应急响应工具之科来技术交流版

来自:信安之路(微信号:xazlsec),作者:Cherishao(信安之路合伙人 & 信安之路应急响应小组组长)

前不久确定了一个想法,想和应急响应小组的小伙伴们一起研究一些比较贴心(工作中常用到)的应急响应工具,网络上类似的清单很多,但通常这些清单只会告诉你,这是一个什么工具,可以用来做什么,一些小技巧与实战场景并不会提及。如无意外,小组后续应该会分享一个系列(日志分析、进程分析、恶软分析、内存镜像、证据收集、安全加固等)的实用响应工具文章。应急响应是安全里面的一个小的分支,亦是不可或缺的一环,所涉及的知识也比较庞杂有趣(真的不骗你)。

下图为小组成员:12306 小哥以事件响应周期 "F3EAD" 为原型,所画的应急响应基础流程,一图带你了解应急响应人员的日常。小组里面大佬众多,欢迎,感兴趣有实力的小伙伴加入小组,一起交流,高清大图请点阅读原文 :).

Why is it ? 

谈及数据包抓包与分析工具,大家的第一反应就是 Wireshark、TcpDump、Fiddler 等,那么我们为什么推荐科来的技术交流版呢?广告?自然不是,信安之路一直是个低调的分享干货的公众号。我们先来看看今天介绍的主角:

http://www.colasoft.com.cn/download/capsa.php

配置要求,常规电脑基本都满足,不算重量级;一看介绍主要用于网络故障诊断和排查网络安全隐患,在一开始,平常用科来 TSA(全流量分析)的笔者来说,是不怎么看的上这个工具的。因一次特殊的需求(离线分析大的数据包),笔者发现了这个工具的一些强大的之处:能将相关协议的日志和通信数据进行回溯关联分析。

Using Skills

回溯功能介绍

先导入一个数据包,这里导入一个 需要进行分析的数据包,大小为 527.1M。

导入完成后,在右下角会有导入了多少个数据包提示,这里导入 841848 个数据包,过滤的数据包为 0.

上方的网络档案里面有个名字表的功能,原本以为这个免费版是没有的,这个标签可能在进行分析的时候还是很实用的,能极高的提高辨识度。

过滤功能介绍

科来技术交流版的过滤功能非常简单,属于一看就会那种,直接根据首行栏目的信息进行过滤设置。

如:节点1 可设置节点 1 IP,字节则设置字节大小,以节点 2 地理位置为美国为例:

驱动人生木马后门分析实战

时间线

在进行下文的讲解之前, 先一起来了解下 “永恒之蓝” 木马下载器黑产团伙活动情况时间线及攻击流程(该时间线参照了腾讯安全):

攻击流程来源于腾讯安全:

从时间线我们可以看出,自 2019 年 3 月 6 号的驱动人生木马后门新增了 “无文件攻击技术”,并于 2019 年 4 月 4 日被发现直接驻留在内存中,进行挖矿。

无文件攻击

那什么是 ”无文件攻击技术“ 呢?

“无文件攻击” 是指恶意程序文件没有直接落地到目标系统的磁盘空间的攻击手法,一般情况下,“无文件攻击”会把攻击载荷直接载入到内存空间中执行,或者依附于合法的系统进程来进行恶意操作。

现代的 “无文件攻击” 大多是基于 Powershell 的整个攻击链、攻击步骤完全无文件,恶意代码依附于可信的系统进程。综上我们可以知道:“无文件攻击” 极其善于躲避检测、对抗杀软。更多 ”无文件攻击“ 推荐:

  • 三零卫士 · 木星安全实验室 负责人——SkyMine 的 ”似新非新的’无文件攻击‘ “

  • 深信服 · 千里目安全实验室的——基于注册表的 Poweliks 病毒分析

书归正传,怎么利用科来技术交流版进行检测和辅助分析呢?

我们可以从通信角度来看 ”驱动人生木马后门的无文件攻击“ 首先,我们可以查看数据流,驱动人生木马,有个比较明显的通信特征,会以 Get 方式回传被控主机信息。

下载文件时亦会产生通信,所以针对其不变的通信特征,我们可以对其进行监测。

利用科来技术交流版进行分析时,我们可以先查看其日志信息,可单独查看(http、DNS、Voip、Email 等日志),通过日志,在我们导入的检测包里,我们发现了可疑的驱动人生木马回传信息请求,这里扩展延申下,比如请求下载了一些 shell、exe、批量的 POST、GET 等,以日志形式来看都会比较直观。

通过 http 的日志信息,可以直接定位到会话视图

定位过来后,双击进去,就能看到与 IP:27.102.107.137 的全部会话,从会话端口我们可以看到:445、65533 的请求通信。

通信数据留存

数据包的原始数据信息如下:

在这里,我们可以将与该会话相关的数据包单独全部导出留存为证据,单独导出只是导出了选中的一条的数据包信息。

应急-计划任务清除

Win 2012 下清除驱动人生木马后门,一直存在 Powershell 的请求解决方案(来源于小组成员:守望)

安全建议

被远程控制,既然能挖矿,那也就能勒索、窃密。局域网内部大多比较脆弱。平时加强安全意识,有助于防患于未然。

1)启用杀软拦截可能的病毒攻击;

2) 启用防火墙,服务器暂时关闭不必要的端口(如 135、139、445、1433);

手动关闭端口教程:https://guanjia.qq.com/web_clinic/s8/585.html

永恒之蓝漏洞扫描:https://www.52pojie.cn/thread-625636-1-1.html

3)服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

4) 关闭不常用的系统服务(如禁用 powershell),减少攻击面;

5)尽量关闭不必要的文件共享,及时升级系统补丁。

思考&总结

进行安全事件响应时,应急响应人员需要对安全事件进行深度挖掘和关联分析,进行准确定位,把损失和破坏降低到最低限度、弥补那些被利用的缺陷、恢复信息服务。而好的工具能大大提高我们的响应效率;攻击是链攻击(见下图)防护也是链防护,才能缩小攻防不对等的差距。事前做好安全检测,事中做好防护,事后做好预警与响应,方能较大化的降低安全风险。

来自:信安之路(微信号:xazlsec)

信安之路.png

推荐↓↓↓
黑客技术与网络安全
上一篇:企业人员安全意识之邮件钓鱼