应急响应-勒索病毒 什么是勒索病毒一种新型电脑病毒，主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。2019年末，勒索已然呈现出"双重勒索"的趋势，即先窃取商业数据，然后实施勒索，如果未能在规定时间内支付赎金，将于网上（通常是暗网）公开售卖企业的商业数据。勒索病毒的表现系统瞬时CPU占用高，接近100%，这个现象主要是在批量加密文件。所有应用都被无法使用和打开。系统应用文档被加密无法修改。文件后缀被修改并留下勒索信。桌面主题被修改。入侵手法-参考文章TellYouThePass勒索病毒入侵手法揭秘勒索病毒分类LockBit：LockBit于2019年9月首次以 ABCD勒索软件的形式出现，2021年发布2.0版本，相比第一代，LockBit 2.0号称是世界上最快的加密软件，加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型，并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力（加密和窃取数据），据作者介绍和情报显示LockBi3.0版本已经诞生，并且成功地勒索了很多企业。Gandcrab/Sodinokibi/REvil：REvil勒索软件操作，又名Sodinokibi，是一家臭名昭著的勒索软件即服务 (RaaS) 运营商，可能位于独联体国家（假装不是老毛子）。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现，并且是暗网上最多产的勒索软件之一，其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。（2021年暂停止运营，抓了一部分散播者）。Dharma/CrySiS/Phobos：Dharma勒索软件最早在 2016 年初被发现， 其传播方式主要为 RDP 暴力破解和钓鱼邮件，经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处，故怀疑这几款勒索软件的 作者可能是同一组织。Globelmposter（十二生肖）：Globelmposter又名十二生肖，十二主神，十二.....他于2017年开始活跃，2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分，比如国内最常见的一个攻击者邮箱为China.Helper@aol.comWannaRen（已公开私钥）：WannaRen勒索家族的攻击报道最早于2020年4月，通过下载站进行传播，最终在受害者主机上运行，并加密几乎所有文件；同时屏幕会显示带有勒索信息的窗口，要求受害者支付赎金，但WannaRen始终未获得其要求的赎金金额，并于几天后公开密钥。Conti：Conti勒索家族的攻击最早追踪到2019年，作为"勒索软件即服务（RaaS）"，其幕后运营团伙管理着恶意软件和Tor站点，然后通过招募合作伙伴执行网络漏洞和加密设备。在近期，因为分赃不均，合作伙伴多次反水，直接爆料攻击工具、教学视频、以及部分源代码。WannaCry：WannaCry（又叫Wanna Decryptor），一种"蠕虫式"的勒索病毒软件，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞"EternalBlue"（永恒之蓝）进行传播，WannaCry的出现也为勒索病毒开启了新的篇章。其他家族分析定性勒索病毒人工分析以WannaCry为例，我们来看它有那些特征通过加密格式来判断通过桌面的形式来判断通过勒索者的邮箱来判断家族这边没有留下邮箱，故而没有进行展示通过勒索者留下的勒索信为例平台分析安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家https://lesuo.venuseye.com.cn/勒索病毒搜索腾讯哈勃分析系统统一端点安全管理系统aES(终端检测响应EDR)-深信服应急处置分析家族样本在熟悉逆向的情况下可以对恶意文件进行逆向分析判断是否存在解密手段通过各大搜索引擎搜索解密方式，存在解密方式的话就直接进行解密:::danger通过一个Satan（撒旦）勒索病毒来演示可以解密的情况通过安全公司提供的解密软件可以成功解密:::不存在解密方式的话寻求解密公司或者安全公司重装系统处置封锁攻击入口通过上一节的知识，我们可以通过本机资产梳理判断存在那些服务存在被攻击的可能性，从而来锁定攻击的入口点，比如说WannaCry刚出现的时候是通过永恒之蓝大批量勒索，我们可以根据这些勒索病毒出现的特征点来锁定入口点，当然这并不是绝对的，也可能通过RDP爆破口令进入，要根据具体情况分析。

