Falando sobre o pensamento de rastreamento

Others 2021-02-26 14:24:45 views: null

índice

fundo

Ideias

sistema web

Sistema host

Outros sistemas comumente usados

Resumindo

fundo

A tendência atual no ambiente geral, o impacto durante a epidemia, quando o vírus é encontrado, por meio de vários meios de triagem, e finalmente encontrar a fonte para controle ou eliminação;

Na batalha da rede, o rastreamento da origem do ataque é uma parte importante da resposta pós-evento a incidentes de segurança. Ao analisar os ativos da vítima e o tráfego da intranet, o caminho de ataque do invasor e os métodos de ataque podem ser restaurados até certo ponto, o que ajuda a reparar vulnerabilidades e riscos. Evitar incidentes secundários. O conhecimento do ataque pode ser convertido em uma vantagem defensiva. Se você puder ser proativo e previsível, poderá controlar melhor as consequências.

 

Ideias

No processo de rastreabilidade, além dos meios técnicos relacionados, é necessário confirmar uma ideia geral. Analise o ponto anormal como um todo e dê várias soluções possíveis de acordo com o ambiente atual.Como diz o ditado, é bom estar preparado. Uma análise aprofundada de problemas que ocorrem com freqüência e possíveis pontos de erro é realizada para o design e melhoria contínua. Há também a implantação de alguns equipamentos de detecção, exemplos de pontos anormais que aparecem rotineiramente e são facilmente percebidos pelos usuários:

  1. As páginas da web foram adulteradas, as cadeias pretas foram suspensas, os arquivos da web foram perdidos, etc.

  2. O banco de dados foi adulterado, a operação anormal do sistema da web afeta a usabilidade e a senha do usuário da web foi adulterada, etc.

  3. O host tem uma resposta de operação anormal, o arquivo está criptografado, o sistema host tem outros usuários, etc.

  4. Uma grande quantidade de tráfego anormal ocorre na camada de tráfego do host

De acordo com a situação do site do usuário, muitas vezes é necessário fazer algum trabalho de coleta de informações, como o ponto de tempo anormal (muito importante), a principal situação de negócios do servidor anormal, se uma topologia de rede está aproximadamente na zona DMZ , se está acessível através da rede pública, quais portas foram abertas, se há patches, que tipo de tecnologia da web é usada, se houve alguma mudança recentemente, se há algum dispositivo de segurança, etc.

Com base nas informações coletadas, muitas possibilidades podem ser desenhadas. Existem muitas vulnerabilidades. Algumas vulnerabilidades não foram reparadas a tempo. Se o risco for evitado e quais estratégias devem ser adotadas; uma rede pública de servidor da web pode acessar o uso de classes de framework no caso de uma cadeia negra, então pode ser inicialmente suspeita de ser uma vulnerabilidade de execução de comando; se um servidor de rede pública não tiver patch instalado e nenhuma proteção de firewall. A senha do administrador é P @ sswrod, então há uma grande possibilidade de que ela seja quebrada com sucesso por força bruta; o seguinte trabalho é principalmente para coletar vários dados para provar essa conjectura.

 

sistema web

Os eventos gerais de segurança da Web geralmente podem ser encontrados em logs da Web. Afinal, nem todo hacker pode fazer coisas como limpar logs.

Os logs de vários middleware comuns são os seguintes:

  1. O caminho de registro do apache é geralmente configurado no diretório httpd.conf ou localizado em / var / log / http

  2. O log do IIS está, por padrão, no diretório em Logfiles no diretório do sistema

  3. O Tomcat geralmente está localizado em uma pasta de logs no diretório de instalação do tomcat

  4. Os logs do Nginx são geralmente configurados no arquivo nginx.conf ou vhost conf

Os logs geralmente são nomeados por datas para facilitar auditorias subsequentes e o pessoal de segurança para análise.

Um trabalhador deve primeiro afiar suas ferramentas se quiser fazer seu trabalho bem.Geralmente, o volume de toras é relativamente grande. Ainda existem muitas ferramentas de detecção de log na Internet. Não gosto de usar as ferramentas principais ou notepad ++ e Sublime Text para acompanhar as informações coletadas, como o ponto de tempo. Quando você analisa os logs de solicitação antes e depois o ponto no tempo, geralmente você pode encontrar alguns anormais.

Para identificar facilmente alguns logs, também existem muitos projetos de código aberto no github que procuram especificamente por ataques relacionados à segurança ou estatísticas nos logs. Como existem mais scanners hoje em dia, muitos ataques inválidos costumam ser encontrados após uma verificação, o que torna mais problemático fazer a triagem.

Recomende uma pequena ferramenta: web-log-parser é uma ferramenta de web log de análise de software livre, desenvolvida em linguagem python, com configuração de formato de log flexível. Existem muitos projetos excelentes, se não funcionar, basta definir suas próprias regras e fazer uma.

