PT2-MSS - 2023/10/09 上午
深信服安全托管服务 MSS 联合运营服务经理 PT2 培训第一天上午。
基于安全组件的日志分析
恶意代码识别
- 一句话木马
- sql 注入
- 系统命令注入(出现系统命令一定不会是误报,正常请求不会携带系统命令)
- XSS
- 文件包含
- 常见组件漏洞
- weblogic 任意文件上传
- Apache struts2
- shiro 反序列化(cookie: rememberMe=adad1311asAd1e1)
- thinkphp
- 常见 CMS 漏洞
- 泛微 OA
- 任意文件上传
- 任意代码执行
- 用友 OA 任意代码执行
- 致远 OA 任意文件上传
- 通达 OA
- 泛微 OA
基于SIP日志分析
分析思路
- 外部威胁
- web 攻击(在 SIP 上的标签)
- webshell 上传
- webshell 后门
- java 反序列化攻击
- 漏洞利用攻击
- SQL 注入
- 暴破(web、非 web 端口)
- 弱口令
- 明文传输
- 口令暴力破解
- web 攻击(在 SIP 上的标签)
- 横向威胁分析
- web 攻击
- 漏洞利用攻击
- 扫描端口
- 外联威胁分析
- 外联恶意 ip
- 下载恶意程序并执行代码
关注模块:处置中心、日志检索和威胁分析(分析中心 - 威胁方向分析 & 威胁专项分析)
高危攻击类型
- webshell
- 标签:webshell 上传
- 方向:外部
- 日志类型:漏洞利用攻击、网站攻击、HTTP 日志
- 组件漏洞
- 状态码:200
- 类型:反序列化攻击(fastjason、shiro 等)等
- 日志类型:漏洞利用攻击或者网站攻击
- web 漏洞
- 状态码:200
- 类型:SQL 注入等
- 标签:sql 注入、web 登陆弱口令防护等
暴破
- web 登陆口
- 状态码:200/302(登陆成功,但是需要看回包)
- 标签:web 登陆明文传输、web 登陆弱口令
- 日志类型:HTTP 日志、HTTP 登录日志、网站攻击、漏洞利用攻击
- 非 web 端口
- 类型:数据库(3306、6379、1433 等)、rdp、ssh、ftp
- 日志类型:漏洞利用攻击
- 攻击类型:口令暴力破解
横向威胁分析
- 分析思路
- 发起明显攻击的服务器(排除漏扫、代理、前置机等安全设备)
- 被攻击成功的服务器
- 被攻击成功的服务器是否成为了跳板机
- 检索模块
- 威胁方向分析 - 横向攻击分析
- 处置中心标签:webshell 上传成功、web 账号暴破、webshell、webshell 后门、Regeorg 隧道代理工具、Neoregeorg 隧道工具、冰蝎 webshell、恶意文件(不同 sip 版本标签不一致)
- 日志检索
- 方向:横向
- 日志类型:漏洞利用攻击、网站攻击、HTTP 日志
- 注意:和正常业务交互进行区分
- 时间点:非正常业务时间、入侵时间点
- 端口:22、21、3389、3306、内网 web 端口……
- 一对多、多对一、多对多
- 规律性
外联威胁分析
检索模块
- 外联威胁分析 & 文件威胁分析
- 检索:文件威胁分析 → 详情模式 → 查看日志
- 处置中心
- 标签:Cobalstrike、恶意专属服务器、恶意程序下载、恶意文件、dnslog(不同 sip 版本标签不一致)
- 日志检索
- 方向外连:外连
- 常用标签:恶意软件、HTTP 文件威胁、application 漏洞攻击、文件审计日志等
防守思路
- 场景
- 态势感知 + 防火墙 +EDR
- 态势感知 + 防火墙
- 防火墙
- 思路
- AF:封堵 IP & 拦截
- SIP:整体监测
- EDR:检查落地的恶意文件 & powershell 命令
攻防实战中的 SIP 使用与研判
事前产品配置
- HTTP 日志数据开启:开启 HTTP 审计后,才有利于后期溯源分析,否则产生安全事件后没有日志信息以供值守人员分析。设置 → 系统设置 → 日志配置 → 高级设置 → HTTP 日志设置。推荐方向:服务器全勾选,并开启数据包记录
- 默安蜜罐配置
- 接入方式:webservice
- 类型:默安幻阵(蜜罐)
- 登陆密码:由默安提供一个 secret_key
- 沙箱配置
- 对接我们自己的沙箱:系统设置 → 对接 SIP 平台,输入平台 ip 即可
- 对接东巽沙箱:东巽方面的配置由对方配置,SIP 方面配置在 SIEM 分析模块中
事中攻击感知
- 实时攻击分析中的安全事件,直接发现攻击行为(主要值守工作)
