Hablando del pensamiento de rastreo

Others 2021-02-26 14:24:38 views: null

Tabla de contenido

antecedentes

Ideas

sistema web

Sistema anfitrión

Otros sistemas de uso común

para resumir

antecedentes

La tendencia actual en el entorno general, el impacto durante la epidemia, cuando se encuentra el virus, a través de diversos medios de cribado, y finalmente encontrar la fuente para su control o eliminación;

Luego, en la batalla de la red, el seguimiento de la fuente de ataque es una parte importante de la respuesta posterior al evento a los incidentes de seguridad. Al analizar los activos de la víctima y el tráfico de la intranet, la ruta de ataque del atacante y los métodos de ataque se pueden restaurar hasta cierto punto, lo que ayuda a reparar vulnerabilidades y riesgos Evitar incidentes secundarios. El conocimiento del ataque se puede convertir en una ventaja defensiva. Si puede ser proactivo y predecible, podrá controlar mejor las consecuencias.

 

Ideas

En el proceso de trazabilidad, además de los medios técnicos relacionados, es necesario confirmar una idea general. Analice el punto anormal en su conjunto y dé varias soluciones posibles de acuerdo con el entorno real Como dice el refrán, es bueno estar preparado. Se lleva a cabo un análisis en profundidad de los problemas que ocurren con frecuencia y los posibles puntos de error para el diseño y la mejora continuos. También está el despliegue de algunos equipos de detección. Ejemplos de puntos anormales que aparecen de forma rutinaria y son fácilmente percibidos por los usuarios son los siguientes:

  1. Se han manipulado páginas web, se cuelgan cadenas negras, se pierden archivos web, etc.

  2. La base de datos ha sido manipulada, el funcionamiento anormal del sistema web afecta la usabilidad y la contraseña del usuario web ha sido manipulada, etc.

  3. El host tiene una respuesta de operación anormal, el archivo está encriptado, el sistema host tiene otros usuarios, etc.

  4. Se produce una gran cantidad de tráfico anormal en la capa de tráfico del host

De acuerdo con la situación del sitio del usuario, a menudo es necesario realizar algún trabajo de recopilación de información, como el punto de tiempo anormal (muy importante), la situación comercial principal del servidor anormal, si una topología de red se encuentra aproximadamente en la zona DMZ , si es accesible a través de la red pública, qué puertos se han abierto, si hay parches, qué tipo de tecnología web se utiliza, si ha habido cambios recientemente, si hay dispositivos de seguridad, etc.

Sobre la base de la información recopilada, a menudo se pueden extraer varias posibilidades. Hay muchas vulnerabilidades. Algunas vulnerabilidades no se han reparado a tiempo. Si se evita el riesgo y qué estrategias se deben adoptar; una red pública de servidor web puede acceder al uso de clases de framework en caso de una cadena negra, entonces puede ser inicialmente se sospechaba que era una vulnerabilidad de ejecución de comandos; si un servidor de red pública no tiene ningún parche instalado ni protección de firewall. La contraseña del administrador es P @ sswrod, por lo que existe una alta posibilidad de que sea descifrada con éxito por la fuerza bruta; el siguiente trabajo es principalmente recolectar varios datos para probar esta conjetura.

 

sistema web

Los eventos generales de seguridad web generalmente se pueden encontrar en los registros web. Después de todo, no todos los piratas informáticos pueden hacer cosas como borrar los registros.

Los registros de varios middleware comunes son los siguientes:

  1. La ruta del registro de apache generalmente se configura en el directorio httpd.conf o se encuentra en / var / log / http

  2. El registro de IIS se encuentra de forma predeterminada en el directorio de Archivos de registro en el directorio del sistema.

  3. Tomcat generalmente se encuentra en una carpeta de registros en el directorio de instalación de tomcat

  4. Los registros de Nginx generalmente se configuran en el archivo nginx.conf o vhost conf

Los registros generalmente se nombran por fechas para facilitar las auditorías posteriores y el análisis del personal de seguridad.

Un trabajador debe primero afilar sus herramientas si quiere hacer bien su trabajo. Generalmente, el volumen de troncos es relativamente grande. Todavía hay muchas herramientas de detección de registros en Internet. No me gusta usar las herramientas principales o notepad ++ y Sublime Text para hacer un seguimiento de la información recopilada, como el punto de tiempo. Cuando analizas los registros de solicitudes antes y después el punto de tiempo, generalmente puede encontrar algo anormal.

Para identificar fácilmente algunos registros, también hay muchos proyectos de código abierto en github que buscan específicamente ataques relacionados con la seguridad o estadísticas en los registros. Debido a que hoy en día hay más escáneres, a menudo se encontrarán muchos ataques no válidos después de una verificación, lo que hace que sea más difícil de detectar.