A conexão é a seguinte: https://github.com/JeffXue/web-log-parser

Ao processar algumas visitas, as alterações da página da web, caminho de upload, IP de origem e outras informações podem ser coletadas de forma mais adequada. Através da identificação de alguns caminhos críticos, combinados com certas informações, o ponto de entrada pode muitas vezes ser localizado.

Exemplos de alguns pontos de entrada comuns são os seguintes:

  1. Alguns CMS EXP, como Discuz Empire Spring e outros comandos de execução, brechas de lógica de bypass de permissão, etc. Por serem mais comuns, muitos deles são públicos na Internet, portanto envolvem um intervalo relativamente amplo.

  2. Vulnerabilidades de upload do editor, como o conhecido editor FCK, UEditor, etc.

  3. A filtragem de upload funcional não é estrita, como vulnerabilidades de upload causadas por filtragem estrita na interface de upload de perfil de upload de avatar.

  4. Conta de administrador com problema de senha fraca do sistema da Web ou senha fraca do usuário gerenciador do tomcat, usuário de senha fraca do Axis2, senha fraca do Openfire, etc.

Ao mesmo tempo, o sistema web está sujeito a algumas situações de webshell, e algumas webshells são freqüentemente encontradas em alguns diretórios de upload.A página da web é obviamente um JSP e uma frase de php aparece. Geralmente precisa se concentrar. Recomenda-se usar o D-Shield para verificar o diretório do sistema da web.

O tempo de upload do WebShell verificado, o tempo de criação do arquivo e o tempo de modificação do arquivo são geralmente mais precisos. Geralmente, esse tempo não é alterado e é relativamente fácil de verificar no log.

 

Sistema host

No passado, muitos métodos de disseminação que alguns worms eram bastante engraçados dependiam apenas de rachaduras por força bruta e vulnerabilidades como o MS17-010. Achei que a disseminação deveria ser relativamente pequena, e então descobri que esse método é simples e rude, mas o mais eficaz.

A segurança relativa da plataforma Linux é relativamente alta. Vários vírus comuns, como as séries XorDDOS, DDG e XNote, geralmente contam com o cracking por força bruta para se espalhar, e o cracking por força bruta também é importante no processo de rastreamento da origem.

Exemplos de alguns registros comumente usados ​​são os seguintes:

var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等信息/var/log/lastlog    记录登录的用户,可以使用命令lastlog查看/var/log/secure    记录大多数应用输入的账号与密码,登录成功与否/var/log/cron      记录crontab命令是否被正确的执行

O uso flexível dos comandos grep, sed, sort e awk e atenção a senha aceita, falha e palavras-chave especiais inválidas geralmente podem encontrar facilmente algumas pistas como segue:

Muitas vezes, alguns invasores se esquecem de limpar o log, é muito conveniente visualizar os detalhes; um comando de histórico, a operação do hacker é clara à primeira vista. É claro que, depois que alguns scripts são executados, o log será eventualmente apagado.Por exemplo, o seguinte muitas vezes aumenta a dificuldade e o log é apagado e geralmente é mais anormal. Você pode se concentrar nos logs restantes ou prestar atenção se há outras configurações de segurança no nível da rede que podem ser rastreadas e analisadas no nível do tráfego. Originário das características do Linux de que tudo é arquivo e open source, também existem vantagens e desvantagens no processo de rastreabilidade.O rootkit é a coisa mais problemática. Como os textos simples de alguns comandos comumente usados ​​no sistema foram alterados e substituídos, o sistema se tornou completamente não confiável.Muitas vezes não é fácil descobrir que o pessoal do serviço de segurança tem requisitos técnicos mais elevados no processo de rastreabilidade. A rastreabilidade na plataforma Windows é relativamente fácil. Claro, ela depende principalmente do log do Windows. Geralmente, use o comando eventvwr para abrir o visualizador de eventos. O padrão é dividido em três categorias: aplicativo, segurança e segurança são armazenados no diretório% systemroot% \ system32 \ config na forma de arquivos evt; o uso razoável de filtros pode muitas vezes nos ajudar a investigar melhor os registros, como a triagem de suspeita de invasão de força bruta ID do evento == 4625 log de falha de auditoria, análise de acompanhamento de tempo, endereço IP de origem, tipo e frequência de solicitação para determinar se é um ataque de força bruta da intranet. Determine se é malicioso por meio do sistema interno log do sistema. O status de execução do processo pode ser confirmado pela confirmação do valor do tipo de log por meio de qual protocolo o cracking de força bruta foi bem-sucedido; a relação de valor relativo é a seguinte:

local WINDOWS_RDP_INTERACTIVE = "2"local WINDOWS_RDP_UNLOCK = "7"local WINDOWS_RDP_REMOTEINTERACTIVE = "10"local WINDOWS_SMB_NETWORK = "3"