- 即时发现:通过设置关注事件发现需要着重关注的安全事件。配置关注事件后,平台会进行实时监控,一旦发生相关事件,会以红点高亮突出展示,提醒处置,并且在列表中以关注事件的标签形式提示。
- 攻击研判:点击事件描述会弹出对应的事件详情,其中包含详细的举证信息和漏洞危害信息,可帮助值守人员快速研判
- 联动封锁:可通过联动封锁按钮,联动 AF、EDR 联动封锁对应攻击 IP。也可勾选要封锁 IP 对应的事件,然后批量的复制 IP
通过日志检索发现残余攻击
日志检索语法
- 单击搜索框可弹出检索字段提示
- 检索方法为:字段名 + ‘:’ + 字段值。多个检索字段间用 AND、OR 等逻辑运算符
- 举例
- 检索日志中包含 IP 为 1.1.1.1 和 1.1.1.2 的日志,搜索:1.1.1.1 AND 1.1.1.2
- 检索 IP 为 1.1.1.1,源端口为 80 的日志,搜索:1.1.1.1 AND src_port:80
- 检索 IP 为 1.1.1.1,源端口或目的端口为 80 的日志,搜索:1.1.1.1 AND (src_port:80 OR dst_port:80)
- 检索在 IP 段 1.1.1.1-1.1.1.200 内的,目的端口为 80,搜索:1.1.1.1-1.1.1.200 AND (src_port:80 OR dst_port:80)
- 检索 url 中含有 lu/index 的日志,搜索:url:lu/index
- 常用搜索框语法
- IP 模糊搜索:1.1.* 可匹配 1.1.0.0-1.1.255.255
- IP 段检索:1.1.1.1/24 可匹配 1.1.1.0-1.1.1.255
- 关键字检索:如检索 “Content-Type: text/html”
- 组合搜索:通过 AND、OR、NOT 组合搜索条件进行搜索,主要需要大写
- 常用搜索函数
- src_ip:源 ip 地址
- src_port:源端口
- dst_ip:目的 ip 地址
- dst_port:目的端口
- url:url 中包含的关键字
日志查看
通过过滤日志类型,可直接查看安全监测日志内容,方便发现攻击日志。
通过过滤流量方向,可针对性的查看某个方向的日志,例如向直接查看内网日志可直接选择横向的日志。
事件举例
- 通过对抗分析页面发现攻击行为(攻击 IP 为 172.22.228.19)
- 通过日志检索发现该 IP 的其余攻击行为,日志类型选安全检测日志,源 IP 字段设置为该攻击 IP
- 通过设置该 IP 为目的 IP 发现可能的攻击链上游的攻击行为
通过网络流量挖掘未知威胁
这是一个来自护网的真实溯源案例
- 通过网络流量发现有异常端口的 tcp 连接记录,在某客户值守时审计网络流量,发现服务器在 2019-06-26 14:32:09,尝试访问 IP 地址为 119.28.56.65 的 28503 和 3334、3333 端口。此 IP 在微步上显示为恶意 IP(钓鱼)
- 通过 HTTP 审计日志发现异常的 HTTP 访问(日志类型:HTTP 日志)
- 通过 HTTP 审计日志发现攻击行为(日志类型:HTTP 日志)发现疑似利用 shiro 反序列化攻击数据包,解码后确认为攻击流量,并且已经攻击成功,写入了 webshell 并执行了命令执行等操作
事件回溯
- 通过网络流量发现有连向异常端口的流量(反弹 shell 操作)
- 通过审计对应资产的 HTTP 日志发现疑似被写入文件
- 通过审计对应资产的 HTTP 日志发现 shiro 反序列化漏洞利用成功
- 通过审计对应资产的 HTTP 日志发现 webshell 后门
事后溯源分析
- 将失陷 IP(200.200.0.33)设置为目的 IP,查询所有攻击这个 IP 的事件,定位出外部入侵行为
- 假设已经发现了权限控制的安全事件(失陷 IP:200.200.0.37)
- 将失陷 IP (200.200.0.33)设置为源 IP,查询所有攻击这个 IP 的事件,定位出横向漫游行为。若没有安全检测日志,可查询 HTTP 审计日志和网络流量日志。
重点关注事件
应重点关注以下类型的安全事件
- sql 注入
- XSS 攻击
- webshell 上传
- 系统命令注入
- 文件包含攻击
- web 整站系统漏洞
- webshell 后门
- php 代码注入
- 暴力破解
- 永恒之蓝
- 端口扫描
- 组件漏洞
- 漏洞攻击事件
- 后门攻击事件
- 弱口令
恶意程序事件分析
恶意程序类事件处置思路
- 处置中心
- 查看日志
- 威胁情报查询确认
- 若有 edr 联动可以考虑进程取证
- 无法确认再到主机上进一步取证
常见漏洞研判
0day 会绕过安全检测日志,但在 http 日志会记录。