Recomiende una pequeña herramienta: web-log-parser es una herramienta de registro web de análisis de código abierto, desarrollada en lenguaje Python, con una configuración de formato de registro flexible. Hay muchos proyectos excelentes, si no funciona, simplemente defina sus propias reglas y cree una.

La conexión es la siguiente: https://github.com/JeffXue/web-log-parser

Al procesar algunas visitas, se pueden recopilar mejor los cambios en la página web, la ruta de carga, la IP de origen y otra información. Mediante la identificación de algunas rutas críticas, junto con cierta información, a menudo se puede localizar el punto de entrada.

Algunos ejemplos de algunos puntos de entrada comunes son los siguientes:

  1. Algunos CMS EXP, como Discuz Empire Spring y otros comandos de ejecución, lagunas lógicas de omisión de permisos, etc. Debido a que son más comunes, muchos de ellos son públicos en Internet, por lo que involucran un rango relativamente amplio.

  2. Las vulnerabilidades de carga del editor, como el conocido editor FCK, UEditor, etc.

  3. El filtrado de carga funcional no es estricto, como las vulnerabilidades de carga causadas por el filtrado estricto en la interfaz de carga de perfil de la carga de avatar.

  4. Problema de contraseña débil del sistema web, cuenta de administrador o contraseña débil del usuario del administrador de tomcat, usuario de contraseña débil Axis2, contraseña débil de Openfire, etc.

Al mismo tiempo, el sistema web es propenso a algunas situaciones de webshell, y algunas webshells se encuentran a menudo en algunos directorios de carga.La página web es obviamente una JSP y aparece una oración php. Generalmente es necesario concentrarse en. Se recomienda utilizar D-Shield para escanear el directorio del sistema web.

El tiempo de carga del webshell escaneado, el tiempo de creación del archivo y el tiempo de modificación del archivo son a menudo más precisos. Generalmente, este tiempo no cambia y es relativamente fácil verificarlo en el registro.

 

Sistema anfitrión

En el pasado, muchos métodos para propagar que algunos gusanos eran bastante divertidos solo se basaban en el agrietamiento por fuerza bruta y vulnerabilidades como MS17-010. Sentí que la propagación debería ser relativamente pequeña, y luego descubrí que este método es simple y grosero, pero El mas efectivo.

La seguridad relativa de la plataforma Linux es relativamente alta. Varios virus comunes como las series XorDDOS, DDG y XNote generalmente dependen del craqueo por fuerza bruta para propagarse, y el craqueo por fuerza bruta también es importante en el proceso de rastreo de la fuente.

A continuación se muestran algunos ejemplos de algunos registros de uso común:

var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等信息/var/log/lastlog    记录登录的用户,可以使用命令lastlog查看/var/log/secure    记录大多数应用输入的账号与密码,登录成功与否/var/log/cron      记录crontab命令是否被正确的执行

El uso flexible de los comandos grep, sed, sort y awk, y la atención a las contraseñas aceptadas, fallidas y las palabras clave especiales no válidas generalmente pueden encontrar fácilmente algunas pistas de la siguiente manera:

A menudo, algunos atacantes olvidan borrar el registro, es muy conveniente ver los detalles; un comando de historial, la operación del pirata informático es clara de un vistazo. Por supuesto, después de que se ejecuten algunos scripts, el registro eventualmente se borrará. Por ejemplo, lo siguiente a menudo aumenta la dificultad, y el registro se borra y, a menudo, es más anormal. Puede concentrarse en los registros restantes o prestar atención a si existen otras configuraciones de seguridad a nivel de red que se pueden rastrear y analizar a nivel de tráfico. Partiendo de las características de Linux de que todo es un archivo y de código abierto, también existen ventajas y desventajas en el proceso de trazabilidad, el rootkit es lo más problemático. Debido a que los textos sin formato de algunos comandos de uso común en el sistema se han cambiado y reemplazado, el sistema se ha vuelto completamente poco confiable. A menudo no es fácil encontrar que el personal del servicio de seguridad tiene requisitos técnicos más altos en el proceso de trazabilidad. La trazabilidad en la plataforma Windows es relativamente fácil. Por supuesto, se basa principalmente en el registro de Windows. Generalmente, use el comando eventvwr para abrir el visor de eventos. El valor predeterminado se divide en tres categorías: la aplicación, la seguridad y la seguridad se almacenan en el directorio% systemroot% \ system32 \ config en forma de archivos evt; el uso razonable de filtros a menudo puede ayudarnos a investigar mejor los registros, como la detección de sospecha de intrusión por fuerza bruta ID de evento == 4625 registro de fallos de auditoría, análisis de seguimiento de tiempo, dirección IP de origen, tipo y frecuencia de solicitud para determinar si se trata de un ataque de fuerza bruta desde la intranet. log del sistema. El estado de ejecución del proceso se puede confirmar confirmando el valor de logontype a través del cual el protocolo fue exitoso en el craqueo por fuerza bruta; la relación de valor relativo es la siguiente:

local WINDOWS_RDP_INTERACTIVE = "2"local WINDOWS_RDP_UNLOCK = "7"local WINDOWS_RDP_REMOTEINTERACTIVE = "10"local WINDOWS_SMB_NETWORK = "3"