应急响应-挖矿病毒 挖矿病毒来源随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。它可以利用个人电脑或服务器进行挖矿，具体现象为CPU拉满，网络阻塞，服务器卡顿等。挖矿病毒大致植入流程入口点丢失权限：口令爆破、Web后门等攻击者通过上传执行程序或脚本运行程序或脚本（有些会清理其他同行程序）下载的挖掘程序，并写入权限维持技术排查方向通过CPU占用率来筛选出进程通过外部网络连接筛选出恶意地址排查流程分析定性通过占用大量CPU的进程找到恶意文件上传威胁情报平台进行解析分析通过网络找到外链，将URL或者IP上传到威胁情报平台进行解析分析应急处置排查权限维持手段：启动项、计划任务、服务等排查入口攻击点：口令爆破、Web丢失权限等及时隔离主机，阻断异常网络通信：封禁IP，开启防火墙，指定防火墙策略来限制传输协议等Windows 2022挖矿主机分析参考文章与环境应急响应靶机练习-Web5 WindowsServer挖矿案例记录分析定性首先查看CPU占用率，看到有一个进程占用近乎百分百的CPU查看对应程序所在目录，发现一些可疑文件查看从中得到一个域名地址接着从网络连接中提取IP地址将exe和url、IP地址放到威胁情报平台分析可以看到微步已经标记URL以及exe文件均为挖矿恶意网址和程序，到这时候我们就基本定性它是挖矿事件了应急处置排查权限维持手段接下来我们要对这个挖矿程序进行应急处置，排查他是否存在一些权限维持的手段计划任务发现就一个命名较为可疑的程序，而且他的运行程序还是个bat，我们查看一下对应路径下的文件所以删除此定时任务，我们继续排查启动项有时候定时任务删除之后，我们还发现挖矿程序还在运行，这时候我们就可以考虑是否有一个启动项服务一直在自动运行通过命令msconfig发现启动项文件启动恶意挖矿文件c3pool经排查，其他的权限维持就没有了排查入口点梳理本机资产查看Windows日志因为没有web服务，故而我们现在只需要查看本地的Windows日志即可通过eventvwr.msc查看Windows安全日志，重点看安全日志根据恶意文件的修改日期，我们可以快速定位到事件发生时间段可以看到这个日志中展示了，在同一时间内，出现了大量的登录请求，且大部分都是失败的，仅有一个成功。得出结论通过本机开放端口和Windows日志分析，基本可以确定是3389端口开放造成的口令爆破。（因为本机并未加入域环境，故而445端口的横向移动不太可能）。隔离主机通过防火墙封禁对应的IP地址，同时修改主机管理员账号密码，增强密码强度，限制3389端口的访问，防止再次通过这个入口拿到权限。同时删除所有的挖矿程序以及启动项、计划任务，最后重启测试一下是否还会出现挖矿病毒。Linux主机挖矿分析分析定性原本没有执行挖矿程序的状态上传威胁情报平台分析参考文章这边仅仅做挖矿病毒在Linux上的展示，具体的实战靶场参考下面的文章，因为环境问题无法复现Linux靶机应急响应-页面篡改、挖矿查杀

应急响应-C2后门、权限维持排查思路与基线检查 常规C2后门分析检测没有隐匿手法在没有隐匿手法的情况下，因为一个C2他在运行时必定会创建进程与对外的网络连接，通过这两点，我们可以对其进行排查初步排查-使用火绒剑等类似程序查看进程和网络进一步确认-上传文件到微步等沙箱平台测试将初步排查的文件保存下来，然后上传到类似微步云沙箱进行测试，以及远程IP地址进行查询有隐匿手法比如说CDN、云函数、中转等，这些后续再了解，这边仅普及基础，基础完善之后再了解进阶处置手段定位到恶意文件之后，我们要对其进行进一步的处置清除将定位到的文件进行删除处理封锁通过防火墙策略进行封锁处理，比如说阻止程序、协议、IP先判断是反向还是正向封锁至于一些协议的封锁，我发现防火墙的HTTP协议只针对远程的80端口，而且不可以修改，这样太过有限了，起不到封锁的作用总结最有效的封锁方式就是直接禁用远程IP地址的访问，但是这样会影响到业务的正常运行，具体采用哪种方式还得根据实际情况来决定。权限维持排查在解决了初步发现的后门之后，我们还要对主机进行一次权限维持的排查，因为攻击者可能想持续控制这台主机，所以在这台主机上留下一些自启动、隐藏账户、映像劫持、屏保或登录启动等权限维持手段自启动排查REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" 隐藏账户net user backdoor$ admin!