流量分析与日志溯源实战技巧.docx
流量分析与日志溯源实战技巧目录1.日志分析流程12 .在日志中看到的行为分析2.对于挖矿病毒我想说的几个点63 .写报告时注意的点7下面是我结合网上论坛以及个人的一些想法针对日志分析溯源的个人理解现阶段大局部企业都会上日志审计设备,在配上流量分光,还有各类IDS、WAF等设备日志,对平安溯源分析十分方便,但在日常工作中, 免不了要直接看服务器相关请求日志的情况,这个时候就需要我们自身具备日志分析的能力了。1 .日志分析流程1、统计首先需要对数据进行处理,如请求IP统计,访问地址统计, 状态码统计等,这些数据统计可以使用excel或者python脚本,如果手头 有各类工具那就更容易统计了。2、威胁发现关键字过滤:直接查找在请求中携带的关键字,如script、select> from、echo bash、.sh等查看异常请求:第1页共8页4XX请求、5XX请求行为分析:由于日志大概率不会记录post请求体,所以在post请求包体中的攻击往往很难发现,这个时候就需要我们对特定的IP进行行为查看,如查 询IP的威胁情报,某个IP登录了多个账号等等3、报告撰写在报告中我们重点要表达某个IP或者某些IP的攻击画像,确定这些IP的攻击行为,以便最终确定是否来着同一拨攻击,还是互联网上的肉 鸡日常扫描。ps excel中的数据透视表功能是真的香,谁用谁知道。2 .在日志中看到的行为分析1、恶意IP请求带有多个身份操作可以看到上述日志中,某IP对登录了邮件并进行了相关操作,可以看到其登录了不同的账户,那么这个时候怎么判断其是正常的请求还是恶意请求呢?103.1.30-06/May/2020:ll:05:25 +0800 "POST /RmWeb/mail?func=global:sequential&sirl=dWlMFgnqOke73M000001103.30-06/May/2020:ll:05:25 +0800, POST /s?func=mbox:getAIIFolders&sid=dWIM.3M000001&sessionE103MHI.30-06/May/2020:ll:05:25 +0800 "POST /RmWeb/mail?func=global:sequential&sid=dWIMEiqOke73M000001103.30-06/May/2020:ll:05:25 +0800 "POST /s?func=mbox:listMessages&sid=dWIMEinqOke73M000001&norefresl103.30-二06/May/2020:ll:05:25 +0800 "POST /s?func=mbox:getAIIFolders&sid=dWIM5c.anaOke73M000001&sessionE103.30-06/May/2020:ll:04:55 +0800, POST /RmWeb/mail?func=global:sequential&sid=nNcPPmlD2.OOOOOl&fr.103.30-06/May/2020:ll:04:55 +0800 "POST /s?func=mbox:getAIIFolders&sid=nNcPPml30001&sessionEnal:103.30-06/May/2020:ll:04:55 +0800 "POST /RmWeb/mail?func=global:sequential&sid=nNcPPmlD"HNKItU8tj000001&fn103.30-06/May/2020:ll:04:55 +0800 "POST /s?func=mbox:listMessages&sid=nNcPPmir,StjCOOOOl&norefreshSic103.30-06/May/2020:ll:04:55 +08001 "POST /s?func=mbox:aetAIIFolders&sid=nNcPPi102 20 -rOA/Kj1av/9n9n-1 i nn-A?"DCST /RmWph/mailTfi mr=nlnhl cm iPntialAcirl = riA/A_nnnm(1)、威胁情报,查找请求IP相关的威胁情报信息,如果是恶意IP那么大概率就有可能是恶意访问了第2页共8页(2)、观察请求中的UA标识,如果UA标识一样,那么是恶意访问的概率就又增加了(3)、观察这个IP前的一些请求行为,你就可能发现来着不同IP的登录请求,恶意攻击前的撞库攻击,这时基本就可以坐实了(4)、联系相关人员看该IP是否归属自己(太麻烦,一般不会用),可以在二次确认时使用。2、非正常请求,161 -Q6/May/2020.U0015 I GET/ceionlinjuser DhSk:ePgc63f33ct27ef77399d784&act©n 二中。