Los parches para el sistema Windows son relativamente importantes, si no se aplican algunos parches clave, es fácil atacarlos con éxito. La atención se centra en algunos parches de seguridad comunes, como ms17-010, ms08-067 y ms16-032, que son paquetes de ataque de uso común para la penetración de la intranet. Puede ver los parches instalados en el sistema actual a través de sysintemfo. Además, Windows también incluye una gran cantidad de registros de seguridad de control de dominio. Debido a que el contenido es demasiado, la descripción no se ampliará. El motivo principal del rastreo es restaurar la ruta del ataque. A través del registro de Windows, puede comprender el ataque cadena del atacante y dar al usuario una explicación.

Otros sistemas de uso común

El sistema de base de datos también es una de las áreas más afectadas para los puntos de entrada de los atacantes. Por ejemplo, el servidor msssql a menudo tiene permisos más altos después de que los datos se instalan en un entorno de ventana, y algunos usuarios a menudo no fortalecen la base de datos después de la instalación. completado, basado en la separación de la estación de base de datos Se puede acceder a muchos de los principios de mssql directamente desde la red pública La estrategia de control de acceso es relativamente débil y el problema de las contraseñas débiles es particularmente prominente.

Por ejemplo, el registro de craqueo por fuerza bruta para el usuario sa de mssql, que también registra la dirección IP del cliente, es fácil de comprometer si la contraseña no es lo suficientemente estricta si la política de bloqueo relevante no está configurada. Después de que el atacante explote con éxito, puede iniciar xp_shell para ejecutar comandos del sistema con alta autoridad. ¿No haría lo que quisiera con un shell de Windows? También hay un redis bajo la plataforma Linux que también es muy popular, pero el problema del acceso no autorizado después de unos años de instalación predeterminada está relativamente extendido. Por ejemplo, virus como la minería DDG y la minería WatchDog, que son relativamente populares en eventos recientes, utilizan principalmente el acceso no autorizado de redis para ejecutar comandos, extraer programas de minería de Internet y escribir claves públicas ssh y otras funciones. Cuando vea que el puerto 6379 está abierto localmente, aún debe prestar atención a este problema. Consulte a los usuarios más sobre el uso y verifique la configuración predeterminada. También hay algunos sistemas de uso común, como un conjunto de privilegios de craqueo de fuerza bruta de base de datos mysql, vulnerabilidades de acceso no autorizado, correos electrónicos de phishing, puertas traseras de software de craqueo, macros de oficina maliciosas, vulnerabilidades de ejecución de código de oficina, defectos de buzón, defectos de configuración de VPN, etc. La situación del punto de entrada del atacante debe comprobarse junto con la situación actual del usuario.

 

para resumir

Se dice que la esencia de la seguridad es una contienda entre personas. En los últimos años, el auge de los productos honeypot ha cambiado la posición del defensor de pasiva a activa. La tecnología Honeypot es esencialmente una tecnología que engaña al atacante. Al organizar algunos hosts , servicios de red o información como señuelos para inducir al atacante a atacarlos, se puede capturar y analizar el comportamiento del ataque, se pueden comprender las herramientas y métodos utilizados por el atacante, y se puede inferir la intención y motivación del ataque. comprender las amenazas de seguridad a las que se enfrentan y utilizar la tecnología y los métodos de gestión para mejorar las capacidades de protección de seguridad del sistema real. Es necesario tener un cierto conjunto de métodos de defensa para consumir tanto como sea posible los recursos de ataque limitados, lo que obliga al atacante a usar la IP real, para que podamos defender el negocio y rastrear la identidad del atacante. Desde la perspectiva de la ofensiva y la defensa, considere más formas posibles para que el atacante piense en más formas posibles para que el atacante elimine la desventaja de asimetría de información del defensor en la confrontación ofensiva y defensiva, y cree la ventaja de asimetría de información para el atacante. . Las posturas, las vulnerabilidades y los métodos de ataque más utilizados se verifican luego con datos, no se limitan a las vulnerabilidades conocidas y eliminan otros problemas. Si puede ser proactivo y predecible, podrá controlar mejor las consecuencias.

Supongo que te gusta

Origin blog.csdn.net/weixin_43650289/article/details/112982616
Recomendado
Clasificación
Diario
Más
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)

Code World

© 2018 codetd.com