@#45 /add lusrmgr.msc然后删除即可映像劫持REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe" # 当运行notepad时就会运行shell.exe通过PCHunter可以看到屏保或者登录触发reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" 其他像是Rookit、Web内存马等进阶知识后续再进行补充基线检查-综合项目WindowsGitHub - selinuxG/Golin: 弱口令检测、 漏洞扫描、端口扫描（协议识别，组件识别）、web目录扫描、等保模拟定级、自动化运维、等保工具（网络安全等级保护现场测评工具）内置3级等保核查命令、基线核查工具、键盘记录器golin.exe windowsGitHub - m-sec-org/d-eyes: D-Eyes为M-SEC社区一款检测与响应工具GitHub - FindAllTeam/FindAll: Automated analysis of network security emergency response tools.（自动化分析网络安全应急响应工具）这款工具可以支持分布式，就是将Agent发给其他机器，然后本机装server端，其他机器收集到的信息可以到server来查看GitHub - DeEpinGh0st/WindowsBaselineAssistant: Windows安全基线核查加固助手LinuxGitHub - selinuxG/Golin: 弱口令检测、 漏洞扫描、端口扫描（协议识别，组件识别）、web目录扫描、等保模拟定级、自动化运维、等保工具（网络安全等级保护现场测评工具）内置3级等保核查命令、基线核查工具、键盘记录器GitHub - m-sec-org/d-eyes: D-Eyes为M-SEC社区一款检测与响应工具GitHub - Ashro-one/Ashro_linux: Linux通用应急响应脚本，适用大多数情况。不如手敲GitHub - sun977/linuxcheckshoot: linux应急响应检查脚本单机终极版

Web入侵分析入口思路 凡是Web入侵必然存在一个攻击的流程，关于这个攻击的流程我们要如何准确的发现，这是一个关乎个人思路的问题，所以说我们要进行应急，首先就要知道如何分析Web入侵的入口分析思路利用时间节点筛选日志行为：当已知漏洞出现时间节点时，我们就可以针对这个时间节点前后进行分析利用对漏洞进行筛选日志行为：当我们不知道漏洞发现的时间节点时，漏洞可能发生在最近，也可能发生在一年前，那么我们面对成千上万条日志，我们可以选择通过漏洞进行分析，来提升我们的效率（比如说：Java程序会存在Shiro、Log4j、fastjson等漏洞，根据这些漏洞特征来匹配）利用后门查杀进行筛选日志行为：当攻击者成功利用网站漏洞时，通常会留下后门文件，通过后门文件的生成时间，我们就可以定位到该段时间的日志，对该段时间的日志进行分析，进一步定位攻击者利用文件修改时间筛选日志行为：根据源代码文件修改时间，排查出异常修改的文件，从而定位到该段时间的日志，然后进一步分析利用流量捕获设备数据包分析行为Web日志分析明确存储路径及查看细节(后续会讲到日志分析利器使用)IIS，Apache，Tomcat，Nginx等IIS日志存储复制目录到文件资源管理器打开这边存在多个文件夹，不知道哪个是对应的网站日志文件夹返回刚刚的页面进行查看，选择高级设置可以看到这边的ID为5，显而易见的就是W3SVC5这个目录了以上就是对应的日志文件当我们启动sqlmap进行攻击的时候，日志就会进行生成这边我的sqlmap加了UA，所以看着不太明显以下是新的日志信息date - 请求的日期。time - 请求的具体时间。s-ip - 服务器的IP地址。cs-method - 客户端使用的HTTP方法（如GET、POST）。cs-uri-stem - 请求的URI的主体部分。cs-uri-query - 请求的URI中的查询字符串部分。s-port - 服务器监听的端口号。cs-username - 进行请求的用户的用户名。c-ip - 客户端的IP地址。cs(User-Agent) - 发出请求的客户端浏览器或设备的信息。sc-status - 服务器返回的HTTP状态码。