v.d&undmgZU161 - - 06/May/2020110013 *0800 "GET /get.online.user phpk=e08c63f33.,Mozilla/5.0 (Windows NT 10.0. WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.24yu./l Safan/537.36"正常业务逻辑不会发送的请求,这些可以通过关键词快速查找过滤7ef77399d784&action=show4&unam,echo4i2027vulnable*.27>vul php /1 r39.16139.,L6139161391613S1613516139161国161391613916139.16139.1,16139 I.16139.,16139. l.16139.16139 一,1613、扫描行为-06/May/2020:ll:00:17 +0800 "GET 佯hr¥prinQmrlRhauaA/1_rlacr<a(A、7 /wrl立Vi外06/May/2020:ll:00:17 +0800 "GET /06/May/2020:ll:00:17 +0800 "GET;-06/May/2020:ll:00:17 +0800 "GET >-06/May/2020:ll:00:17 +0800 “GET,web.rar /1.1" 404 0,000 - 2822:illa/5.0 (Vwwwroottar /1.1" 404 0.000 2822 diagnostic.php /1.1” 404 0.000 - 2822 “-"readme.txt /1.1" 404 0.000 - 2822-06/May/2020:ll:00:17 +0800 "GETsrc/images/logo.png /1.1" 404 0.000 0.00 R6/May/202(Hl:0(H7 +08001 “GET - 26/May/202(Hl:00:17 +08001 ”GEwwwroot.rar /1.1” 404 0.000 2822“Listadeparametros.html /1.1' 404 0000 -06/May/2020:ll:00:16 +0800 “GET, struts/webconsole.html /1.1" 404 0.000 0.06/May/2020:ll:00:16 +0800 “GET, 06/May/2020:ll:00:16 -0800 "GET; -06/May/2020:ll:00:16 +0800 "GET > - 06/May/2020:ll:00:16 +0800 "GET / 06/May/2020:ll:00:16 +0800 "GET > -06/May/2020:ll:00:16 +0800 "GET > -06/May/2020:ll:00:16 +0800 "GET Jtestvulxxxxxxxxxxxxxxxxxxxx /1.1" 404 0.0"'Mozilla/f""Mozillc)2822 E2822222200 2822 " K) - 2822 /1.1" 200 0,000 - 69 "-M "-",'Mozilla/S.O (V Endows N boafrm/formSysCmd /1.1-404 0.000 - 2822noexists.zip /1.1" 404 0,000 - 2822database7PowerEasy4,mdb /1.1" 404 0.C(wwwroot.tar.gz /1.11 404 0,000 - 2822 ”二inG/Gonn_db i舟再 1” 404 QOQQ R822 以Mozilla/5.0 - 2822"-r06/Mav/2020:ll:00:16 +08001 "GET /is/editor/kindeditor/skins/default.css /1.1" 404 0,000通过过滤404请求和GET等,可以发现某些IP的目录扫描探测行为,同时在通过IP去过滤状态码是200的请求,可以发现一些平安隐患。4、重要接口第3页共8页Ill .102 - 06/May/2020:ll:03:39 +0800 "POST /EWS/Exchange.asmx /1.1"-11102 -06/May/2020:10:47:35 +0800 "POST /EWS/Exchange.asmx /1.1"-可以根据自己的业务类型,对一些敏感接口地址进行查找,观察其访问行为。5、扫描器特征请求wvs、acunetix> test、appscan> nessus webreaver、sqlmap、bxss.me 等218252 - - 06/May/2020:14:05:45 +0800 ' GET / :/bxss.me/t/fit.txt%3F.jpg/js/control/ColorBox.js /1.1" 404 0.000 - 2822-:45 -tic': - : js ccnr-cl :,:':.三二je4:4 :丁 三218./. 