本帖最后由 山东_朱文鑫 于 2023-6-9 16:23 编辑
大家好,我是大白,坚持是雄壮的,因为坚持是由于百般地敲打而磨练出来的;坚持是甘甜的,因为无畏的与不倒的毅力早已在心中播下了胜利的种子。依旧感谢各位小伙伴的一路支持与陪伴。
诱导已亮,前方净空,准许跃迁,诸君武运昌隆!!!!!
本篇的发表是作为小伙伴正在处于护网阶段,好多小伙伴根据我写的渗透文章,私信我希望我出一下关于一些常见攻击行为的手段以及处理,所以临时找了时间好好的给各位小伙伴去写了一下,整个详细来讲也非常的多,因为攻防来说每一个类型的维度太多,我们后续详细分享吧,此次也是分为两篇本篇更加偏基础补充,希望能够帮助各位小伙伴度过一个轻松愉快的HVV期,芜湖~~!
一、安全事件名词解释:
1、webshell:
webshell是web入侵的脚本攻击工具。简单的说来,webshell就是一个动态解释语言的文件如php、jsp、asp等,黑客在入侵了一个网站后,常常在将webshell放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过webshell控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。
一般来讲,黑客只需要2个条件就能控制这台服务器。
1}.服务器上存在webshell
2}.黑客能够通过web访问到webshell
2、DoS和DDoS攻击
拒绝服务(DoS)攻击旨在使系统资源不堪重负,以至于无法回复合法服务请求。分布式拒绝服务(DDoS)攻击与此类似,因为它也试图耗尽系统的资源。DDoS攻击由攻击者控制的大量受恶意软件感染的主机发起。这些被称为“拒绝服务”攻击,因为受害网站无法为想要访问它的人提供服务。
3、网络钓鱼攻击
当恶意行为者发送看似来自可信、合法来源的电子邮件以试图从目标获取敏感信息时,就会发生网络钓鱼攻击。网络钓鱼攻击结合了社会工程和技术,之所以如此命名,是因为攻击者实际上是在使用看似值得信赖的发件人的“诱饵”“钓鱼”进入禁区。
4、勒索软件
使用勒索软件,受害者的系统被扣为人质,直到他们同意向攻击者支付赎金。付款发送后,攻击者会提供有关目标如何重新控制其计算机的说明。“勒索软件”这个名称是恰当的,因为该恶意软件要求受害者支付赎金。
5、密码攻击
密码是大多数人选择的访问验证工具,攻击者可以拦截网络传输以获取未经网络加密的密码,攻击者还经常使用暴力破解方法来猜测密码,黑客还可以使用字典攻击来确定用户的密码。
6、SQL注入攻击
结构化查询语言(SQL)注入是利用依赖数据库为其用户提供服务的网站的常用方法。客户端是从服务器获取信息的计算机,SQL攻击使用从客户端发送到服务器上的数据库的SQL查询。该命令被插入或“注入”到数据平面中,以代替通常在那里的其他内容,例如密码或登录名。保存数据库的服务器然后运行命令并且系统被渗透。
7、DNS欺骗
通过域名系统(DNS)欺骗,黑客可以更改DNS记录,以将流量发送到虚假或“欺骗”网站。一旦进入欺诈网站,受害者可能会输入黑客可以使用或出售的敏感信息。
8、会话劫持
会话劫持是多种MITM攻击之一。攻击者接管客户端和服务器之间的会话。攻击中使用的计算机将其Internet协议(IP)地址替换为客户端计算机的地址,并且服务器继续会话而不会怀疑它正在与攻击者而不是客户端进行通信。
9、XSS攻击
通过XSS或跨站点脚本,攻击者使用可点击的内容传输恶意脚本,这些内容被发送到目标浏览器。当受害者点击内容时,脚本就会被执行。
10、后门程序
通往一个计算机或网络的简洁的路径。经过简单入侵或是经过更精心设计的特洛伊木马代码,恶意者可使用植入攻击进入一台指定的主机或是一个网络,无论何时它们都可进入—除非你发觉并阻止它们。
11、特洛伊木马攻击和病毒
这两种攻击实际上比较相似—特洛伊木马和病毒都使用恶意代码感染用户机器,使得用户机器遭受不同程度的瘫痪、破坏甚至崩溃。但是它们之间还是有区别的—病毒是真正的恶意程序,附着在command.com文件之上。
二、外部威胁:
1.弱密码风险登录
弱密码整体可在资产中心-》脆弱性感知-》弱密码处进行查看:
可以输入管理员密码进行查看具体的密码,并且支持导出。
弱密码规则支持定义,若个人觉得密码强度可降低,可在此调整
态势感知必须能够抓到并识别web系统的密码,能支持简单的加解密。一般而言,若数据包中pwd password等字段是能够识别并抓取到密码。但若是奇怪的字段就难以识别为密码并分析了。
所以能够识别的条件有两条:
1}有带有密码特征字段表示它是密码,如pwd,password等
2}密码未做加密(明文传输)或仅做了简单的加密(base64、md5等)
另外需注意该功能是被动识别,只有有人输入弱密码之后才会被抓出来,无人登录的系统存在弱密码就无法识别。建议使用主动扫描进行辅助。
1}该功能点因为本身原因存在一定的误报率,数量少的情况下建议先验证。
2}验证总体思路为使用报出来的弱密码和账号去登录页面进行登录验证
需要注意一下几点:
1}登录页面可在数据包里删去后面目录一般可跳转至登录页面。
2}登录页面最好通过数据包中的referer字段判断。
3}有的登录页面还存在选项,如年份啥的,最好的方法是通过burp使用cookie还原数据包,或者通过数据包中的字段判断出该信息。
1}不需要开放在外网的系统可迁移至内网,需要外网开放的系统可迁移至内网然后使用VPN登录。 2}通知开发商先把所有数据库里的默认的弱密码进行整体的修改,然后登录页面进行通知并让用户第一次登录之后修改密码。 3}导出弱密码表通知到人或下面分支、单位等进行整改。 4}非web设备的密码一般通过主动扫描发现,建议及时修改!
