各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 239期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. 某Web业务系统已经发现有攻击者内存马维持权限,针对内存马查杀手段有哪些?
2. 通过web日志看到访问IP,但非真实IP,此时应该如何反制溯源,获取攻击者真实IP或身份信息?
3. 信息安全三同步,如何在业务项目中入手或者参与进去?
话题一:某Web业务系统已经发现有攻击者内存马维持权限,针对内存马查杀手段有哪些?
A1:
如果是虚拟机的话,先存个快照下来?
A2:
用内存分析工具Volatility对服务器内存进行快照,并分析其中的恶意代码痕迹。
A3:
想起上次分析了一星期最后复现不出来的经历,直接快照恢复解决。
A4:
通过对比路由和实际文件差异,如果没有实体文件很有可能就是内存马。Git上有现成的工具。
A5:
1. 先查看检查服务器Web日志,查看是否有可疑的Web访问日志,比如说Filter或者Listener类型的内存马,会有大量URL请求路径相同参数不同的,或者页面不存在但是返回200的请求;
2. 如在Web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在Java代码执行漏洞以及是否存在过WebShell,排查框架漏洞,反序列化漏洞;
3. 查看是否有类似哥斯拉、冰蝎特征的URL请求,哥斯拉和冰蝎的内存马注入流量特征与普通WebShell的流量特征基本吻合;
4. 通过查找返回200的URL路径对比Web目录下是否真实存在文件,如不存在大概率为内存马。
A6:
可以用专门用于扫描和检测内存中的恶意代码或异常活动。还有就是看系统中运行的进程监测,检查是不是有异常的或未授权的程序在内存中活动。分析程序的行为模式和活动路径,识别是否存在恶意行为。
A7:
内存马种类很多,查杀手段不同。
A8:
事前一般靠XDR防护软件和TDP流量行为监测类似的措施,事后一般靠木马专杀工具,太专业的只能找大佬了。
A9:
其实很多方案,真出事了,我还是觉得直接免费检测工具+收费服务来应对是最有效的。内存马对抗年年都有话题,至于种类区分或者应急处置措施,都是事后复盘不断改进,动态防御的过程。遇到一个陌生的:免费+收费才是最快处置措施。
A10:
如果仅仅是查杀,那很多方法,比如重启,内存马查杀工具,杀毒软件,溯源审计和逆向。如果是讨论溯源反制技巧,那就另当别论了。
溯源反制一般几个步骤,第一个收集证据,系统日志,流量日志,内存快照,攻击痕迹,第二个分析证据,根据证据确定攻击目标和路径,第三个清除内存马,后续就是追查攻击者跟修补漏洞。总体来说查杀很多方法和工具,技巧的话重点是固证,也就是内存镜像。上次遇到个内存马,还没来得及分析,业务那边直接给备份还原了。
A11:
内存镜像太依赖技术和产品,难做到,要入手还是进程、日志、流量分析。
Q:通过web日志看到访问IP,但非真实IP,此时应该如何反制溯源,获取攻击者真实IP或身份信息?
A12:
这个无解,很多国内黑客都是VPN出国,转了几圈回头攻击的,怎么查都没办法,老外不会配合。
A13:
感觉和追踪APT组织的方式比较像,只不过难度没那么高。
A14:
如果是海外云的IP,起码可以找他们投诉来搞掉肉鸡,国内没辙。
A15:
不好找,现在攻击者都直接挂代理池,这样除非和这个代理池的提供商有联系。
A16:
之前溯过一次,把疑似攻击者的GITHUB(是一个黑客组织)找出来了。CE的命令里面有一个wget 的IP->端口爆破找到这台机上有web服务->目录遍历找到一个文件夹一堆黑客工具->根据黑客工具名字找到黑客组织名字和github,看IP和新闻基本吻合。不过这种不叠护甲直接冲塔的选手比较少见。
A17:
攻击流量给他转到拟态蜜罐,然后使用Webrtc基本上都能获取到真实IP。
A18:
这种有过案例嘛?
A19:
Webrtc有一定的成功率,主要依赖Stun跟Ice协议。这种自动化攻击有效。攻防演练这种成功率不高。
A20:
如果是实战那基本就是封IP,这里看到不是真实IP分几种情况,如果是CDN,这种携带节点IP的直接分析就能搞定。如果对方是用代理或者肉鸡的那要打回去难度比较大,取决于收集到的资源。如果Web日志能搜集到ID,手机号等社工最简单。如果只有IP信息。那打回去的成功率并不高。一般耗时较长都会放弃,找别的拿分项。这个跟高考一样狠骨头最后啃。
A21:
如果是日志被篡改了IP,要联合分析网络和其他组件的日志做分析,如果是代理的IP,只有IP信息,这种只有看威胁情报的历史记录碰运气了,当然对于技术大佬来说直接反向入侵。
A22:
一是代理IP,如果Http包没啥特点,没啥好办法,要是可以的话用蜜罐,让他扔C2和WebShell,这样有机会一些;二是内部类似Nginx转发,找上一层日志。
A23:
非真实IP,大体上分两类。一是网络设备本身没有IP穿透,在安全设备上记录的都是网关或代理的IP,二是攻击者使用了代理或隐藏伪造了IP。第一种就靠关联分析了,通过各类系统和设备把真实IP给串联出来;第二种嘛可以分析Http头,可以用蜜罐收集更详细的攻击者信息,或者通过流量分析和异常检测,再不行和有关执法机构合作。
Q:有什么可以提前准备的溯源反制技巧,比如新增注册账号监视之类?