252 - - 06/May/2020:14:05:44 +0800 ' GET /resource/js/control<esi:include20src=x22 :%2f2fbxss.me2frpb.pngx22%2f>/C(ff2181.252 - 06/May/2020:14:05:44+0800"GET /resource/js<esi:include%20src=x22 :%21%2fbxss.me%2frpb.pngx22%2f>/control/ColorBox.js HT214.252 K)6/May/2020:14:05:44+08001“GET /resourceesi*clude第20src=x22 :%2%当xss.me%2fnpb.Dngx22%2fA,s/control/ColorBox.is HT218.252 06/May/2020:14:05:43+0800“GET /(nslookup%21fhitnxlaogstie81866.bxss.me|p4rl%20e%20x22gethostbynabe('hitnxlaogstie81866.b:(Windnv jt 6.1; WOW64) AppleWebKiV537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21“117.2- 06/May/2020:14:05:35+0800"GET /help/content.do /1.1" 2000.0000.000 2534" s:117=z2- 06/May/2020:14:05:35+0800"GET /help/content.do /1.11 2000.0010.001 2534"117.222- 06/May/2020:14:05:35+0800"GET /help/content.do /1.11 2000,0000.000 2534"=testir117.).222- 06/May/2020:14:05:34+0800"GET /help/content.do /1.1" 2000.0010.001 2534"(!kq=testirbess.me是awvs其中一个XSS扫描插件的地址。局部扫描器带有固定的特征值,需要平时积累发现。6、关键词查找 select、sleepx echo> bash> down> passwd 等117?22 - - 06/May/202014 0528 C80021E11711722 -!420ORt20954=0646>20FROM-320PG.SIEEP(12»- /1 r200 0 001 0C0954%20FROM%20PG_SLEEP(12)- /1 r 200 0 001 00117.(5leep(12)M-2B(select(0)from(5electf.sleep(12)v)2BAx22B(5ele(P .!1 200M252 106/May/2020M0520 -08001 “GET/he<D/oetfiledoTleName二 2。&砧0二lBadriro')"2CIOR020453-(SELEE20453120FROM220P93LEEPq2)-用口/11, 200 1忌一前/MaW欣014 05历加00r6R /hel7最逐 ioEeName=i383而735043Bg1flag二3ingX6VMp0120666二族LECT高6面FRQM0O然IsL泽喻匕所1 ' -" iviu4i.ia/5.0 (Windows NT 61 WOW64) AppleWebKit/537 21 (KHTML. like Gecko) Chrome/410 2228 0 Safari/537 21"使用这些敏感的关键字也能迅速定位攻击请求,上图就是使用sqlmap跑注入所产生的日志。 7、一些特征性的请求第4页共8页|111146 07/May/2020102429 -0800,GET"esource/se/common/cE 您 0HM29&QPWk 二 30220ANm233DM20UNION"20All*20SElEE201%2CNUWi2m7M3C"DME3lert*2W22XS2X29a302Fscnm3EH2Maable_namC20FROM%20infomiat»on_$chem8glKqWHERE203El-*2内2A42A42内3肚2O£XE2Oxd cmdsh由2册27ca收0 磔 蚁FJ2Fet&2Foassw62A2的23 /11- 200 0 000 - 5188 ; LMozWa/5。(Windows. U. Windows NT 51, en-US. rv.1.7.6) GectoX)5O223Rfefox/10.r .-/OQC_134252 - 07/May/2020101136 期00 'GET /index/efKOde/100001(XV1000010(P_=*2n3Bexert20rna$tef xpmdsheM 期 27se 怜 27 /U 200 334,Mo2illa/50 (compatible MSlE 90; Windows NT 61 WOW64 Trident/sqlmap的WAF探测请求8、同源分析(对于个人能力要求比拟高)恶意代码分析是检测和防范恶意代码的重要基础。