Part1 序文
皆さんこんにちは、ABC_123です。公式アカウントは「Xitan Laboratory」に正式名称変更しました。99 %のオリジナリティを主張するABC_123にご期待ください。私は何年も前にこのような青いチーム分析補助ツールボックスを作成し、多くの友人がそれを使用しているのを見て、私も時間をかけて多くの機能の最適化と更新を行いました。「ブルー チーム分析補助ツールボックス」は、私が通常作成している小さなブルー チーム ツールのコレクションで、ブルー チームの分析作業におけるいくつかの問題点の解決に焦点を当てています。このアップデートは、熱心なネチズンによって報告されたいくつかの問題の解決に焦点を当てており、ABC_123 を長い間悩ませてきた Java Swing ソフトウェア インターフェイスの美化問題も解決しています。
注: 1. ソフトウェア パスに中国語を含めることはできません。2. Command+V、Ctrl+V、Alt+V およびその他のショートカット キーを使用して、Mac システムでコピー&ペーストしてみてください。
Part2 使い方と機能紹介
ポート接続により IP ホーム アドレスが追加される | 外部 IP が強調表示されます
当事者 A の顧客のイントラネット ホストが悪意のあるウイルスに感染していると仮定すると、青チームは通常 netstat -an コマンドを実行して、各ポートまたはプロセスの外部 IP アドレスへの接続ステータスを確認します。netstat -an の結果をツールに貼り付け、「 IP に対応する物理アドレスをクエリ」ボタンをクリックすると、プログラムは、各 IP アドレスに対応する国、都市、経度と緯度、外国の大学、およびその他の物理アドレスを各行の後に追加します。青色チームのメンバーは、不審なIP、ポート、プロセスを素早く特定し、また、この機能はインターネット接続を必要とせず、インターネットが切断されていても使用できます。この更新により、クエリ速度が最適化され、結果は基本的に数秒で生成され、同時に外部 IP アドレスが黄色で強調表示され、見やすくなりました。
Javaデシリアライズパケット解析機能
この関数は、SerializationDumperツールのコードを参照して、Java デシリアライズされたデータ パケットを直接解凍して分析できます。
Ice Scorpion および Godzilla WebShell トラフィック復号化機能
この関数を書くのには多大な労力を費やしましたが、Bingscorpion WebShell の場合、トラフィックから秘密キーを見つけることで復号化できます。Godzilla Webshell の場合、現在 Java ベースの WebShell トラフィック復号化のみがサポートされており、他の機能は後で追加される予定です。Godzilla 1.x ~ 2.x と 3.x ~ 4.x の下位バージョンのトラフィック暗号化プロセスは若干異なるため、復号化関数は個別に記述されています。Ice Scorpion 4.x の復号化は現時点ではサポートされていないため、後で追加される予定です。
以下の図に示すように、攻撃者が実行する具体的な操作が明確に確認できるため、誰もがブルー チームの分析レポートを作成し、危険性を当事者 A の顧客に直感的にフィードバックするのに便利です。
5 つの新しい Java メモリ クラス ファイル逆コンパイル関数を追加
Intellij Idea、CFR、Procyon、JD-Core、JDK を含む 5 つの逆コンパイル ツール インターフェイスを呼び出すことで、Base64 暗号化クラス ファイル、バイト配列に変換されたクラス ファイル、BECL エンコード クラス ファイル、Base64 エンコード + Gzip エンコード クラスクラス ファイルと元のクラス ファイルは Java コードに逆コンパイルされ、ブルー チームの担当者が異常なトラフィックのメモリ コードを分析しやすくなります。
もちろん、この機能はレッド チーム メンバーにとっても特に便利で、Tomcat、Springboot、および Weblogic メモリ エンジンを作成するときにクラス ファイルを逆コンパイルして比較できます。
1 以下の図に示すように、プログラムは Base64 で暗号化されたメモリホース クラス ファイルを逆コンパイルして分析します。
2 以下の図に示すように、プログラムは Byte 配列のメモリ クラス ファイルを逆コンパイルして解析します。
3 次の図に示すように、プログラムは BECL で暗号化されたメモリホース クラス ファイルを解析します。
4 以下の図に示すように、プログラムは Base64+Gzip 圧縮されたメモリホース クラス ファイルを逆コンパイルして分析します。
5 次の図に示すように、プログラムはクラス ファイルを逆コンパイルして解析します。
Jarパッケージ内の指定されたクラス名を検索します。
青チーム メンバーの場合、この機能は、指定された jar パッケージ ディレクトリ内の悪意のあるクラス名を含む jar パッケージ ファイルをフィルターで除外できます。現在、多くの赤チーム メンバーは、jar パッケージ内のクラス ファイルを変更し、システムをシャットダウンして再起動する不滅のメモリ ホースを作成しています。メモリホースがまだ利用可能な場合、この分析機能は非常に役立ちます。
