蓝队的自我修养之事中监控 | HVV经验分享

共 4672字,需浏览 10分钟

 ·

2021-03-31 21:43


1

背景


一年一度的重保活动即将到来,作为防守方将进行 7*24h 的值守安全设备,防守方主要从“事前排查”、“事中监控”、“事后溯源”三个维度开展自己的工作。

  • “事前排查”主要是针对组织资产信息进行深度了解,掌握隐形资产,发现明显风险点并修复;
  • “事中监控”也就是监控安全设备的告警,从海量日志中筛选出漏报、误报以及发现真实的攻击者;
  • “事后溯源”是基于“事中监控”的更进一步,只有从安全设备上发现更多的真实攻击者,才能提升溯源的成功率。
由于“事前排查”并非人人都需参与,故笔者仅从“事中监控”和“事后溯源”两个维度展开描述,本篇讲的是“事中监控”这一部分。


2

精准定位


2.1 扫描器

企业安全犹如木桶定律,最短的木板是评估木桶品质的标准,安全最薄弱环节也是决定企业安全好坏的关键。在重保活动中攻击者的目标很明确,找数据进内网,那么如何快速准确的从企业海量的资产中找到企业的漏洞入口点,常用的方法就是扫描器,故掌握开源或者商业的扫描器的指纹特征,可以快速的定位真实的攻击IP,做到准确封禁。指纹特征的提取一般就是基于http请求包或者响应包,下面抛砖引玉简单列举下常见的扫描器的指纹特征。


Crawlergo

0Kee-Team 开源了 360 天相的爬虫模块Crawlergo(https://github.com/0Kee-Team/crawlergo),白帽子通常会把 Crawlergo 集成到自己开发的扫描器中去挖掘漏洞,使用 Crawlergo 扫描网站,HTTP 头带有自定义字段 Spider-Name: crawlergo,故搜索该规则可以获取到 360 扫描器或者白帽子基于 Crawlergo 二次开放的扫描器地址。下图为通过规则检索到 Crawlergo 爬虫攻击的日志。


AWVS 扫描器

Acunetix Web Vulnerability Scanner(简称 AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。互联网侧存在很多白帽子部署的 AWVS 扫描器,通过 Fofa 检索 title=="Acunetix" 可以看到有 659 个 IP 部署了 AWVS,如果企业未在互联侧部署有 AWVS,则可以将以上 IP 作为重点监控对象。


白帽子使用 AWVS 扫描器对企业资产进行扫描时,HTTP 请求包和响应包中都存在有特征。

(1) Accept:acunetix/wvs


(2) HTTP 请求头存在 Acunetix-* 的自定义字段


(3) HTTP 请求包或者响应包中包含 hit*.bxss.me


AWVS 在进行无回显漏洞探测时候会使用到 DNSLog(bxss.me),DNSLog 生成规则为 "http://hit" + rndToken + '.bxss.me/' 随机的三级域名作为 payload。


2.2 DNSLog

DNSLog 是一种监控 DNS 解析记录和 HTTP 访问记录的工具,将 DNSLog 平台中的特有字段 payload 带入目标发起 DNS 请求,通过 DNS 解析将请求后的关键信息组合成新的三/四级域名带出,在 NS 服务器的 DNS 日志中显示出来。通常攻击者使用 DNSLog 测试诸如 sqli、rce、ssrf、rfi 等无回显的漏洞。下面列举下常见 DNSLog 平台,可以根据这些平台的指纹结合空间测绘发现更多的 DNSLog。


(1) 常见的 DNSLog 平台

域名

备注

ceye.io

知道创宇

admin.dnslog.link

四叶草安全

www.dnslog.cn

——

dnslog.io

hackit-me

hyuga.co

Buzz2d0

dnslog.cn

——

tu4.org

——

h.i.ydscan.net

——

burpcollaborator.net

burpsuite自带dnslog

dns1.tk

https://dns.xn--9tr.com/


(2) 开源的 DNSLog 工具

地址

备注

https://github.com/BugScanTeam/DNSLog

——

https://github.com/donot-wong/dnslog

——

https://github.com/chennqqi/godnslog

——


(3) Cland Beta

开源工具 X-ray 提供了一个针对无回显漏洞验证的平台 Cland Beta,通过 Fofa 语法检索到互联网上存在 200 多个 Cland Beta,可以将以上 IP 作为重点监控对象。