在反病毒领域的实际应用中,除了分析恶意代码的各种外部表现,还关心恶意代码在同源 演化方面的内在特性,包括恶意代码从何而来、如何开展变化以及相互之间的关系等。目前仅有少量专门针对恶意代码同源与演化分析技术的研究。对恶意程序进行反汇编之后,从命令序列、字符串序列提取出一段特征码作为特征,提取筛选出相同的特征码,挑选一些加密算法代码作为 特征码,可以使用Bindiff来比拟已有样本相似的代码片段,找到相似度较高且不是系统API的函数。优先选取Blocks数较多、匹配指令数较多的函数,降低误报的几率,分析时。除此之外,也可以使用一些自动化提取yara规那么的工具可以使 用,比方 yargen: s:/github /Neo23xO/yarGerio提取出来的恶意程序的特征码,可以在VT上进行关联,来追踪相似攻击组件。Virustotal 的使用VirusTotal,是一个提供免费的可疑文件分析服务的网站,可以通过多种反病毒引擎扫描文件使用多种反病毒引擎对您所上传的文件进行检 测,以判断文件是否被病毒,蠕虫,木马,以及各类恶意软件感染。VirusTotal每15分钟更新一次病毒资料库,可以实时提供最新的反病毒引擎以检测出大局部可能的威胁。同时可以筛选出相同的特征码片段样本,在搜索框搜索之后可以比照往期相关样本本的活跃,翻开详细信息可以查看是什么组织开发并使用 的攻击组件,通过这种方式可以关联出该组织所使用的攻击组件。第5页共8页最后将yara规那么添加到hunting中,一旦virustotal捕获到新的样本符合这条规那么,就会立刻通知我们。3.对于挖矿病毒我想说的几个点针对于我们大批量服务器的日志分析工作,可能会碰到比拟多的挖矿病毒,现在的挖矿病毒种类多,加载方式多,这里简单总结几个点1、挖矿病毒是怎么进入到服务器的大多数挖矿病毒进入到服务器都是不是特意针对性的,一般都是利用现成的攻击包程序,对网络上所有的ip地址进行扫描攻击,然后在目标 机器执行自己构造好的攻击载荷,就可到达快速传播木马的目的,由于挖矿木马的特点是利用快速控制大量肉鸡组建挖矿网络进行计算,而不需 要选取特定的目标,所以大多数的挖矿病毒都是批量进行的,通过一些常用的web漏洞,系统漏洞,弱口令,还有一些比拟少见的Oday, Nday, 以及文件捆绑,下载器等等。2、挖矿病毒的特征一般服务器感染到挖矿病毒后,服务器会超负荷运转,主要表现在CPU的使用率上。挖矿病毒执行后需要连接挖矿池,这里肯定是有外连 的。挖矿病毒在运行时,因占用大量系统资源,造成系统卡顿后容易被发觉,所以会使用伪装成系统文件、无文件持久化等技术保护自身。挖矿病毒的套路特征参考文章:3、针对无文件落地的powershell马之前碰到过一些没有文件落地,通过在Powershell中嵌入PE文件加载的形式,到达执行“无文件”形式挖矿攻击。挖矿木马执行方式没有 文件落地,直接在Powershell.exe进程中运行,这种注入“白进程”执行的方式可能造成难以检测和清除恶意代码。在感染机器上安装计划任 务,通过计划任务启动Powershell攻击模块(无文件落地),Powershell攻击模块包含利用“永恒之蓝”漏洞攻击、弱口令爆破+WMIC、Pass the hash攻击代码。在攻陷的机器上执行Payload安装计划任务,上传文件到启动目录,相应的Payload执行后继续进行下一轮感染。在windows F查看某个运行程序(或进程)的命令行参数第6页共8页使用下面的命令:wmic process get caption, commandline/value如果想查询某一个进程的命令行参数,使用以下方式:wmic process where caption=,xxx.exe,get caption, commandline/value 这样就可以得到进程的可执行文件位置等信息。这样可以查看powershell的运行命令下面这个是我之前碰到的一个powershell挖矿马4.写报告时注意的点1、不一定恶意ip的请求就是攻击行为2、相同的payload在不同的IP请求,可以将其划分同一人3、局部IP的请求量较低,但存在恶意行为,可能为真实IP (具体可从漏扫成功的地方去跟踪)4、日志中并无同一地理位置的两个IP同一一个时间区间出现,大概率是可以说是同一人所为5、查询大量IP,发现威胁情报大多是撞库攻击。这些地址可能不是来自攻击团队,而是来自互联网上的扫描6、有些挖矿病毒的程序里面不会直接连接,而是通过加载器的方式加载一串加密代码来连接挖矿池,不要因为查杀不到病毒就判断服务器是平安的。5 .总结我了解的日志流量分析溯源是比拟有规章顺序的一套流程,从取证到溯源,但是针对于目前我们流量日志分析的方式,我感觉还是有很多局第7页共8页 限性的,有很多的特征以及排查都是需要登录到服务器才能更有效快速的解决发现问题,这个也是出于客户环境的原因,对于流量分析溯源人员 的权限问题也是对溯源工作的。第8页共8页
