win&linux分析后门&勒索病毒&攻击
win&linux分析后门&勒索病毒&攻击
Yatming的博客
- 常见危害
- 暴力破解
- 漏洞利用
- 流量攻击
- 木马控制(Webshell,PC 木马等)
- 病毒感染(挖矿,蠕虫,勒索等)
- 常见分析
- 计算机账户
- 端口
- 进程
- 网络
- 启动
- 服务
- 任务
- 文件等安全问题
补充资料
- https://xz.aliyun.com/t/485应急响应大合集
- https://www.secpulse.com/archives/114019.html最全Windows安全工具锦集
- https://docs.microsoft.com/en-us/sysinternals/windows官方工具
病毒分析
- PCHunter:http://www.xuetr.com
- 火绒剑:https://www.huorong.cn
- Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
- processhacker:https://processhacker.sourceforge.io/downloads.php
- autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
- OTL:https://www.bleepingcomputer.com/download/otl/
- SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查杀
- 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
- 大蜘蛛:http://free.drweb.ru/download+cureit+free
- 火绒安全软件:https://www.huorong.cn
- 360 杀毒:http://sd.360.cn/download_center.html
病毒动态
- CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
- 微步在线威胁情报社区:https://x.threatbook.cn
- 火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
- 爱毒霸社区:http://bbs.duba.net
- 腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
在线病毒扫描网站
- http://www.virscan.org多引擎在线病毒扫描网
- https://habo.qq.com腾讯哈勃分析系统
- https://virusscan.jotti.org恶意软件扫描系统
- http://www.scanvir.com计算机病毒、手机病毒、可疑文件分析
攻击响应-暴力破解(RDP,SSH)-Win,Linux
Windows-LogFusion
- 事件归类
- 事件 ID
- 事件状态等
- 参考百度资料
Linux-grep 筛选
1 | #1、统计了下日志,确认服务器遭受多少次暴力破解 |
后面这几条没有显示,是因为我没有成功用ssh远程登录过
案例演示1-windows日志查看
分为应用程序(软件信息)、安全(登录信息)、设置、系统(服务策略信息)
windows日志位置
windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion
然后去服务器上查看日志
双击进入,查看详细信息(可以看到是哪个IP地址爆破密码成功,成功登录了本机)但是这个不能显示登录失败的ip
案例演示2-linux日志查看
linux日志位置
首先使用ssh协议进行爆破登录攻击,这里我就没有用工具了,我直接错误连接三次就行了
截图放上面了
控制响应-后门木马(Webshell,PC)-Win,Linux
TCPView工具,可以查看哪个进程与远程IP通信过,从而确定系统是否曾经遭受过攻击。(windows自带工具,不推荐)
Process Explorer工具,可以查看分析进程(windows自带)
点开可以看进程id,路径,用户,开始时间等等
PCHunter工具。集成了查看进程和ip通信和进程查看。
缺点是:windows高版本网络信息获取不全。比如木马在windows7执行后,该工具可以获取网络信息
win10打开提示驱动加载失败
UserAssistView工具,可以看到所有在windows系统上执行过的文件的时间(判断黑客在什么时候进行入侵,分析入侵前是如何入侵的,入侵后做了啥)
logonsession工具,可以看到当前主机有哪些会话连接过,从而分析有没有过远程攻击
总的来说:PCHunter+UserAssistView+logonsession最好
Linux分析
CS是windows渗透工具,但是后期经过一些插件的开发,CS也可以上线linux系统,比如CS借助CrossC2项目上线linux主机
下载:https://github.com/gloxec/CrossC2/releases
上传到云服务器(这里我用虚拟机)的cs目录下,并且赋予执行权限
下载这两个文件,自定义一个目录,cs上创建一个监听器
打开下载的CrossC2-GithubBot-2023-08-08.cna
加载…
加载成功之后会出现下图的选项,有的版本的选项不再这(那就需要自行百度了)
生成之后,会在服务端生成一个key文件(隐藏文件,如果是linux需要 ls -a或者 ll -a)
然后保证gencrossC2这个文件跟key文件是在同一个目录
1 | genCrossC2 192.168.70.128 8756 ./.cobaltstrike.beacon_keys null Linux x64 ./a.elf |
将生成的木马上传到目标服务器上,执行
自动化响应检测-Gscan 多重功能脚本测试-Linux
GScan下载:https://github.com/grayddq/GScan/
GScan功能:1、主机信息获取2、系统初始化alias检查3、文件类安全扫描4、各用户历史操作类5、进程类安全检测6、网络类安全检测7、后门类检测8、账户类安全排查9、日志类安全分析10、安全配置类分析11、Rootkit分析12.WebShell类文件扫描—Python3运行文件—扫描的结果**–**-netstat -ntl可以查看tcp端口等,再通过ps命令找到对应的进程,分析其是否是木马病毒—ps命令显示linux进程信息,进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等
这工具emmm,已经两年没更新
危害响应-病毒感染(勒索 WannaCry)-Windows
勒索病毒解密网站
https://lesuobingdu.360.cn/https://www.nomoreransom.org/zh/index.html- [下载]永恒之蓝样本(勒索病毒):
https://bbs.pediy.com/thread-217586-1.htm
下载勒索病毒样本,在虚拟机上执行(不要在本机执行,谨慎执行)
—可以使用360勒索病毒解密网站进行病毒查询、在线解密等。
—也可以使用nomoreransom网站尝试解密。
—下载电脑管家、360、火绒等等利用小工具解密(不一定成功)