sc-substatus - 服务器返回的子状态码，用于提供更详细的错误信息。sc-win32-status - Windows服务器返回的Win32状态码。time-taken - 服务器处理请求所花费的时间。然后我是使用sqlmap跑登录框的，所以后面的日志都是使用POST提交数据的，但是我们可以发现POST提交数据是没有数据包的内容显示的，这一点就不便于我们进行分析还有就是这边的状态码都是200居多，说明这时候的sql注入攻击极有可能成功注入了Apache日志存储Apache日志存储的路径(以PHPStudy为例)：首先使用PHPStudy搭建一个ThinkPHPv5的网站ThinkPHP_full_v5.0.22.zip访问对应的网站，测试是否搭建成功然后使用对应的综合利用工具来制造一些攻击的日志，模拟红队的攻击流量查看对应的日志目录，寻找日志文件那么我们的目标就是访问日志了可以看到Apache日志跟上面的IIS日志是相差不多了，基本信息都相同这边可以很明显的看到有POC进行攻击，这就是我们刚刚模拟的综合利用工具的流量这时候就可以结合到我们的漏洞筛选日志的思路来进行分析了Tomcat日志分析搭建环境apache-tomcat-9.0.93-windows-x64.zip直接到bin目录下启动程序模拟攻击者留后门tomcat:tomcat进入部署war包的界面将哥斯拉生成的木马部署到tomcat上，并进行连接和一些恶意操作然后我们可以使用D盾对网站的目录进行查杀发现1.jsp是后门，直接进入网站的log日志，查看访问日志可以看到第一访问时20/Sep/2024:14:48:09 +0800所以在后门访问之前就是漏洞的攻击操作，根据前面的日志可以看到这些然后可以看到/manager/html/upload这个目录，其实这个目录就是访问的tomcat的war包部署，所以这个后门是通过tomcat的war包部署获取后门的。但是我们要怎么确定这是什么类型的后门呢？确定WebShell后门类型因为我们仅仅通过网站日志是无法看到POST请求提交的数据的，如果后门文件加了混淆或者删除文件的话，我们就没法对源文件进行分析了，所以说我们得通过流量设备或者说我们本地的wireshark来进行流量的抓取开启wireshark监听和虚拟机通信的流量，然后使用kali启动哥斯拉来连接后门，监听流量追踪流可以看到对应的加密数据我们可以通过蓝队工具进行解密来确定是否为哥斯拉数据包第96篇：蓝队分析研判工具箱1.08版本（溯源辅助|解密攻击流量|冰蝎、哥斯拉、天蝎解密|资产测绘搜索）DecryptTools综合解密工具 V2.0（内置20+OA系统加解密110+设备默认账号密码等|解密工具成功解密数据包，可以证明这是哥斯拉的后门了WebShell查杀平台阿里伏魔：阿里云恶意文件检测平台百度WEBDIR+：https://scanner.baidu.com/#/pages/intro河马：SHELLPUB.COM在线查杀CloudWalker(牧云)：CT Stack 安全社区在线webshell查杀-灭绝师太版：在线webshell查杀 - 在线工具WebShell Detector WebShell扫描检测器：Web Shell DetectorD盾：D盾防火墙各类杀毒：火绒，管家，X60，Defender，Nod32等漏洞利用流量包这边我展示Shiro的攻击流量包先搭建一个shiro的攻击靶场然后还是启动wireshark来进行流量的监控，使用win10作为攻击机查看wireshark的流量数据包进行关键词在于rememberMe这个Cookie字段，这是Shiro框架特有的字段进行数据解密如下可见key也出来了，所以已经可以确认攻击者使用Shiro进行攻击。特有加密流量包在护网中会遇到各种OA系统，针对各种OA系统也有各式各样的综合利用工具，并且这些综合利用工具都进行了一些加密，我们可以通过如下的工具进行解密DecryptTools.jar数据库日志分析明确数据库的日志存储位置，结合Web日志进行分析，可能存在sql注入等攻击，二者结合会有意想不到的效果后续处理找到攻击利用点并修复，写出攻击者流程，清理后门并后续溯源等待提升技能如何做到Webshell查杀的精准如何做到日志分析效率和准确如何做到流量包分析效率和准确如何做到后续溯源定位效率和准确如何做到应急分析溯源报告的书写本节仅作为入门篇章，主要讲解Web入侵的分析思路补充资料Linux 应急响应手册v1.9 发行版.pdfWindows应急响应手册v1.2.pdf