日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

日志溯源與流量分析實(shí)戰(zhàn)技巧

發(fā)布時(shí)間:2023-09-30 21:10:30 作者:網(wǎng)友整理

下面是基于安全論壇以及個(gè)人的一些想法針對日志分析溯源的個(gè)人理解
現(xiàn)階段大部分企業(yè)都會上日志審計(jì)設(shè)備,在配上流量分光,還有各類IDS、WAF等設(shè)備日志,對安全溯源分析十分方便,但在日常工作中,免不了要直接看服務(wù)器相關(guān)請求日志的情況,這個(gè)時(shí)候就需要我們自身具備日志分析的能力了。 

日志分析流程

 
1、統(tǒng)計(jì)
首先需要對數(shù)據(jù)進(jìn)行處理,如請求IP統(tǒng)計(jì),訪問地址統(tǒng)計(jì),HTTP狀態(tài)碼統(tǒng)計(jì)等,這些數(shù)據(jù)統(tǒng)計(jì)可以使用Excel或者Python/ target=_blank class=infotextkey>Python腳本,如果手頭有各類工具那就更容易統(tǒng)計(jì)了。
2、威脅發(fā)現(xiàn)
關(guān)鍵字過濾:直接查找在請求中攜帶的關(guān)鍵字,如script、select、from、echo、bash、.sh等
查看異常請求:
4XX請求、5XX請求
行為分析:
由于日志大概率不會記錄post請求體,所以在post請求包體中的攻擊往往很難發(fā)現(xiàn),這個(gè)時(shí)候就需要我們對特定的IP進(jìn)行行為查看,如查詢IP的威脅情報(bào),某個(gè)IP登錄了多個(gè)賬號等等
3、報(bào)告撰寫
在報(bào)告中我們重點(diǎn)要體現(xiàn)某個(gè)IP或者某些IP的攻擊畫像,確定這些IP的攻擊行為,以便最終確定是否來著同一撥攻擊,還是互聯(lián)網(wǎng)上的肉雞日常掃描。
ps excel中的數(shù)據(jù)透視表功能是真的香,誰用誰知道。 
 

日志行為分析

 
1、惡意IP請求帶有多個(gè)身份操作
可以看到上述日志中,某IP對登錄了郵件并進(jìn)行了相關(guān)操作,可以看到其登錄了不同的賬戶,那么這個(gè)時(shí)候怎么判斷其是正常的請求還是惡意請求呢?

(1)、威脅情報(bào),查找請求IP相關(guān)的威脅情報(bào)信息,如果是惡意IP那么大概率就有可能是惡意訪問了
(2)、觀察請求中的UA標(biāo)識,如果UA標(biāo)識一樣,那么是惡意訪問的概率就又增加了

(3)、觀察這個(gè)IP前的一些請求行為,你就可能發(fā)現(xiàn)來著不同IP的登錄請求,惡意攻擊前的撞庫攻擊,這時(shí)基本就可以坐實(shí)了
(4)、聯(lián)系相關(guān)人員看該IP是否歸屬自己(太麻煩,一般不會用),可以在二次確認(rèn)時(shí)使用。
2、非正常請求
 
正常業(yè)務(wù)邏輯不會發(fā)送的請求,這些可以通過關(guān)鍵詞快速查找過濾
3、掃描行為
通過過濾404請求和GET等,可以發(fā)現(xiàn)某些IP的目錄掃描探測行為,同時(shí)在通過IP去過濾狀態(tài)碼是200的請求,可以發(fā)現(xiàn)一些安全隱患。
4、重要接口圖片
可以根據(jù)自己的業(yè)務(wù)類型,對一些敏感接口地址進(jìn)行查找,觀察其訪問行為。
5、掃描器特征請求
wvs、ac.NETix、test、Appscan、nessus、webreaver、sqlmap、bxss.me等
bess.me是awvs其中一個(gè)XSS掃描插件的地址。部分掃描器帶有固定的特征值,需要平時(shí)積累發(fā)現(xiàn)。
6、關(guān)鍵詞查找
select、sleep、echo、bash、down、passwd等