Patches para o sistema Windows são relativamente importantes.Se alguns patches principais não forem aplicados, é fácil ser atacado com sucesso. O foco está em alguns patches de segurança comuns, como ms17-010, ms08-067 e ms16-032, que são pacotes de ataque comumente usados ​​para penetração na intranet. Você pode ver os patches instalados no sistema atual por meio do sysintemfo. Além disso, o Windows também inclui muitos logs de segurança de controle de domínio. Como o conteúdo é muito, a descrição não será expandida. O principal motivo do rastreamento é restaurar o caminho de ataque. Por meio do log do Windows, você pode entender o ataque cadeia do atacante e dar uma explicação ao usuário.

Outros sistemas comumente usados

O sistema de banco de dados também é uma das áreas mais atingidas pelos pontos de entrada dos invasores. Por exemplo, o servidor msssql geralmente tem permissões mais altas depois que os dados são instalados em um ambiente de janela, e alguns usuários geralmente não protegem o banco de dados após a instalação. concluída, com base na separação da estação de banco de dados Muitos dos princípios do mssql podem ser acessados ​​diretamente da rede pública.A estratégia de controle de acesso é relativamente fraca, e o problema de senhas fracas é particularmente proeminente.

Por exemplo, o log de cracking de força bruta para o usuário sa do mssql, que também registra o endereço IP do cliente, é fácil de ser comprometido se a senha não for estrita o suficiente se a política de bloqueio relevante não estiver configurada. Depois que o invasor explodir com sucesso, ele pode iniciar o xp_shell para executar comandos do sistema com alta autoridade. Ele não faria o que quisesse com um shell do Windows? Também existe um redis na plataforma Linux que também é muito popular, mas o problema de acesso não autorizado após alguns anos de instalação padrão é relativamente comum. Por exemplo, vírus como mineração DDG e mineração WatchDog, que são relativamente populares em eventos recentes, usam principalmente o acesso não autorizado do redis para executar comandos, extrair programas de mineração da Internet e escrever chaves públicas ssh e outras funções. Quando você vê que a porta 6379 está aberta localmente, você ainda precisa prestar atenção a este problema.Consulte os usuários mais sobre o uso e verifique a configuração padrão. Existem também alguns sistemas comumente usados, como um conjunto de privilégios de cracking de força bruta do banco de dados mysql, vulnerabilidades de acesso não autorizado, e-mails de phishing, backdoors de software de cracking, macros de escritório maliciosas, vulnerabilidades de execução de código de escritório, defeitos de caixa de correio, defeitos de configuração de VPN, etc. A situação do ponto de entrada do invasor precisa ser verificada em conjunto com a situação atual do usuário.

 

Resumindo

Diz-se que a essência da segurança é uma competição entre pessoas. Nos últimos anos, o surgimento dos produtos honeypot mudou a posição do defensor de passivo para ativo. A tecnologia Honeypot é essencialmente uma tecnologia que engana o invasor. Organizando alguns hosts , serviços de rede ou informações como iscas para induzir o invasor a atacá-los, o comportamento do ataque pode ser capturado e analisado, as ferramentas e métodos usados ​​pelo invasor podem ser compreendidos e a intenção e a motivação do ataque podem ser inferidas. Deixe os defensores claramente compreender as ameaças à segurança que eles enfrentam e usar métodos de tecnologia e gerenciamento para aprimorar os recursos de proteção de segurança do sistema real. É necessário ter um determinado conjunto de métodos de defesa para consumir o máximo possível os recursos limitados do ataque, obrigando o atacante a usar o IP real, para que possamos defender o negócio e rastrear a identidade do atacante. Do ponto de vista do ataque e da defesa, considere mais formas possíveis para o atacante pensar sobre mais formas possíveis para o atacante eliminar a desvantagem da assimetria de informação do defensor no confronto ofensivo e defensivo, e criar a vantagem da assimetria de informação para o atacante . As posturas, vulnerabilidades e métodos de ataque mais usados ​​são então verificados com dados, não se limitando a vulnerabilidades conhecidas e deixando de lado outros problemas.Se você pode ser proativo e previsível, você pode controlar melhor as consequências.

Acho que você gosta

Origin blog.csdn.net/weixin_43650289/article/details/112982616
Recomendado
Clasificación
Diario
Más
2024-06-01(0)
2024-05-31(0)
2024-05-30(0)
2024-05-29(0)
2024-05-28(0)
2024-05-27(0)
2024-05-26(0)
2024-05-25(0)
2024-05-24(11)
2024-05-23(35)

Code World

© 2018 codetd.com