HW-小记（二）

HW期间发现的告警类型

web攻击：信息泄露，弱口令，xss，sql，文件上传，文件包含，webshell，命令执行，xxe
威胁情报：木马远控，挖矿木马，勒索病毒，僵尸网络，黑市工具

sql注入，webshell如何判定为真实的攻击

可以通过请求体中的payload进行判断，正常业务请求的sql语句通体较长且无敏感的函数使用，sql注入事件请求体中的payload通常较短且语句中有敏感函数 比如sleep updatexml

流量侧/主机侧 如何判定为误报

攻击主要来自三个方向，网络侧，主机侧和应用侧。网络侧就是流量，主要查看安全设备的告警分析，主机侧看执行了什么命令，或是否被传马，应用侧看waf防火墙就好

应急响应的思路

先看是否误报，不是误报就隔离主机
收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断是否是安全事件，是何种安全事件，勒索，挖矿，断网，ddos等
深入分析：日志分析，进程分析，启动项分析，样本分析
日志被删：是否存在全流量设备，并联，查看wireshake，登录服务器，看啊可能是否存在进程占用日志，根据进程详细信息，找到软连接，然后复原日志继续查看
清理处置：直接杀掉进程，删除文件，打补丁，异或是修复文件
产出报告

网络七层协议或模型

osi模型：物理层，数据链路层，网络层，传输层，会话层，表示层，应用层
tcp/ip（4层）:网络连接层，网络层，传输层，应用层

木马病毒的研究，病毒爆发了，如何处理，比如说蠕虫

1、询问攻击情况范围
2、攻击痕迹挖掘
3、样本分析
4、后门及木马文件排查根除
cpu占用率以及日志排查

log4j漏洞

log4j是借助JNDI的插件漏洞，用JNDI的漏洞作为跳板来执行反弹shell

发现冰蝎后，上传webshell的动作方式

主要取决于冰蝎的版本，2.0和3.0的加密方式不同，一般常见的都是冰蝎3.0，在发现冰蝎后，看session的值和查看是否有md5加密数据

linux应急和windows应急思路，主要说排查思路和命令

linux排查思路，主要是源码，日志分析，信息系统分析，使用d盾扫描是否有webshell存在，然后diff源码信息，查看被修改过的地方，日志分为网络日志和系统日志，网络日志主要是用find命令，系统日志使用last命令，还有就是系统信息分析，一般客服给上传脚本就用脚本跑，有的客服不给上传脚本，呢么就用history命令，查看敏感目录，查看端口信息
windows主要集中在账户，日志，端口查询，和linux大同小异

天眼的部署方式

旁路部署，交换机牵引流量

成功的日志分析案例

常见的日志，不论是网络日志还是系统日志，都是看数字，网络日志中如果短时间内出现大量的404，或者是系统日志中出现大量的4625，都是代表一些含义，弄清楚入侵者在做什么，怎么进来的，通过匹配一些特征值来确定，在linux中用grep和egrep来进行筛选，在windows中用log parse。

如何溯源攻击者，攻击者画像

拿到权限，窃取数据，获取利益，ddos等
代理ip，跳板机，C2服务器等
鱼叉式邮件钓鱼，web渗透，水坑攻击，进源渗透，社会工程等

ip定位 id追踪术网站url

HTTP的TCP的区别

tcp在第四层，http在第七层
http是一个简单的请求-响应协议 tcp是一个面向连接的，可靠的，基于字节流的传输层通信协议，http运行在tcp之上

天眼

&&双写，字符AND要大写

字段为sip dip 表示原ip，目的ip，后面加冒号加具体字段

天眼：基于网络流量和终端EDR日志，运用威胁情报，规则引擎，文件虚拟执行，机器学习等技术，精准发现网络中针对主机与服务器的已知高级网络攻击和未知的新型网络攻击的入侵行为
NGSOC（安全态势感知与安全运营）：以大数据平台为基础，通过收集多元，异构的海量日志，利用关联分析，机器学习，威胁情报等技术，帮助政企客服持续监测网络安全态势，实现从“被动防御”向“主动防御”的进阶
天眼只是对流量进行分析，ngsoc做到了分析 检测 处置 闭环能力