较小数据包反射出较大数据包的效果,这一缺陷随即被利用进行反射放大 DDoS 攻击
ACK flood
ACK Flood 攻击是在 TCP 连接建立之后进行的。所有数据传输的 TCP 报文都是带有 ACK 标志位的,主机在接收到一个带有 ACK 标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在。如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。如果在检查中发现该数据包不合法(例如:该数据包所指向的目的端口在本机并未开放),则主机操作系统协议栈会回应 RST 包告诉对方此端口不存在。
当发包速率很大的时候,主机操作系统将耗费大量的精力接收报文、判断状态,同时要主动回应 RST 报文,正常的数据包就可能无法得到及时的处理。这时候客户端的表现就是访问页面反应很慢,丢包率较高。
Connection Flood
典型的并且非常有效的利用小流量冲击大带宽网络服务的攻击方式。这种攻击的原理是利用真实的 IP 地址向服务器发起大量的连接,并且建立连接之后很长时间不释放。长期占用服务器的资源,造成服务器上残余连接 (WAIT 状态) 过多,效率降低,甚至资源耗尽,无法响应其它客户所发起的连接。
DNS 放大攻击
伪造 DNS 数据包,向DNS服务器发送域名查询报文了,而 DNS 服务器返回的应答报文则会发送给被攻击主机。放大体现在请求 DNS 回复的类型为 ANY,攻击者向服务器请求的包长度为69个字节,而服务器向被攻击主机回复的 ANY 类型 DNS 包长度为535字节,大约放大了7倍(放大倍数视具体情况)。 构造受害者 IP 为源 IP 大量 DNS 服务器实现 DDoS
防御:IPS 规则、关闭递归查询,DNS解析器应仅向源自受信任域的设备提供其服务,acl,增大带宽、联系ISP上游阻断。
慢速连接攻击
针对 HTTP 协议,先建立起 HTTP 连接,设置一个较大的 Conetnt-Length,每次只发送很少的字节,让服务器一直以为 HTTP 头部没有传输完成,这样连接一多就很快会出现连接耗尽。
Slowloris 攻击
Slowloris 是一种慢速连接攻击,Slowloris 是利用 Web Server 的漏洞或设计缺陷,直接造成拒绝服务。其原理是:以极低的速度往服务器发送 HTTP 请求,Apache 等中间件默认会设置最大并发链接数,而这种攻击就是会持续保持连接,导致服务器链接饱和不可用。Slowloris 有点类似于 SYN Flood 攻击,只不过 Slowloris 是基于 HTTP 协议。
网络层 DDoS 防御
- 限制单 IP 请求频率。
- 网络架构上做好优化,采用负载均衡分流。
- 防火墙等安全设备上设置禁止 ICMP 包等。
- 通过 DDoS 硬件防火墙的数据包规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术对异常流量进行清洗过滤。
- 采用 ISP 近源清洗,使用电信运营商提供的近源清洗和流量压制,避免全站服务对所有用户彻底无法访问。这是对超过自身带宽储备和自身 DDoS 防御能力之外超大流量的补充性缓解措施。
应用层 DDoS 防御
- 优化操作系统的 TCP/IP 栈。
- 应用服务器严格限制单个 IP 允许的连接数和 CPU 使用时间。
- 编写代码时,尽量实现优化并合理使用缓存技术。尽量让网站静态化,减少不必要的动态查询。网站静态化不仅能大大提高抗攻击能力,而且还给骇客入侵带来不少麻烦,至少到现在为止关于 HTML 的溢出还没出现。
- 增加 WAF(Web Application Firewall)设备,WAF 的中文名称叫做 Web 应用防火墙。Web 应用防火墙是通过执行一系列针对 HTTP / HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。
- 使用 CDN / 云清洗,在攻击发生时,进行云清洗。通常云清洗厂商策略有以下几步:预先设置好网站的 CNAME,将域名指向云清洗厂商的 DNS 服务器;在一般情况下,云清洗厂商的 DNS 仍将穿透 CDN 的回源的请求指向源站,在检测到攻击发生时,域名指向自己的清洗集群,然后再将清洗后的流量回源。
- CDN 仅对 Web 类服务有效,针对游戏类 TCP 直连的服务无效。这时可以使用 DNS 引流 + ADS (Anti-DDoS System) 设备来清洗,还有在客户端和服务端通信协议做处理(如:封包加标签,依赖信息对称等)。
流量分析
- 内容见 流量分析
点击关注,共同学习!
安全狗的自我修养
