淺談入侵溯源過(guò)程中的一些常見(jiàn)姿勢(shì)
攻擊溯源作為安全事故中事后響應(yīng)的重要組成部分,通過(guò)對(duì)受害資產(chǎn)與內(nèi)網(wǎng)流量進(jìn)行分析一定程度上還原攻擊者的攻擊路徑與攻擊手法,有助于修復(fù)漏洞與風(fēng)險(xiǎn)避免二次事件的發(fā)生。攻擊知識(shí)可轉(zhuǎn)換成防御優(yōu)勢(shì),如果能夠做到積極主動(dòng)且有預(yù)見(jiàn)性,就能更好地控制后果。
說(shuō)人話:被黑了就要知道為什么被黑了怎么被黑的,不能這么不明不白。
一、主體思路
溯源的過(guò)程當(dāng)中的時(shí)候除開(kāi)相關(guān)的技術(shù)手段之外,首先還是需要確認(rèn)一個(gè)整體的思路。對(duì)異常點(diǎn)進(jìn)行一個(gè)整體的分析并根據(jù)實(shí)際環(huán)境給出幾種可能的方案,這樣處理起問(wèn)題相對(duì)就可以游刃有余心里有譜,手上就不慌了。
常規(guī)出現(xiàn)的、容易被用戶感知的異常點(diǎn)舉例如下:
- 網(wǎng)頁(yè)被篡改、被掛上了黑鏈、web文件丟失等
- 數(shù)據(jù)庫(kù)被篡改、web系統(tǒng)運(yùn)行異常影響可用性、web用戶密碼被篡改等
- 主機(jī)出現(xiàn)運(yùn)行異常反應(yīng)卡頓、文件被加密、主機(jī)系統(tǒng)出現(xiàn)其他用戶等
- 主機(jī)流量層出現(xiàn)大量異常流量
根據(jù)用戶現(xiàn)場(chǎng)的情況往往還需要做一些信息收集的工作比如,出現(xiàn)異常的時(shí)間點(diǎn)(非常重要)、異常服務(wù)器的主要業(yè)務(wù)情況、大致的一個(gè)網(wǎng)絡(luò)拓?fù)涫遣皇窃贒MZ區(qū)、是否可以公網(wǎng)訪問(wèn)、開(kāi)放了那些端口、是否有打補(bǔ)丁、使用了怎么樣的一個(gè)web技術(shù)、最近是否做過(guò)什么變更、有沒(méi)有什么安全設(shè)備之類的。
根據(jù)收集到的信息,往往可以得出了幾種可能。一個(gè)web服務(wù)器公網(wǎng)可以訪問(wèn)出現(xiàn)了被掛黑鏈的事件使用了s2框架,那么初步可以懷疑是s2-045 s2-046之類的命令執(zhí)行漏洞了;如果一臺(tái)公網(wǎng)服務(wù)器沒(méi)有安裝補(bǔ)丁又沒(méi)有防火墻防護(hù),administrator的密碼為P@sswrod那么有很大的可能性是被暴力破解成功;后面的工作主要就是收集各種資料證明這一猜想即可。
二、web系統(tǒng)
上次自己部署了一個(gè)web系統(tǒng)在VPS上面,后面看了一下access日志基本上每天都有好多的web系統(tǒng)掃描事件,路徑探測(cè)的、EXP掃描的、文件遍歷的什么都有篩選起來(lái)特別頭疼。
一般web類的安全事件在web日志當(dāng)中一般都能發(fā)現(xiàn)一些端倪,清除日志這種事情畢竟不是每個(gè)黑客都會(huì)干。
常見(jiàn)幾個(gè)中間件的日志如下:
- apache的日志路徑一般配置在httpd.conf的目錄下或者位于/var/log/http
- IIS的日志默認(rèn)在系統(tǒng)目錄下的Logfiles下的目錄當(dāng)中
- tomcat 一般位于tomcat安裝目錄下的一個(gè)logs文件夾下面
- Nginx日志一般配置在nginx.conf或者vhost的conf文件中
日志一般以日期命名,方便后續(xù)審計(jì)與安全人員進(jìn)行分析。
工欲善其事必先利其器,一般日志量都比較大。互聯(lián)網(wǎng)上還是有很多的日志檢測(cè)工具,個(gè)人不是很喜歡用主要工具還是notepad++ 和Sublime Text跟進(jìn)收集的信息比如時(shí)間點(diǎn)這種情況,對(duì)時(shí)間點(diǎn)前后的請(qǐng)求日志進(jìn)行分析,一般都都能發(fā)現(xiàn)一些異常。
為了方便的識(shí)別一些日志,github也有很多開(kāi)源項(xiàng)目有專門(mén)去日志中找安全相關(guān)攻擊的、或者是統(tǒng)計(jì)的。因?yàn)楝F(xiàn)在很多掃描器也比較多,一檢查往往也會(huì)發(fā)現(xiàn)很多無(wú)效的攻擊,篩選起來(lái)反而感覺(jué)更麻煩。
推薦一個(gè)小工具:web-log-parser為開(kāi)源的分析web日志工具,采用python語(yǔ)言開(kāi)發(fā),具有靈活的日志格式配置。優(yōu)秀的項(xiàng)目比較多,蘿卜青菜各有所愛(ài)自己喜歡較好,實(shí)在不行就自己定義好規(guī)則搞一個(gè)。