使用這些敏感的關(guān)鍵字也能迅速定位攻擊請求,上圖就是使用sqlmap跑注入所產(chǎn)生的日志。
7、一些特征性的請求

sqlmap的WAF探測請求
8、同源分析(對于個(gè)人能力要求比較高)
惡意代碼分析是檢測和防范惡意代碼的重要基礎(chǔ)。在反病毒領(lǐng)域的實(shí)際應(yīng)用中,除了分析惡意代碼的各種外部表現(xiàn),還關(guān)心惡意代碼在同源演化方面的內(nèi)在特性,包括惡意代碼從何而來、如何發(fā)展變化以及相互之間的關(guān)系等。
目前僅有少量專門針對惡意代碼同源與演化分析技術(shù)的研究。
對惡意程序進(jìn)行反匯編之后,從命令序列、字符串序列提取出一段特征碼作為特征,提取篩選出相同的特征碼,挑選一些加密算法代碼作為特征碼,可以使用Bindiff來比較已有樣本相似的代碼片段,找到相似度較高且不是系統(tǒng)API的函數(shù)。
優(yōu)先選取Blocks數(shù)較多、匹配指令數(shù)較多的函數(shù),降低誤報(bào)的幾率,分析時(shí)。除此之外,也可以使用一些自動化提取yara規(guī)則的工具可以使用,
比如yargen:https://Github.com/Neo23x0/yarGen。
提取出來的惡意程序的特征碼,可以在VT上進(jìn)行關(guān)聯(lián),來追蹤相似攻擊組件。
ViRustotal的使用
VirusTotal,是一個(gè)提供免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站,可以通過多種反病毒引擎掃描文件使用多種反病毒引擎對您所上傳的文件進(jìn)行檢測,以判斷文件是否被病毒,蠕蟲,木馬,以及各類惡意軟件感染。
VirusTotal每15分鐘更新一次病毒資料庫,可以實(shí)時(shí)提供最新的反病毒引擎以檢測出大部分可能的威脅。
同時(shí)可以篩選出相同的特征碼片段樣本,在搜索框搜索之后可以對比往期相關(guān)樣本本的活躍,打開詳細(xì)信息可以查看是什么組織開發(fā)并使用的攻擊組件,通過這種方式可以關(guān)聯(lián)出該組織所使用的攻擊組件。
最后將yara規(guī)則添加到hunting中,一旦virustotal捕獲到新的樣本符合這條規(guī)則,就會立刻通知我們。 
 

挖礦病毒的幾個(gè)點(diǎn)

