一. 排查概述
本手册旨在给一线服务交付人员在攻防演练保障期间实施主机入侵痕迹排查时提供知识传递及经验指导。
在攻防演练保障期间,一线服务交付人员在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众多情况。为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵痕迹排查工作,本手册提取了主机入侵痕迹排查服务中重点、关键的排查项提供作为参考。
需要注意的是,本指导手册并不覆盖全面的排查内容。目前通过指导手册的排查项能覆盖的情况包含但不仅限于:
a. 排查时主机在表层行为上存在异常的,例如和C2建立了异常连接,或者异常进程仍在运行等。
b. 攻击者通过添加后门账号、自启动项、计划任务实现权限维持。
c. 对于异常的登录需要保证登录日志没有被覆盖或者被删除,或者有登录日志备份。
d. Web应用遭受过攻击,并且上面遗留了webshell。(从内容特征排查webshell主要依赖于D盾,对于D盾不能识别的免杀webshell,需要根据一个参考的时间节点去搜索Web应用的目录在某一个时间段内发生改变的代码文件)。
不能覆盖的场景包含:
a. 在排查时间内恶意文件或者进程没有在运行。
b. 隐藏得较深的后门,并且不产生任何异常的网络连接或者进程。
c. Web应用遭受过攻击,但是没有被植入webshell或者webshell已经被删除。
d. 攻击者只是单纯实施了攻击,但是没有进行权限维持等操作,基本在受害主机上面没留下痕迹。
e. 对于未在运行中的恶意文件,攻击者没有将恶意文件上传到指导文档覆盖的常见目录。
f. 本手册旨目前不覆盖域控主机排查。
二. 排查思路
二.1 排查流程
入侵痕迹排查:
在实际情况下,攻击者在进行攻击时使用的攻击手法、攻击思路、行为等各有差异,无论是考虑实现成本还是效率问题,都难以通过很精细很全面的排查项去实施主机入侵痕迹排查,但是我们可以从攻击中可能会产生的一些比较共性的行为特征、关键的项进行排查。
对于主机的入侵痕迹排查,主要从网络连接、进程信息、后门账号、计划任务、登录日志、自启动项、文件等方面进行排查。比如,如果存在存活后门,主机可能会向C2发起网络连接,因此可以从网络连接排查入手,如果存在异常的网络连接,则必然说明存在恶意的进程正在运行,则可以通过网络连接定位到对应进程,再根据进程定位到恶意文件。如果攻击者企图维持主机控制权限的话,则可能会通过添加后门账号、修改自启动项,或者添加计划任务等方式来维持权限,对应的我们可以通过排查账号、自启动项、计划任务来发现相应的入侵痕迹。
对于攻击者青睐的通过Web应用漏洞获取权限,如各种Java反序列化漏洞、文件上传漏洞、Struts2远程代码执行漏洞等,虽然漏洞原理、利用方式大有不同,但是漏洞利用后达到的目的基本都是获取Web应用权限,而获取Web应用权限往往会通过写入webshell实现。因此对于Web应用的入侵痕迹排查则主要围绕webshell查杀进行。
二.2 注意事项
a. 靶标或重要业务系统的排查建议由一线服务人员指导客户方运维人员进行操作,以避免误操作等造成业务中断等风险。
b. 如果需要往排查主机上传排查工具等需征求客户的同意方可上传操作。
c. 发现疑似异常文件等切勿擅自删除,确认为有害文件后,和客户方协调处置。