A24:
上半年在搞异常行为告警方案,主要就是埋点,异常用户注册监控也是其中之一,系统改造成本巨大,还在拉扯中。
A25:
对于我们就是砸0 Day了,或者近源攻击 ,近源攻击的话可以店铺挂自己公司工服钓鱼。
A26:
安全状态变更检查,通过环境的变更从而去研判是否有人攻击成功。
A27:
1. 蜜罐提前投入饵标;
2. 通过Github下一些诱饵;
3 .部署圈流量探针XDR等是必须的。
Q:某企业已经在DMZ区域部署了蜜罐,但感觉效果一般,如何提升蜜罐的诱捕能力?
A28:
直接接入内网并主动发数据。
A29:
主要是要模拟关键系统和服务,可能做的还不够真实,没有吸引力,放一点诱饵文件和数据之类的。
A30:
除了DMZ蜜罐增加交互式性,也可以考虑终端上加点料,部署终端蜜罐服务,放点诱饵文件。
A31:
1. 反向钓鱼往蜜罐放饵标;
2. 然后多爬一些或者灌入一些真实数据,别让人看着像蜜罐;
3. 用一些自动下载插件让攻击者访问就下载插件,增加概率;
4. 模拟多种类型的蜜罐,这样让攻击者下载脚本的概率更大。
话题二:信息安全三同步,如何在业务项目中入手或者参与进去?领导要求安全介入到业务项目中去,还没想好怎么切入进去
A1:
范围有点大,看安全团队技术覆盖怎么样。
A2:
一个项目,从项目启动-->开发设计-->试运行用户测试-->正式环境上线。
A3:
挺好的啊,项目启动,开发设计(评审安全需求)——运行测试(代码审计、上线三件套)——上线(持续检查,风险评估),都能介入啊。
A4:
上线三件套是啥?
A5:
渗透,漏洞扫描,基线检查。
A6:
感觉看公司属性、项目管理的成熟度吧,感觉好多toB的企业,每个产品线一套自己的项目管理。产品线多的,项目管理又不成熟,光和各个事业部沟通都几把累死了。
A7:
如果是安全,肯定统一管理,要不然怎么弄,各有各的方法,至于项目看怎么建设,一般比较规范的话,都是会有项目制,技术方案,评审会之类的,至于不规范,SDLC也很难推进。
A8:
我目前渗透没能力,基线没有。缺少的东西挺多的,只有个漏扫设备,Linux系统一个Root安装到底。
A9:
渗透看情况吧,没人没钱自己有能力自己做,基线看你们自动化程度,一般来说,纯脚本还是不行,还是要搭配手工检查。
A10:
三同步差的太远了,就这个资源投入,先搞搞系统上线前的基线核查和漏扫就不错了。
A11:
对,如果上线流程里面没有对安全的要求,那都白扯。
A12:
还是看你们的规范能不能落实,能落实,那卡点肯定不是问题,不能卡点,也没用。
A13:
主机漏洞扫描还是代码漏洞扫描?主机的话那太弱了,有白盒的话还能卡一下扫出来的中高危漏洞,可以要求中高危整改完才能上。
A14:
我只有主机漏扫,能扫描URL和主机。
A15:
想要比较全面的一些基线检查,还是要配合手动检查。反正卡点卡不到,还是顺其自然吧,如果你们能卡上线,我觉得还是好说的。
A16:
主机漏扫在项目上面针对性就比较弱了,安全要介入到项目里面去,从左移上面来讲就只能参与到相关架构和设计的安全评审上面。
A17:
现在是只有对互联网开放的能卡住,但是主机漏扫太弱了。
A18:
我们新建项目一般是设计的时候安全就介入进去,加上安全设计,开发完做人工渗透,上线前至少要把测试出的高危修复完。
A19:
渗透挺好,渗透是请的第三方还是你们自己啊?