レッド チーム メンバーにとって、Weblogic ミドルウェアなどの 0day または Nday POC を作成およびデバッグする場合、それには何千もの依存する jar パッケージが含まれる可能性があります。脆弱なクラスがどの jar パッケージに依存しているかを見つけるのは頭の痛い問題です。このツールは役に立ちます。あなたがこの問題を解決します。Weblogic POC を作成およびデバッグする場合、ABC_123 はこの関数を使用して、指定された jar パッケージの依存関係を検索します。
復号化Shiroデータパケット/CASデータパケット/Log4j2データパケット機能
デバイスアラームのShiroデシリアライゼーション攻撃動作については、一部のブルーチームアナリストがShiroデシリアライゼーション攻撃に関する調査と判断を行うことができず、攻撃動作なのか、通常のビジネス動作なのか、それともデバイスの誤ったアラームなのかを区別することが困難です。そこで、データ パケットを復号する際に、デシリアライズ攻撃があるかどうかを迅速に判断するために、データ パケット解析機能を追加しました。
下図に示すように、本機能では、シロデータパケットを解析するためのキーを手動で指定することができます。
この機能は、攻撃者が WAF の暗号化難読化をバイパスするために使用する log4j2 ペイロードを復号化することができ、この機能を通じて、ブルー チームのアナリストは攻撃者の外部 IP アドレスを取得できます。解決できないペイロードに遭遇した場合は、忘れずに公式アカウントにメッセージを残してください。
一部のデバイスは CAS データ パケットに遭遇するとアラームを発しますが、ブルー チームの担当者はそれが誤ったアラームであるかどうかを判断できません。この関数は、この問題を解決するために作成されました。データ パケットの復号化には CAS のデフォルト キーが使用されます。復号化後は、それは逆シリアル化攻撃ですか?
エンコード/デコードツール
青チームの分析作業中に、多くの友人から、使いやすいエンコード/デコード ツールがない、機能にバグがあるか、機能が不完全であるとの報告がありました。たとえば、最も単純な URL エンコード、16 進数の Hex エンコード、Base64 エンコードなど、多くのツールでは漢字の GB2312 および UTF-8 エンコードの問題が考慮されていないため、復号結果が不正確または文字化けする結果になります。そこで、エンコード/デコードに関するオンライン記事を注意深く読み、一般的に使用されるエンコード/デコード関数をデバッグし、次の関数を作成しました。皆様のご意見を参考に、使いやすければ「エンコード・デコード」機能を分離してツールを書くことも可能です 主な機能は以下の通りです。
1 ソフトウェア インターフェイスを変更し、GB2312、UTF-8、GBK、BIG5、ISO-8859-1、GB18030 などのエンコード ライブラリを追加して、エンコードおよびデコード プロセス中の漢字の文字化けの問題を解決します。
2. 一部のJDKで対応するクラスファイルがないためBeclエンコードできない問題を解決するため、「beclエンコードファイル機能」のbeclエンコードクラスを「Memories Piao Ruxue」マスターが作成したJavaクラスに置き換えました。
3. バイナリファイルを16進形式にエンコードできる「Hexエンコードバイナリファイル」機能を追加しました。
4. Base64 エンコード関数をサードパーティの jar パッケージに置き換えて、汎用性を高めます。
5 バイナリファイルのバイト配列形式への変換をサポートします。
同時に、base64 エンコード、hex16 エンコード、BECL エンコード、バイナリ ファイルのバイト配列への変換も実行できます。
公開アカウント「Xitan Laboratory」をフォローし、番号「0416」を返信すると、青チーム補助ツールボックス V0.52 のダウンロード アドレスを取得できます。
Part3 まとめ
1. このツールは今後もアップデートされ続けますので、何か良い提案があれば、公式アカウントのバックグラウンドでメッセージを残してください。
2. Ice Scorpion 4.x および Godzilla データ パケットの復号化機能は、やがて更新される予定です。
3. いくつかの脅威インテリジェンス検索機能は将来追加される予定ですので、ご期待ください。
4. 公式アカウントをフォローし、「2022」とリプライすると、「2022 ABC123 公式アカウント年報」の PDF 電子書籍ダウンロードアドレスを取得します。
以前の ABC_123 のオリジナル記事のレビュー:
第56章:ノースウェスタン工科大学へのNSA侵入フローチャートの組み合わせと分析(前編)
第51条:特定事業者の外部ネットワーク管理と内部ネットワークへの水平浸透の全過程
第46章:明らかになったイランAPT組織の米国政府イントラネット侵入の全過程(前編)
パブリック アカウントは、APT イベント分析、レッド チームの攻撃と防御、ブルー チームの分析、ペネトレーション テスト、コード監査などを含むネットワーク セキュリティ テクノロジの共有に重点を置いています。1 週間に 1 つの記事で、99% がオリジナルですので、ご期待ください。
連絡先: 0day123abc#gmail.com(#を@に置き換えてください)