常规C2后门
分析检测
没有隐匿手法
在没有隐匿手法的情况下,因为一个C2他在运行时必定会创建进程与对外的网络连接,通过这两点,我们可以对其进行排查
初步排查-使用火绒剑等类似程序查看进程和网络
进一步确认-上传文件到微步等沙箱平台测试
将初步排查的文件保存下来,然后上传到类似微步云沙箱进行测试,以及远程IP地址进行查询
有隐匿手法
比如说CDN、云函数、中转等,这些后续再了解,这边仅普及基础,基础完善之后再了解进阶
处置手段
定位到恶意文件之后,我们要对其进行进一步的处置
清除
将定位到的文件进行删除处理
封锁
通过防火墙策略进行封锁处理,比如说阻止程序、协议、IP
- 先判断是反向还是正向
- 封锁
至于一些协议的封锁,我发现防火墙的HTTP协议只针对远程的80端口,而且不可以修改,这样太过有限了,起不到封锁的作用
总结
最有效的封锁方式就是直接禁用远程IP地址的访问,但是这样会影响到业务的正常运行,具体采用哪种方式还得根据实际情况来决定。
权限维持排查
在解决了初步发现的后门之后,我们还要对主机进行一次权限维持的排查,因为攻击者可能想持续控制这台主机,所以在这台主机上留下一些自启动、隐藏账户、映像劫持、屏保或登录启动等权限维持手段
自启动排查
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
隐藏账户
net user backdoor$ admin!@#45 /add
lusrmgr.msc
然后删除即可
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe"
# 当运行notepad时就会运行shell.exe
通过PCHunter可以看到
屏保或者登录触发
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"
其他
像是Rookit、Web内存马等进阶知识后续再进行补充
基线检查-综合项目
Windows
golin.exe windows
GitHub - m-sec-org/d-eyes: D-Eyes为M-SEC社区一款检测与响应工具
这款工具可以支持分布式,就是将Agent发给其他机器,然后本机装server端,其他机器收集到的信息可以到server来查看
GitHub - DeEpinGh0st/WindowsBaselineAssistant: Windows安全基线核查加固助手
Linux
GitHub - m-sec-org/d-eyes: D-Eyes为M-SEC社区一款检测与响应工具
GitHub - Ashro-one/Ashro_linux: Linux通用应急响应脚本,适用大多数情况。不如手敲
GitHub - sun977/linuxcheckshoot: linux应急响应检查脚本单机终极版
评论 (0)