連接如下:https://github.com/JeffXue/web-log-parser
在處理一些訪問(wèn)訪問(wèn)、網(wǎng)頁(yè)更改的時(shí)候、上傳路徑、源IP之類的信息都能夠較好的收集。通過(guò)對(duì)一些關(guān)鍵路徑的識(shí)別,結(jié)合一定的信息往往都能定位到入口點(diǎn)。
常見(jiàn)的一些入口點(diǎn)舉例如下:
- 一些CMS的EXP,比如Discuz Empire Spring 之類的一些命令執(zhí)行、權(quán)限繞過(guò)邏輯漏洞等因?yàn)楸容^通用,網(wǎng)上很多都是公開(kāi)的所以涉及面相對(duì)較廣。
- 編輯器的上傳漏洞,比如知名的FCK編輯器、UEditor之類。
- 功能性上傳過(guò)濾不嚴(yán)格,比如頭像上傳資料上傳界面一些過(guò)濾嚴(yán)格導(dǎo)致的上傳漏洞。
- Web系統(tǒng)的弱口令問(wèn)題 admin賬戶、或者是tomcat的manager用戶弱口令 、Axis2弱口令用戶、Openfire弱口令等等
同時(shí)web系統(tǒng)往往容易存在一些webshell的情況,經(jīng)常在一些上傳目錄里面找到一些webshell、明明是個(gè)JSP的網(wǎng)頁(yè)還出現(xiàn)了一個(gè)php的一句話。一般需要重點(diǎn)關(guān)注一下。推薦用D盾對(duì)web系統(tǒng)的目錄進(jìn)行掃描。
掃描出來(lái)的webshell時(shí)間上傳時(shí)間、文件創(chuàng)建時(shí)間、文件修改時(shí)間往往準(zhǔn)確性都比較高,一般不會(huì)去更改這個(gè)時(shí)間,用來(lái)在日志當(dāng)中排查就相對(duì)容易的多。
三、主機(jī)系統(tǒng)
以前一直覺(jué)得一些蠕蟲(chóng)病毒都挺逗的很多傳播方法居然只是依靠暴力破解和MS17-010之類的漏洞傳播,感覺(jué)波及面應(yīng)該比較小后面才發(fā)現(xiàn)這個(gè)方法簡(jiǎn)單粗暴反而最有效。
對(duì)于Linux平臺(tái)相對(duì)安全性偏高一些,常見(jiàn)的幾個(gè)病毒如XorDDOS、DDG、XNote系列的普遍也是依靠暴力破解進(jìn)行傳播,溯源的過(guò)程中也重點(diǎn)考慮暴力破解。
常用的一些日志舉例如下:
- /var/log/auth.log 包含系統(tǒng)授權(quán)信息,包括用戶登錄和使用的權(quán)限機(jī)制等信息
- /var/log/lastlog 記錄登錄的用戶,可以使用命令lastlog查看
- /var/log/secure 記錄大多數(shù)應(yīng)用輸入的賬號(hào)與密碼,登錄成功與否
- /var/log/cron 記錄crontab命令是否被正確的執(zhí)行
grep,sed,sort,awk幾個(gè)命令靈活運(yùn)用、關(guān)注Accepted、Failed password 、invalid特殊關(guān)鍵字一般也能輕松發(fā)現(xiàn)一些端倪如下:
經(jīng)常一些攻擊者忘記清除日志,就很方便能查看詳細(xì)了。一個(gè)history命令,黑客的操作就一目了然。
當(dāng)然了一些腳本執(zhí)行完了之后往往最后會(huì)清除日志比如下面這樣的往往就加大了難度,日志被清除了往往就更顯得異常了。可以重點(diǎn)看一下還剩下那些日志、或者關(guān)注一下網(wǎng)絡(luò)層面是不是還有其他的安全設(shè)備可以在流量層進(jìn)行溯源分析的。
源于Linux一切皆文件與開(kāi)源的特性,在溯源的過(guò)程中也有好處也有壞處,rootkit就是最麻煩的一件事情了。由于系統(tǒng)一些常用的命令明文都已經(jīng)被更改和替換,此系統(tǒng)已經(jīng)變得完全不可信,在排查溯源的過(guò)程中往往不容易發(fā)覺(jué)對(duì)安全服務(wù)的人員就有較高的技術(shù)要求了。
Windows平臺(tái)下面的溯源就相對(duì)容易一些當(dāng)然主要還是依靠windows的日志一般用 eventvwr命令打開(kāi)事件查看器。默認(rèn)分為三類:l應(yīng)用程序、安全、性統(tǒng) 以evt文件形式存儲(chǔ)%systemroot%\system32\config目錄:
