蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口
➢ 蓝队技能-Web入侵-入口&查杀&攻击链等
#Web攻击事件
获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)
分析思路:
1、利用时间节点筛选日志行为
2、利用对漏洞进行筛选日志行为
3、利用后门查杀进行筛选日志行为
4、利用文件修改时间筛选日志行为
5、利用流量捕获设备数据包分析行为
#Web日志分析
明确存储路径及查看细节
后续会讲到日志分析利器使用
IIS,Apache,Tomcat,Nginx等
#数据库日志分析
明确存储路径及查看细节
Mysql,Mssql,Oracle,Postgresql等
#Web后门查杀
注:关于内存马查杀还需后续讲解
1、阿里伏魔
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32等
#Web攻击链分析
1、数据包流量特征
2、工具流量特征指纹
了解使用哪种工具或哪种技术、漏洞利用等
因为日志大部分不会存储POST数据包或存储过少,导致无法分析具体行为
主机会采用流量捕获设备或防御检测系统抓到攻击流量包,便于分析具体行为
1、哥斯拉流量包
2、漏洞利用流量包
3、特有加密流量包
https://mp.weixin.qq.com/s/qPGLNtzJFLorTfwIjL29fw
https://mp.weixin.qq.com/s/jTHPVlQA-qROO44-A_lp0w
#处置结果:
找到攻击利用点并修复,写出攻击者流程,清理后门并后续溯源等
#细节优化:(持续关注)
0、如何做到Webshell查杀的精准
1、如何做到日志分析效率和准确
2、如何做到流量包分析效率和准确
3、如何做到后续溯源定位效率和准确
4、如何做到应急分析溯源报告的书写