 
針對于我們大批量服務(wù)器的日志分析工作,可能會碰到比較多的挖礦病毒,現(xiàn)在的挖礦病毒種類多,加載方式多,這里簡單總結(jié)幾個(gè)點(diǎn)
1、挖礦病毒是怎么進(jìn)入到服務(wù)器的
大多數(shù)挖礦病毒進(jìn)入到服務(wù)器都是不是特意針對性的,一般都是利用現(xiàn)成的攻擊包程序,對網(wǎng)絡(luò)上所有的IP地址進(jìn)行掃描攻擊,然后在目標(biāo)機(jī)器執(zhí)行自己構(gòu)造好的攻擊載荷,就可達(dá)到快速傳播木馬的目的,由于挖礦木馬的特點(diǎn)是利用快速控制大量肉雞組建挖礦網(wǎng)絡(luò)進(jìn)行計(jì)算,而不需要選取特定的目標(biāo),所以大多數(shù)的挖礦病毒都是批量進(jìn)行的,通過一些常用的web漏洞,系統(tǒng)漏洞,弱口令,還有一些比較少見的0day,Nday,以及文件捆綁,下載器等等。
2、挖礦病毒的特征
一般服務(wù)器感染到挖礦病毒后,服務(wù)器會超負(fù)荷運(yùn)轉(zhuǎn),主要表現(xiàn)在CPU的使用率上。挖礦病毒執(zhí)行后需要連接挖礦池,這里肯定是有外連的。挖礦病毒在運(yùn)行時(shí),因占用大量系統(tǒng)資源,造成系統(tǒng)卡頓后容易被察覺,所以會使用偽裝成系統(tǒng)文件、無文件持久化等技術(shù)保護(hù)自身。
挖礦病毒的套路特征參考文章:
https://zhuanlan.zhihu.com/p/164557943
3、針對無文件落地的powershell馬
之前碰到過一些沒有文件落地,通過在Powershell中嵌入PE文件加載的形式,達(dá)到執(zhí)行“無文件”形式挖礦攻擊。挖礦木馬執(zhí)行方式?jīng)]有文件落地,直接在Powershell.exe進(jìn)程中運(yùn)行,這種注入“白進(jìn)程”執(zhí)行的方式可能造成難以檢測和清除惡意代碼。在感染機(jī)器上安裝計(jì)劃任務(wù),通過計(jì)劃任務(wù)啟動Powershell攻擊模塊(無文件落地),Powershell攻擊模塊包含利用 “永恒之藍(lán)”漏洞攻擊、弱口令爆破+WMIC、 Pass the hash攻擊代碼。在攻陷的機(jī)器上執(zhí)行Payload安裝計(jì)劃任務(wù),上傳文件到啟動目錄,相應(yīng)的Payload執(zhí)行后繼續(xù)進(jìn)行下一輪感染。
在windows下查看某個(gè)運(yùn)行程序(或進(jìn)程)的命令行參數(shù)
使用下面的命令:
  •  

 
wmic process get caption,commandline /value
 
如果想查詢某一個(gè)進(jìn)程的命令行參數(shù),使用下列方式:
  •  
wmic process where caption=”xxx.exe” get caption,commandline /value
這樣就可以得到進(jìn)程的可執(zhí)行文件位置等信息。
這樣可以查看powershell的運(yùn)行命令
下面這個(gè)是我之前碰到的一個(gè)powershell挖礦馬

https://blog.csdn.net/weixin_44578334/article/detAIls/107438038

 

寫報(bào)告時(shí)注意點(diǎn)

 
1、不一定惡意IP的請求就是攻擊行為
2、相同的payload在不同的IP請求,可以將其劃分同一人
3、部分IP的請求量較低,但存在惡意行為,可能為真實(shí)IP(具體可從漏掃成功的地方去跟蹤)
4、日志中并無同一地理位置的兩個(gè)IP同一一個(gè)時(shí)間區(qū)間出現(xiàn),大概率是可以說是同一人所為
5、查詢大量IP,發(fā)現(xiàn)威脅情報(bào)大多是撞庫攻擊。這些地址可能不是來自攻擊團(tuán)隊(duì),而是來自互聯(lián)網(wǎng)上的掃描
6丶有些挖礦病毒的程序里面不會直接連接,而是通過加載器的方式加載一串加密代碼來連接挖礦池,不要因?yàn)椴闅⒉坏讲《揪团袛喾?wù)器是安全的。

 

總結(jié)

 

 

我了解的日志流量分析溯源是比較有規(guī)章順序的一套流程,從取證到溯源,但是針對于目前我們流量日志分析的方式,我感覺還是有很多局限性的,有很多的特征以及排查都是需要登錄到服務(wù)器才能更有效快速的解決發(fā)現(xiàn)問題,這個(gè)也是出于客戶環(huán)境的原因,對于流量分析溯源人員的權(quán)限問題也是對溯源工作的。
 
作者:Azjj98來源:https://blog.csdn.net/weixin_44578334歡迎各位關(guān)注作者博客。

分享到:
標(biāo)簽:溯源 日志
用戶無頭像

網(wǎng)友整理

注冊時(shí)間:

網(wǎng)站:5 個(gè)   小程序:0 個(gè)  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運(yùn)動步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定