合理使用篩選器往往可以幫助我們更好的排查日志,比如懷疑是暴力破解入侵的篩選事件ID == 4625審核失敗的日志,后續(xù)通過(guò)對(duì)時(shí)間的排查、以及源IP地址、類型與請(qǐng)求的頻率進(jìn)行分析來(lái)判斷是否是來(lái)源于內(nèi)網(wǎng)的暴力破解。
通過(guò)系統(tǒng)內(nèi)部的日志來(lái)判斷是否是惡意進(jìn)程的運(yùn)行狀態(tài)。
通過(guò)對(duì)logontype的數(shù)值確認(rèn)就可以確認(rèn)到底是通過(guò)什么協(xié)議進(jìn)行暴力破解成功的。相對(duì)的數(shù)值關(guān)系如下:
- local WINDOWS_RDP_INTERACTIVE = "2"
- local WINDOWS_RDP_UNLOCK = "7"
- local WINDOWS_RDP_REMOTEINTERACTIVE = "10"
- local WINDOWS_SMB_NETWORK = "3"
如下圖就是一個(gè)典型的SMB的認(rèn)證失敗情況:
Windows系統(tǒng)的補(bǔ)丁相對(duì)重要一些,一些關(guān)鍵的補(bǔ)丁沒(méi)有打很容易遭受到攻擊成功的事件。重點(diǎn)就關(guān)注一些常見(jiàn)的比如ms17-010 ms08-067 ms16-032等安全補(bǔ)丁都是內(nèi)網(wǎng)滲透常用的攻擊包。可以通過(guò)sysintemfo可以查看到當(dāng)前系統(tǒng)當(dāng)中已經(jīng)安裝的補(bǔ)丁。
此外windows下面還包括很多域控的安全日志,因?yàn)閮?nèi)容太多就不再展開(kāi)敘述,溯源主要還是想還原攻擊路徑,通過(guò)windows日志搞明白訪問(wèn)關(guān)系攻擊者的攻擊鏈條,給用戶一個(gè)交代就好。
四、其他常用系統(tǒng)
數(shù)據(jù)庫(kù)系統(tǒng)也是攻擊者入口點(diǎn)的一些重災(zāi)區(qū),常見(jiàn)的比如msssql server由于數(shù)據(jù)往往在window環(huán)境下安裝后具有較高的權(quán)限,一些用戶經(jīng)常安裝完成之后也不會(huì)怎么去加固數(shù)據(jù)庫(kù),基于庫(kù)站分離的原則很多mssql公網(wǎng)直接就可以訪問(wèn)訪問(wèn)控制策略比較弱,弱口令的問(wèn)題尤為突出。
比如下對(duì)于mssql的sa用戶暴力破解日志,里面也記錄著客戶端的IP地址如果沒(méi)有配置相關(guān)的鎖定策略在密碼不夠嚴(yán)格的情況下容易被攻陷。
攻擊者爆破成功之后啟動(dòng)xp_shell往往就可以以高權(quán)限執(zhí)行系統(tǒng)命令,拿到了一個(gè)windows的shell豈不是為所欲為。
Linux平臺(tái)下面的redis也很熱門(mén),就一個(gè)幾年的默認(rèn)安裝后的未授權(quán)訪問(wèn)的問(wèn)題卻流傳的相對(duì)廣泛。比如最近一段事件相對(duì)比較熱門(mén)的DDG挖礦、WatchDog挖礦等病毒都主要利用redis未授權(quán)訪問(wèn)執(zhí)行命令,從互聯(lián)網(wǎng)拉取挖礦程序?qū)懭雜sh的公鑰等功能。
看見(jiàn)本地開(kāi)放了6379端口的時(shí)候還是需要重點(diǎn)關(guān)注這個(gè)問(wèn)題,多向用戶咨詢一下使用情況查看一下默認(rèn)配置。
還有一些常用的系統(tǒng)比如mysql數(shù)據(jù)庫(kù)暴力破解提權(quán)一套裝、hadoop未授權(quán)訪問(wèn)漏洞、釣魚(yú)郵件、破解軟件后門(mén)、惡意的office宏、office的代碼執(zhí)行漏洞、郵箱缺陷、VPN配置缺陷等情況都可能是攻擊者的入口點(diǎn)具體情況需要結(jié)合用戶當(dāng)前的情況具體進(jìn)行排查。
五、總結(jié)
都說(shuō)安全本質(zhì)到最后就是人與人之間的一個(gè)較量,對(duì)于很多定向攻擊的安全事件排查起來(lái)估計(jì)就比較有意思,主機(jī)端的日志被清除掉流量層面全程隧道通信就呵呵了。
站在攻防的角度從攻擊者的思維模型去做應(yīng)急,思考更多的攻擊者可能的途徑,經(jīng)常利用的姿勢(shì)、漏洞與常用的攻擊手法再用數(shù)據(jù)去加以驗(yàn)證,不局限在已知漏洞中而放過(guò)其他的問(wèn)題,如果能夠做到積極主動(dòng)且有預(yù)見(jiàn)性,就能更好地控制后果,說(shuō)不過(guò)在過(guò)程中還能發(fā)現(xiàn)幾個(gè)0day也算是意外之喜了。
