记一次蓝队入侵检测-包括流量分析-主机入侵排查

字数 1674 2025-08-24 07:48:09

蓝队入侵检测与响应实战教学文档

一、流量分析技术

1.1 攻击者IP定位技术

协议分级统计法

使用Wireshark的"Statistics" > "Protocol Hierarchy"功能
主要观察应用层协议分布，本例中HTTP协议占主导，确定为Web攻击事件

会话统计分析法

路径："Statistics" > "Conversations" > "IPv4"
分析技巧：
- 按流量大小排序
- 关注非常规通信对
- 本例中发现三组可疑IP：
  - 192.168.78.1（主要攻击源）
  - 192.168.78.134
  - 192.168.78.2（后期参与）

端口扫描特征识别

扫描行为特征：
- 持续时间长（从535到193656数据包）
- 扫描结果：发现开放Web端口27689

1.2 HTTP攻击流量分析

过滤语法

ip.addr==192.168.78.1 && http

攻击阶段分析

目录Fuzz阶段
- 特征：大量GET请求返回404
- 典型扫描路径：/admin/, /backup/, /webshell.php等
敏感文件泄露
- 关键发现：web.config.bak文件下载
- 泄露内容：数据库凭据(cisp-pte@sa)
后台爆破阶段
- 特征：POST请求到登录接口
- 响应特征："用户不存在"等错误提示
Webshell上传
- 上传路径：/upfile/affix/638566380966461055-aaaaaaaa.aspx
- 连接工具：蚁剑(密码chopper)

1.3 数据库攻击分析

SQL Server攻击特征

过滤语法：tcp.port == 1433

攻击步骤：

常规SQL查询获取版本信息
激活xp_cmdshell扩展存储过程

执行系统命令：

xp_cmdshell 'net user admin 123456 /add && net localgroup administrators admin /add'

开启远程桌面：

xp_cmdshell 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'

RDP登录验证

过滤语法：tcp.port == 3389
验证成功登录事件

二、主机入侵排查技术

2.1 账户排查

WMIC命令

wmic useraccount get name

异常用户识别：admin、sqlbackup等非系统原生账户

事件查看器分析

打开方式：eventvwr
关键日志：
- 安全日志中的登录事件(事件ID 4624)
- 账户管理事件(事件ID 4720,4722,4724等)
- 本例发现：2024.7.15 11:30:09异常登录

2.2 权限排查

本地组分析

net localgroup administrators

异常发现：admin用户被加入管理员组

2.3 持久化机制排查

计划任务分析

查看路径：任务计划程序库
恶意任务特征：
- 每日19:17执行
- 每日11:13执行
- 执行主体：admin用户

启动项分析

注册表路径：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

恶意项：startup指向666.exe

服务分析

sc query state= all

恶意服务特征：
- 非常规服务名称
- 路径指向异常位置
- 本例中指向666.exe

三、恶意软件分析

3.1 666.exe分析

检测方式：微步云沙箱
IOC信息：
- C2地址：192.168.78.134
- 通信端口：5566
行为特征：
- 注册表持久化
- 计划任务持久化
- 服务安装

四、攻击链重建

初始入侵：通过Web应用漏洞上传Webshell
权限提升：利用泄露的数据库凭据执行xp_cmdshell
横向移动：创建后门账户并开启RDP
持久化：通过多种机制维持访问
命令控制：通过666.exe建立C2通道

五、防御建议

5.1 预防措施

Web应用安全：
- 禁用目录列表
- 删除备份文件(如web.config.bak)
- 强化后台认证
数据库安全：
- 禁用xp_cmdshell
- 最小权限原则
- 加密存储凭据

5.2 检测措施

网络层：
- 监控非常规端口活动
- 检测SQL注入特征
主机层：
- 监控账户变更
- 检测计划任务变更

5.3 响应措施

隔离受影响系统
重置所有凭据
清除持久化机制
重建受损系统
全面日志分析

附录：关键IOC

攻击IP：192.168.78.1
Webshell：/upfile/affix/638566380966461055-aaaaaaaa.aspx
恶意文件：666.exe (MD5: [需补充])
C2地址：192.168.78.134:5566
后门账户：admin/123456

蓝队入侵检测与响应实战教学文档一、流量分析技术 1.1 攻击者IP定位技术协议分级统计法使用Wireshark的"Statistics" > "Protocol Hierarchy"功能主要观察应用层协议分布，本例中HTTP协议占主导，确定为Web攻击事件会话统计分析法路径："Statistics" > "Conversations" > "IPv4" 分析技巧：按流量大小排序关注非常规通信对本例中发现三组可疑IP： 192.168.78.1（主要攻击源） 192.168.78.134 192.168.78.2（后期参与）端口扫描特征识别扫描行为特征：持续时间长（从535到193656数据包）扫描结果：发现开放Web端口27689 1.2 HTTP攻击流量分析过滤语法攻击阶段分析目录Fuzz阶段特征：大量GET请求返回404 典型扫描路径：/admin/, /backup/, /webshell.php等敏感文件泄露关键发现：web.config.bak文件下载泄露内容：数据库凭据(cisp-pte@sa) 后台爆破阶段特征：POST请求到登录接口响应特征："用户不存在"等错误提示 Webshell上传上传路径：/upfile/affix/638566380966461055-aaaaaaaa.aspx 连接工具：蚁剑(密码chopper) 1.3 数据库攻击分析 SQL Server攻击特征过滤语法： tcp.port == 1433 攻击步骤：常规SQL查询获取版本信息激活xp_ cmdshell扩展存储过程执行系统命令：开启远程桌面： RDP登录验证过滤语法： tcp.port == 3389 验证成功登录事件二、主机入侵排查技术 2.1 账户排查 WMIC命令异常用户识别：admin、sqlbackup等非系统原生账户事件查看器分析打开方式： eventvwr 关键日志：安全日志中的登录事件(事件ID 4624) 账户管理事件(事件ID 4720,4722,4724等) 本例发现：2024.7.15 11:30:09异常登录 2.2 权限排查本地组分析异常发现：admin用户被加入管理员组 2.3 持久化机制排查计划任务分析查看路径：任务计划程序库恶意任务特征：每日19:17执行每日11:13执行执行主体：admin用户启动项分析注册表路径：恶意项：startup指向666.exe 服务分析恶意服务特征：非常规服务名称路径指向异常位置本例中指向666.exe 三、恶意软件分析 3.1 666.exe分析检测方式：微步云沙箱 IOC信息： C2地址：192.168.78.134 通信端口：5566 行为特征：注册表持久化计划任务持久化服务安装四、攻击链重建初始入侵：通过Web应用漏洞上传Webshell 权限提升：利用泄露的数据库凭据执行xp_ cmdshell 横向移动：创建后门账户并开启RDP 持久化：通过多种机制维持访问命令控制：通过666.exe建立C2通道五、防御建议 5.1 预防措施 Web应用安全：禁用目录列表删除备份文件(如web.config.bak) 强化后台认证数据库安全：禁用xp_ cmdshell 最小权限原则加密存储凭据 5.2 检测措施网络层：监控非常规端口活动检测SQL注入特征主机层：监控账户变更检测计划任务变更 5.3 响应措施隔离受影响系统重置所有凭据清除持久化机制重建受损系统全面日志分析附录：关键IOC 攻击IP：192.168.78.1 Webshell：/upfile/affix/638566380966461055-aaaaaaaa.aspx 恶意文件：666.exe (MD5: [ 需补充 ]) C2地址：192.168.78.134:5566 后门账户：admin/123456