当前位置:   article > 正文

护网面试总结_冰蝎4.0流量特征

冰蝎4.0流量特征

1.冰蝎4.0的流量特征

冰蝎4.0HTTP协议进行通信,使得通信流量看起来是正常的Web流量,难以被检测;

使用RC4加密算法对通信流量进行加密;

PHPwebshell中存在固定代码

  1. $post=Decrypt(file_get_contents("php://input"));
  2. eval($post);

请求头和响应头里面会带有Connection:Keep-alive;

content-Type字段:Application/x-www-form-urlencoded

webshell会有一段连接32位md5值的前16位,默认连接密码为rebeyond;

2.冰蝎3.0和4.0的区别

冰蝎3.0采用自定义的二进制协议进行通信,冰蝎4.0采用HTTP协议进行通信;

冰鞋3.0使用DES加密算法,冰蝎4.0使用RC4加密算法;

3.cs流量特征(50050)

被控端会发送心跳包;

在执行下发指令时,会看到木马攻击者访问c2服务器上面的submit.php界面,并且在访问界面会带有一个id参数;

cs4.0版本的ua头时固定的,4.5及以上版本随机的,能避免被蓝队检测到;

url路径;

解密算法checksum8(92L,93L);

4.MSF流量特征

使用默认的4444端口作为反向连接端口;

数据包中包含metepreter,revshell等特定字符;

5.哥斯拉流量特征

在cookie字段,最后一个cookie的值出现分号;

payload中,有pass字符和java反射,base64加密解密等特征,php,adp就是一句话木马;

6.蚁剑流量特征

payload中,php中使用assert,eval函数执行,在jsp中使用java类(ClassLoader)加载,也会带有base64加密解密特征;

流量特征;每个请求都在@ini_sey("diplay_erors","0");@set_time_limit(0),后面也会有base64等字符;

7.weblogic(7001端口)

weblogic原理:比如CVE-2021-2109,远程代码执行漏洞,攻击者通过构造恶意的HTTP请求,触发Weblogic Server的漏洞,来实现远程代码执行。

weblogic反序列化原理:Weblogic控制台7001端口默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Conponents中 存在反序列化漏洞,攻击者可以构发送来获取目标服务器权限。

8.shrio

分为550和721,550是反序列化,721是加密解密,550不需要rememberMe Cookie解密,721需要来remenberMe Cookie解密;

9.log4j是一个日志框架

流量特征:主要是有JNDI关键词

原理如下:

JNDI注入:可以通过日志文件配置中的特定字段来配置JNDI资源,JNDI是用来访问命名和目录服务的API;

JNDI服务利用:攻击者构造恶意的日志文件,在日志配置文件中使用特定的字段,指定一个远程的JNDI服务地址,当Log4j尝试解析并获取JNDI资源时,会向远程地址发起请求;

JNDI远程代码执行:攻击者在远程JNDI服务上搭建一个恶意的RMI服务,该服务会返回一个恶意的代码,当Log4j尝试获取JNDI资源时,他会从远程JNDI服务获取到恶意代码,并在应用程序执行,从而导致远程代码执行漏洞;

恶意代码执行:当成功利用Log4j漏洞,攻击者可以在受影响的应用程序中执行任意恶意代码,包括远程命令执行,代码执行,服务器接管等;

11.fastjson

原理:Fastjson是一个Java序列化和反序列化框架,能将Java对象转化为JSON格式的字符串,并将JSON字符串转换为Java对象;

怎么发现是fastjson站点:1.查看网站源代码搜索关键词;2.用开发者工具,看看请求代码中是否村在“fastjson”或"com.alibaba.fastjson";

12.中了病毒木马应急事件

中了某某木马,该怎么办

a.首先要及时隔离机器,断网,不能利用这台机器接着攻击;

b其次,要确定攻击范围,是否通过内网渗透了更多机器;

c保留样本,分析攻击是如何发起攻击的,从哪里进行攻击的,看看流量包,及时对攻击者ip进行反制溯源

恢复机器,及时清理干净后门,对系统进行重装

及时更改密码,防止攻击者获得更多密码

13.出现那个Webshell连接,如何判断是误报

a.查看连接来源:查看连接的IP地址和端口,,如果是一个可信赖的IP地址和端口,可能是误报

b.分析连接行为:查看连接的时间,频率,尝试连接的目标,如果是和正常的流量相符合,可能是误报

c.检查文件:检查服务器上的文件是否存在异常,比如未知的PHP,ASP,JSP文件等,如果发现可疑文件,那可能是真实的Webshell连接

d检查日志:检查服务器访问日志和安全日志等,查看是否存在可疑的行为或攻击尝试行为,如果时的话,可能是真实的Webshell连接 

13.挖矿病毒排查(CPU拉满,服务器卡顿,网络阻塞)

a.检查系统资源占用:挖矿木马会占用大量的CPU或GPU资源,导致系统变得非常缓慢,可以使用Windows的任务管理器(Ctrl+Shift+Esc)或者Linux的top命令查看

netstat: netstat -ano

查看进程列表: tasklist

b.查看网络连接情况:挖矿木马会通过网络连接到挖矿池,上传挖矿结果并下载新的挖矿任务,可以使用netstat命令或者Wireshark等网络抓包工具来检查网络连接情况;

c.检查系统进程表:挖矿木马会在系统中创建新的进程,使用ps命令或者Windows的任务管理器来检查系统进程列表;

d扫描系统文件:挖矿木马可能会修改系统文件来隐藏自己,可以使用杀毒软件或命令行扫描工具进行扫描

14.挖矿事件如何处置

a.首先要询问情况,看是什么时候发现的;

b.寻找攻击遗迹,看看cpu占用,进程,计划任务,可疑用户;

c.备份样本分析,上传沙箱获取攻击行为并尝试溯源加分;

d.及时清理后门,删除可疑计划任务,进程,启动项,文件等

d.提出修改建议

15.服务器被打了怎么应急

a.收集信息:收集客户信息和中毒主机信息,,包括样本

b.判断类型:判断是否是安全事件,哪种安全事件,是勒索,挖矿,断网,ddos

c.抑制范围:隔离是受害面不继续扩大

d.深入分析:日志分析,进程分析,启动项分析,样本分析后方便溯源

e.

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/701645
推荐阅读
相关标签
  

闽ICP备14008679号