蓝队的自我修养之事中监控 | HVV经验分享
一年一度的重保活动即将到来,作为防守方将进行 7*24h 的值守安全设备,防守方主要从“事前排查”、“事中监控”、“事后溯源”三个维度开展自己的工作。
“事前排查”主要是针对组织资产信息进行深度了解,掌握隐形资产,发现明显风险点并修复; “事中监控”也就是监控安全设备的告警,从海量日志中筛选出漏报、误报以及发现真实的攻击者; “事后溯源”是基于“事中监控”的更进一步,只有从安全设备上发现更多的真实攻击者,才能提升溯源的成功率。
2.1 扫描器
Crawlergo
0Kee-Team 开源了 360 天相的爬虫模块Crawlergo(https://github.com/0Kee-Team/crawlergo),白帽子通常会把 Crawlergo 集成到自己开发的扫描器中去挖掘漏洞,使用 Crawlergo 扫描网站,HTTP 头带有自定义字段 Spider-Name: crawlergo,故搜索该规则可以获取到 360 扫描器或者白帽子基于 Crawlergo 二次开放的扫描器地址。下图为通过规则检索到 Crawlergo 爬虫攻击的日志。
AWVS 扫描器
白帽子使用 AWVS 扫描器对企业资产进行扫描时,HTTP 请求包和响应包中都存在有特征。
(1) Accept:acunetix/wvs
AWVS 在进行无回显漏洞探测时候会使用到 DNSLog(bxss.me),DNSLog 生成规则为 "http://hit" + rndToken + '.bxss.me/' 随机的三级域名作为 payload。
2.2 DNSLog
域名 | 备注 |
ceye.io | 知道创宇 |
admin.dnslog.link | 四叶草安全 |
www.dnslog.cn | —— |
dnslog.io | hackit-me |
hyuga.co | Buzz2d0 |
dnslog.cn | —— |
tu4.org | —— |
h.i.ydscan.net | —— |
burpcollaborator.net | burpsuite自带dnslog |
dns1.tk | https://dns.xn--9tr.com/ |
地址 | 备注 |
https://github.com/BugScanTeam/DNSLog | —— |
https://github.com/donot-wong/dnslog | —— |
https://github.com/chennqqi/godnslog | —— |
(3) Cland Beta
开源工具 X-ray 提供了一个针对无回显漏洞验证的平台 Cland Beta,通过 Fofa 语法检索到互联网上存在 200 多个 Cland Beta,可以将以上 IP 作为重点监控对象。
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import random
import time
def atttack():
for i in range(1, 1000):
random_name_id = random.randint(3,8)
random_name = ''.join(random.sample(['z','y','x','w','v','u','t','s','r','q','p','o','n','m','l','k','j','i','h','g','f','e','d','c','b','a'], random_name_id))
random_id = random.randint(1,100)
url = "http://" + str(random_id) + "." + str(random_name) + ".4ymeeo.dnslog.cn/Exploit"
print(url)
response = requests.get(url,timeout=5)
print(response.text)
if __name__ == '__main__':
atttack()
2.3 最新漏洞
在重保中攻击者会利用 0day 或者 Nday 攻击业务系统,通过互联网公开的漏洞情报,基于漏洞利用特征到全流量日志系统中提取相关攻击者 IP。比如 fastjson 漏洞,可以在日志中检索数据包的请求体中检索关键字 “rowset.JdbcRowSetImpl”。
2.4 HTTP 返回包
攻击者通过利用远程命令执行类漏洞或者 webshell 执行一些命令后,返回包中会返回命令的执行结果,这里抛砖引玉说几个返回的包含的特征,如果存在以下特征说明已经漏洞利用成功。
(1) “Windows IP”
2.5 Referer 来源
2.6 其他手段
其一,http 请求包中有个 X-forwarded-for 字段,某些情况下我们将其值修改为 127.0.0.1 可以绕过一些系统限制,因此提取数据包中包含这个字段的相关 IP,也会有惊喜的发现;
其二,大多数系统需要登录才能进一步操作,那么登录处大概率攻击者会尝试弱口令攻击,所以在数据包的请求体中找 username=test、 admin 等字段,如果 IP 存在多次尝试登录,那么这个 IP 也可以归为攻击者;
其三,有些攻击者不注意自己隐私,用个人信息注册目标业务系统,如果业务系统不注重用户隐私,可能数据包的 cookie 字段明文显示攻击者使用的手机号或者常用 id,在流量日志中检索包含这些敏感信息的 IP 是否存在攻击行为。
其四,查询 User-Agent 字段包含 python、golang 等脚本语言的日志,因为大部分开源的漏洞工具没有设置 User-Agent 字段,可以通过 User-Agent 判断哪些是脚本利用,但是这种搜索结果不是很准确,因为互联网上僵尸网络也会利用自定义脚本攻击业务系统。
作为一名蓝方值守人员,依托安全设备,基于自己的安全经验,从海量的日志中尽可能的发现更多威胁,帮助攻防演练中甲方找到自己的短板,在第一时间进行安全修复。本文介绍了笔者在一线使用安全设备的思路,只是抛砖引玉,相信还有更多的技巧方法。关于对捕获到攻击者 IP 进行“事后溯源”,我们下篇见。
- END -
微步在线 TDP 10G 万兆版、主机安全检测与响应平台 OneEDR 重磅发布!
我们不差钱,就差一个你~
关于微步在线研究响应团队
内容转载与引用
微步在线
研究响应中心
-长按二维码关注我们-