文章插图
有时候,可以根据网络协议来直接过滤分析流量 。譬如,目前IRC协议已经很少被使用了,但利用IRC建立僵尸网络通道的现象仍比较普遍 。使用Wireshark,直接在过滤条件里输入“irc”,回车看是否有相关流量 。
如下图,刚好看到有相关的IRC协议流量,这便是可疑的 。
文章插图
Wireshark执行下“Follow TCP Stream”操作,查看到当前Botnet主机正在加入一个IRC频道 。另外,也可以从目的IP下手,可查到这是一个恶意IRC僵尸网络服务器 。
文章插图
网络流量这块,如果具体到对应建立的连接,也可使用TCPView工具进行查看 。如下,我们使用TCPView查到了2条连接:
chenyu-57068a53.localdomain.2671-> 170.178.191.191:6667
chenyu-57068a53.localdomain.2674-> amsterdam.nl.eu.undernet.org.6667
文章插图
当我们分析病毒进程遇到困难的时候,其内存便是我们查找问题的最后一道防线 。
以某Linux服务器应急事件为例子,如下图,我们找到三个病毒进程[ksoftirqd/7]的父子关系,可以看到,11275拉起了11276和11277,但11275是1号进程拉起来的,即init是其父进程 。
文章插图
这意味着,实际的父进程(原始病毒文件)在当前状态下是追查不到的了 。
进程树已经追踪不到父进程了,能下手的地方不多 。如反汇编[ksoftirqd/7]对应的病毒文件,则对于一次应急响应事件来说,时间是仓促的(不够) 。但简单这样想,即不管病毒文件做了何种混淆、何种加壳,在最终运行于内存之上的代码上,终归是原始代码,至少堆栈就有不少信息 。
Linux环境下dump内存,可以使用系统自带的gdb,键入命令 gdb attach 11275,attach到病毒进程11275,在gdb环境下,使用dump binary memory file start_addr end_addr将11275有效内存空间dump下来 。
譬如:file为输出文件,可以指定为 11275.dump,start_addr是起始地址,end_addr是终止地址,例 dump binary memory /tmp/11275.dump 0x13838000 0x13839000 (这里仅仅只是举例,实际地址在gdb中获取)
对于内存文件11275.dump,采用命令 strings -n8 11275.dump,获取长度8及以上的字符串内容,我们发现有如下一行:
/etc/security/ntps.conf这是在病毒运行内存里面发现的,要么是病毒配置文件,要么是原始病毒文件 。我们 cd /etc/security 并使用 ls -al查看内容如下:
文章插图
可以看到,ntps.conf并非一个配置文件,它是可执行的(使用file命令可以知道这是个ELF可执行文件),文件修改时间应该是伪造的 。
三、应急工具集简介工欲善其事,必先利其器,所谓巧妇难为无米之炊,其实应急响应亦是如此 。应急响应和安全研究人员,必须事先就备好完整一套的工具集,随时可以取用 。
文章插图
应急工具类型
流量分析工具:常用的流量分析工具是Wireshark、TCPView,也可以使用科来网络分析工具,Linux下对tcpdump比较熟悉的,也可以使用tcpdump 。
进程分析工具:能对进程相关联信息进行分析的工具,主要是ProcessHacker和PC Hunter等 。
启动项分析工具:主要是AutoRuns工具,便于定位病毒启动项 。
专杀工具:有些流行病毒家族,通常对杀软有抑制性,或者本身有感染性,需要专杀工具去查杀和修复正常文件 。
辅助工具:WinHex、文件Hash工具、Everything搜索工具、Unlocker文件解锁工具等 。
内存扫描工具:主要是MemScanner 。
文章插图
四、系统日志及日志分析日志类型
Windows系统日志:Windows系统自带的审计日志、操作日志、故障日志 。Windows系统日志
Linux系统日志:Linux系统自带的审计日志、操作日志、故障日志 。
应用日志:包括但不限于Web应用等众多繁杂的日志 。
日志路径:C:WindowsSystem32winevtLogs
必看日志:Security.evtx、System.evtx、Application.evtx
推荐阅读
- L2TP VPN移动办公应用及配置指南
- 处女座|企业多次强调保密岗,招聘信息不能见文字,在怕什么呢?
- 纯CSS实现等高价目表
- 漏洞分析之thinkPHP反序列化:这就是黑客的世界吗
- 马中企联合会:愿助力马来西亚引进更多中国人工智能科技企业
- 黑客手把手教你分析一次漏洞
- 黑客全家桶、文字提取利器、深度学习 500 问 | GitHub 热点速览
- 个人淘宝店铺可以升级为企业店铺吗 淘宝个人店铺升级企业店铺需要什么资料
- 淘宝代购企业店铺是什么意思 淘宝代购店铺开店有什么条件
- 淘宝开店,开个人的好还是企业的好 淘宝开店开个人店铺还是企业店铺好