另外笔者在检索互联网侧的存在 X-ray 扫描器,无意中发现部署有 X-Ray 的扫描器是可以直接关联到具体组织的,访问 Web 端接口,页面会请求接口 api/graphql_batch/,返回 banner 信息中包含 IP 归属机构,具体如下图。


最后,如果发现攻击者使用 DNSLog 攻击业务系统,可以使用如下脚本对 DNSLog 平台发送数据包,通过修改 URL 参数的值诱导攻击者到蜜罐上。

#!/usr/bin/env python# -*- coding: utf-8 -*-import requestsimport randomimport timedef atttack():    for i in range(1, 1000):        random_name_id = random.randint(3,8)        random_name = ''.join(random.sample(['z','y','x','w','v','u','t','s','r','q','p','o','n','m','l','k','j','i','h','g','f','e','d','c','b','a'], random_name_id))        random_id = random.randint(1,100)        url = "http://" + str(random_id) + "." + str(random_name) + ".4ymeeo.dnslog.cn/Exploit"        print(url)        response = requests.get(url,timeout=5)        print(response.text)if __name__ == '__main__':    atttack()


2.3 最新漏洞

在重保中攻击者会利用 0day 或者 Nday 攻击业务系统,通过互联网公开的漏洞情报,基于漏洞利用特征到全流量日志系统中提取相关攻击者 IP。比如 fastjson 漏洞,可以在日志中检索数据包的请求体中检索关键字 “rowset.JdbcRowSetImpl”。


2.4 HTTP 返回包

攻击者通过利用远程命令执行类漏洞或者 webshell 执行一些命令后,返回包中会返回命令的执行结果,这里抛砖引玉说几个返回的包含的特征,如果存在以下特征说明已经漏洞利用成功。

(1) “Windows IP”

(2) “Microsoft Corporation”
(3) “drwxr--r--”/ “-rwxr-xr-x”


2.5 Referer 来源

渗透测试的第一步是信息搜集,信息的方法有很多,有一种方法就是结合搜索引擎,例如在 fofa 上搜索企业相关资产,如果我们直接从 fofa 上跳转到目标站点,那么请求数据包的 referer 字段就会有 fofa.so,可以以此作为判断维度,梳理出攻击者 IP,类似的搜索引擎还有 Google、ZoomEye、shodan.io、Baidu、Censys。


2.6 其他手段

除了上面介绍的几种方法,还有一些其他方法,下面介绍四种方法,适用性有待考究。
  • 其一,http 请求包中有个 X-forwarded-for 字段,某些情况下我们将其值修改为 127.0.0.1 可以绕过一些系统限制,因此提取数据包中包含这个字段的相关 IP,也会有惊喜的发现;

  • 其二,大多数系统需要登录才能进一步操作,那么登录处大概率攻击者会尝试弱口令攻击,所以在数据包的请求体中找 username=test、 admin 等字段,如果 IP 存在多次尝试登录,那么这个 IP 也可以归为攻击者;

  • 其三,有些攻击者不注意自己隐私,用个人信息注册目标业务系统,如果业务系统不注重用户隐私,可能数据包的 cookie 字段明文显示攻击者使用的手机号或者常用 id,在流量日志中检索包含这些敏感信息的 IP 是否存在攻击行为。

  • 其四,查询 User-Agent 字段包含 python、golang 等脚本语言的日志,因为大部分开源的漏洞工具没有设置 User-Agent 字段,可以通过 User-Agent 判断哪些是脚本利用,但是这种搜索结果不是很准确,因为互联网上僵尸网络也会利用自定义脚本攻击业务系统。


3

总结


作为一名蓝方值守人员,依托安全设备,基于自己的安全经验,从海量的日志中尽可能的发现更多威胁,帮助攻防演练中甲方找到自己的短板,在第一时间进行安全修复。本文介绍了笔者在一线使用安全设备的思路,只是抛砖引玉,相信还有更多的技巧方法。关于对捕获到攻击者 IP 进行“事后溯源”,我们下篇见。


- END -


微步在线新产品上线

微步在线 TDP 10G 万兆版、主机安全检测与响应平台 OneEDR 重磅发布!

3月25日,我们将以直播形式进行新产品开箱&答疑,欢迎届时观看!(扫码报名)
P.S. 参与直播,还有更多福利哦~


我们不差钱,就差一个你~

阅读全文



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”



微步在线

研究响应中心

-长按二维码关注我们-





戳“阅读原文”,查看更多职位详情
↙↙↙
浏览 92
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报