Web漏洞应急篇
Shiro 攻击
特征rememberMe 恶意 Cookie rememberMe值构造 前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 -> 发送cookie Apache Shiro处理cookie的流程 得到rememberMe的cookie值 -> Base64解码 -> AES-128-CBC解密-> 反序列化(readobject)
设备查看告警信息,对rememberMe进行解密,查看反弹IP/域名进行进一步溯源。 rememberMe管理器代码中写到cookie加密密钥默认为AES算法,可以将黑客常用的攻击密钥做一个keylist进行解密,直接在解密内容里查看payload。
解密工具
https://github.com/Wh0ale/SHIRO_Rememberme_decode
排查思路,该漏洞都是通过rememberMe进行传入payload,直接对日志中shiro进行反编译即可查到相关信息(vps、未公开的利用链、特殊的payload)
Weblogic 攻击
流量层:可以直接查看到他的访问地址数据包内payload 如CVE-2020-2551(iiop)漏洞主要是通过 JtaTransactionManager 来进行加载 LDAP 协议的内容
在日志里显示: Weblogic日志主要分为:Server日志、HTTP日志和DOMAIN日志; 1、Server日志 主要功能:记录Weblogic Server启动至关闭过程中的运行信息和错误信息。 日志结构:时间戳、严重程度、子系统、计算机名、服务器名、线程 ID、用户 ID、事务 ID、诊断上下文 ID、原始时间值、消息 ID 和消息文本。
2、DOMAIN日志 主要功能:记录一个DOMAIN下的各个Weblogic Server的启动至关闭过程中的运行信息和错误信息。 日志结构:
####<Oct 18, 2018 2:21:11 PM CST> <[ACTIVE]ExecuteThread: '9' for queue: 'weblogic.kernel.Default (self-tuning)'> <> <> <> <1539843671288>
iiop协议不会在http请求中有记录,应急主要注意domain日志的记录
t3协议 临时处置方式: 1.及时更新补丁 2.禁用T3协议 3.禁止T3端口对外开放, 或者限制可访问T3端口的IP来源 漏洞列表: CVE-2017-3248 CVE-2018-2628 CVE-2018-2893 CVE-2019-2890 CVE-2020-2555
iiop协议 临时处置: 1.及时更新补丁 2.通过 Weblogic 控制台进行关闭 IIOP 协议 漏洞列表: CVE-2020-2551
Redis未授权
1.写webshell 2.写ssh密钥 3.写计划任务反弹shell
redis攻击方式请参考: https://mp.weixin.qq.com/s/9fNVZy4k07bcIWGp5aSz5A
查看配置信息是否存在异常(根据显示信息可判断是哪种攻击方式) config get *
写ssh密钥
反弹shell
写文件路径
查看key信息是否有攻击队特征信息
如果发现攻击队正在操作redis,可以使用 monitor命令进行检测
修复建议: 对于未授权漏洞,增加密码认证
冰蝎与内存马攻击
特征:后缀为动态脚本(jsp、asp、php) 请求体加密状态
内存马攻击特征:没有落地文件通常以 http://url.com/xxx/ (直接以某个文件夹为路径)
应急思路
针对webshell,可直接对web路径下查找动态脚本文件,也可以直接搜索文件内特征值
find / -name *.jsp | xargs grep "pass"
(pass为特征值,可以修改。如果返回内容过多可自行修改特征)
对于内存马,虽然现在有各种文章分析如何提取,但最简单的方法还是重启解决问题。
如果想知道如何手动清理,请移步至: https://mp.weixin.qq.com/s/DRbGeVOcJ8m9xo7Gin45kQ
修复建议: 1.根据漏洞来定,如果是程序漏洞修复即可 2.上传漏洞,禁止上传动态脚本文件,采用白名单机制仅允许特定后缀上传
Windows应急思路篇
Windows排查
对于已经留有后门的机器,可以对进程进行排查 使用pc hunter对文件签名进行校验,发现存在未签名文件(红色),重点对该文件进行分析 颜色: 1.驱动检测到的可疑对象,隐藏服务,进程,被挂钩函数的文件或进程>红色。 2.文件厂商是微软的>黑色。 3.文件厂商非微软的>蓝色。 4.校验所有数字签名后,对没有签名的模块或签名已过期或吊销的>玫红色。 5.查看下挂模块时,微软进程被下挂其他公司模块的>黄棕色。
定位文件,提取样本进行分析
直接把样本上传微步在线,奇安信威胁平台等 进行沙箱分析 微步在线:https://x.threatbook.cn/ 奇安信:https://ti.qianxin.com/ 360:https://ti.360.cn/
文件找不到可查看网络连接,对可疑外网IP进行威胁情报查询
针对可疑进程在pchunter 定位,如果无法上传工具,也可手动定位 命令:tasklist | findstr pid (网络连接最后一行数字)
ps:建议直接输入路径进入
如果还是没有结果,可在虚拟机快照中,对文件进行分析(注意运行时请使用手机热点网络,与单位网络隔离)
通过火绒剑对进程动作进行捕获
网络中可以查看,实时连接IP服务
如果病毒迁移进system ,封禁IP。后续查找主机问题,修补漏洞,重启即可。
Linux应急思路篇
对于攻击者来说,不管他如何隐藏,总要走流量。我们主要针对流量进行分析即可。
netstat -anlpt 查看是否存在恶意流量(通过威胁情报进行判定是否为恶意域名)
查找对应流量连接位置 ls -al /proc/PID (根据查到pid进程输入) 如 ls -al /proc/791 exe -> 指向启动当前进程的可执行文件(完整路径)的符号链接 详细分析:
https://www.cnblogs.com/liushui-sky/p/9354536.html
发现样本文件,上传微步在线分析数据
分析攻击手段,首先判断该主机为什么系统,上面跑了什么业务。根据业务去判断,可能存在漏洞,调取相应日志进行取证。如果上面没有业务,也没开放高危端口,可查看是否为弱口令登录,查看登录日志。 last为登录成功日志
lastb为登录失败,可查看是否爆破
也可以结合文件上传时间对比登录用户,进行分析 stat 查看日志创建时间
如果怀疑某个文件为木马控制端,可直接对文件进行调试查看传递信息 strace -p pid #调试进程
查看history可以查看攻击者执行历史记录,但可能被删除了 history 或 cat ~/.bash_history 查看历史命令,查找痕迹
应急措施: 1.对于存在漏洞的cms采取相应的修复方案 2.对于不知道攻击源的登录方式,可直接修改密码
祝HW顺利!
Timeline Sec 团队
安全路上,与你并肩前行