明文传输指的是网页传输一些敏感信息,如密码的时候未加密,可被攻击者修改爆破,危害较低
明文传输整体可在资产中心-》脆弱性感知-》明文登录处进行查看
3.暴力破解
账号爆破指的是使用大量的账号和密码进行登录尝试,也可理解为主动的弱密码扫描。
账号爆破检测协议支持SMB,邮件,ftp,sslvpn,rdp, ssh,telnet,mysql协议非web协议。SIP通过阈值以及flow分析引擎的模型进行匹配。
该告警误报较少,若还需确认可通过手册上的方法进一步确认。默认当做无误报的情况处理。
判断攻击源位置:
若在外网则在防火墙上关闭相关高危端口。邮件服务器则无法避免被爆破。
若在内网,则判断一下是否为员工操作,若非员工操作,在判断一下是否是域环境,域环境会定时发送smb包,若修改了密码则经常出现该攻击。若也没有域环境,则考虑可能是黑客入侵,建议及时沟通安全厂商请专业的专家进行应急处置。
4.漏洞扫描:
这几类在HVV时在重保中心经常出现,若未成功危害都不大,指的是扫描文件或目录,一般目录都是高危的或者文件为敏感的webshell,如moon.php等。黑产常常使用该手法。主要判断返回码和返回包,非200的肯定未成功。200成功返回的需要确认下返回的内容。
常见处置手法:
若黑产扫描到了遗留的webshell,建议立即联系安全厂商启动应急响应,对该服务器进行查杀。
若都未成功,可以进行IP封禁,具体操作后面会统一讲解。
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息
SQL注入误判判断
查看日志,是否存在数据库查询的关键字,如select,where,union,等,并判断提交的语句是否为客户业务请求不规范所导致。
通过返回包判断是否攻击成功
下图判断为攻击行为,但是无返回包,判断为攻击不成功。这也是一种通用的判断方法,未有响应头和响应体就是被防火墙拦截了。
6.Webshell上传
检测webshell上传,在提交的请求中有webshell特征的文件或者一句话木马字段,可以网上检索到webshell。 SIP告警有文件的情况下,可以将样本的md5或者样本上传到virustotal或者微步云沙箱进行检查,同样可通过返回包判断。
Webshell上传误报检测
查看到多条日志,提交的数据包都是相同的webshell文件,可以判断是否为客户的业务行为,为误报。如下图,所有的日志都是相同的,判断为客户业务行为。 7.系统命令注入
1}可与客户核对,是否业务有该行为,或没有,可判断是有攻击行为。
2}若返回的包为乱码并确认传输数据为非加密时,可以通过请求的数据类型是否为图片等导致展示为乱码。可以判断为误报 8.Log4j2漏洞攻击
该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。 该漏洞的利用思路主要是让受害的服务器的java去主动使用jndi的协议去请求194.156.98.60的一个目录,后面的新的地址是传的一个参数,根据之前主机抓到的程序安装的行为和msiexec这个目录可以大致推测攻击者是让受害机执行的命令就是调用msiexec去下载存放在45.67.231.16的恶意程序,该恶意程序应该就是勒索加密程序。
Log4j2漏洞攻击成功判断
该漏洞因为特殊性,在返回包中较难判断是否攻击成功,目前SIP没有很好的直接检测手段。
该漏洞的利用思路就是让受害机去主动请求恶意IP的JNDI服务,那么我们可以查询外连日志检查该漏洞攻击成功与否,如果检测到受害服务器在被攻击的时间去外连请求了恶意语句里的IP地址,那就可以石锤该漏洞利用成功了。
Log4j2漏洞攻击防御:
该漏洞攻击特征比较明显,防火墙更新规则库之后能很好的防护。
建议对所有java开放的web应用系统进行核查:
1.检测是否使用此组件;
2.检测组件是否属于受影响版本。如是,建议下载对应版本的补丁进行安装修复。
3.也可使用深信服TSS-Log4J漏洞本地检测工具进行自查。
4.详情可参考《Apache Log4j2远程代码执行漏洞自查手册》
1.Web服务器的可以将相关信息提供给厂商,让他们分析是否为正常业务。 2. 与之前的情况作对比,若是常见的,定时的,则大概率是业务引起的误报 3.通过返回包进行判断,非200状态码的基本都没有利用成功,大概率被拦截
高危漏洞指的是SQL注入、webshell文件上传、系统命令注入、各种中间件漏洞利用、组件漏洞利用、系统漏洞利用,若确认利用成功,建议联系安全厂商请专家来进行应急响应。
以上就是本次的HVV助力之常见攻击手段及处理第一篇,本篇主要是为没有接触过的小伙伴针对攻击类型做一下基本的知识普及以及外部威胁攻击行为的常用处理手段等,关于内部威胁我会在篇二进行讲解,感谢大佬们的参阅,此贴先到这里后续会带上更加优质的帖子,感谢大家!
励志分享超清壁纸语句~~:
在此也为各位莘莘学子送上金榜题名的祝福!!!加油哇!少年!
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
发表于 2024-2-22 10:11
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员3级 