A20:
驻场第三方。
A21:
是的,服务这些可以找第三方,毕竟要是项目多,肯定忙不过。反正规范先做好,这个是一定的,表面功夫都还是要的。
本周话题总结
本期话题谈到了针对内存马的查杀,可采用内存分析工具、日志排查、进程监测及专用查杀工具等多种手段。对于攻击者IP溯源,面对代理和VPN等复杂情况,溯源难度大,需结合蜜罐、日志分析、威胁情报等技术综合应对。实践中,封IP、收集社工信息及利用技术反向入侵是常见策略,但成功率受多因素影响。
在自身条件有限,要实现在业务项目中信息安全三同步的讨论中,关键在于将安全措施嵌入项目全周期,从启动到上线的每个环节都应涉及安全评审、测试与监控。鉴于资源限制,初期可着重于上线前的基线核查、漏洞扫描及渗透测试,并逐步建立规范与卡点机制。同时,可考虑引入第三方安全服务,以补充内部能力不足,确保安全措施的有效执行与落实。
近期群内答疑解惑
Q:有无终端电脑修复的漏洞等级和修复时间的表或标准?
A1:
终端的很少有这种要求吧,一般开启Windows 自动更新,杀软啥的必须安装,零信任Agent。
A2:
可以按照风险管理标准来或者引用国家漏洞标准,看是什么终端,重要终端高危直接按高风险来处理。
Q:所有文件都被加了这个后缀.vmdk.ALAMDEPE,没收到勒索邮件,今天突然全部虚机挂了
A1:
先尽快阻断网络、隔离,防止扩散。尽快找出临时应对办法,可以先供应商、第三方,你处理不了要尽快上报。
A2:
这种情况大公司的话应该已经内部启动应急了,而且主要看备份。
A3:
现在要用一切资源先判断情况,如果真是加密病毒,就要赶紧行动了。
A4:
勒索无疑了,切断传播,包括运维的机器也要先切断下,评估下感染路径,放弃原来的整个环境,用备份重构系统。
Q:防勒索病毒最关键的是备份,那怎样备份才能有效防止勒索病毒(就是防止备份也被勒索)呢?有没有成熟的方案呢?
A1:
有一些商业备份产品,号称可以防止勒索感染,比如CDP、CDM之类的产品。
A2:
有没有可能,这些只备份资料,不备份系统。
A3:
这种NAS就可以吧,但是业务连续性保障有点差。
A4:
这个备份数据有没有细化的方案呢,差异、增量、异地?具体怎么弄?会不会备份的数据被投毒呀?
A5:
第一次全备,之后增量,实时备份。类似快照节点,你可以还原到被勒索之前的快照时间点。
Q:权限治理怎么搞,我看RBAC模型可以搞,但是在实际中也不好操作,有没有闭坑的点?
A1:
我以前是这样做的,自己部门出一份权限表,其他部门出一份权限表,然后找相关人员开权限评审会议,并把结果抄送给各相关部门领导和老板,最后根据结果确定权限,以后权限稽核就有依据了。有些专业人员不同意授权的,但是别人有业务需求的,需要一个背书流程,出事情了追责或者免责。
A2:
我可能最终需要形成一个 “用户——岗位——角色——权限”的矩阵。
A3:
对啊,就是类似ACL的表,哪些人对某些系统或者数据具有读写改删等等权限。
Q:国内某顶级金融机构HW复盘会现场:你们安全说要买安全设备都买了,上规范都上了,修漏洞都修了,为什么还是被打穿了,如果面对这样的问题该如何回答?
A1:
这个东西就像你花再多钱养生,能保证一辈子不生病吗。
A2:
之前回答过,问就是0 Day,就是防不住,然后一顿解释,WAF也上了,防火墙也有了,态势也有了,怎么还被打穿,问就是黑客太牛逼了会绕WAF。
A3:
我在领导面前都是强调砍安全预算,把安全预算省掉,多买点365空间和更好的笔记本,对我来说,工作会更容易。人肯定要生病的,那么买那么多保健品干嘛呢,还不如多锻炼。
A4:
对我们做安全的人来说, 提升安全预算=增加更多无用重复的工作量。1年省几十万安全预算,扩容下AZURE空间,企业空间大了,大家就不会用U盘了, 80%安全泄露就避免了。
A5:
我HW防守过两家,第一二次参加hHW的单位都用起来,都没打穿,还都是传统行业,攻击事件也发现了,也及时处理了。该有的设备也得有,该用还得用,安全设备本来防的也不是顶级黑客,主要是脚本小子和黑灰产。
A6:
最高级的黑客是最牛逼的心理大师,说技术,大学生、安福仔都会渗透,统一培训基地出来的很多 , 但为什么有人能牛逼呢?就是玩心理玩的溜。
A7:
那是属于社工一方面 ,还有一方面的顶尖黑客是硬磕技术的,这种 一般HW都遇不到太多。
A8:
可以分析下没防住的具体原因,比如确实是某个方面安全措施缺失,还是员工意识薄弱,还是安全运营资源不够,还是对方确实太牛逼有0 Day,具体原因具体答复。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)