Intrusion Analysis Learning

目录

. 入侵分析简介
. 基于日志的入侵分析技术
. 入侵分析CASE
. 入侵分析CASE
. 入侵分析CASE
. 入侵分析CASE 

1. 入侵分析简介

Windows  清除日志的方法
wmic nteventlog where "Logfilename = 'Application'" Call ClearEventLog
wmic nteventlog where "Logfilename = 'Security'" Call ClearEventLog
wmic nteventlog where "Logfilename = 'System'" Call ClearEventLog
wmic nteventlog where "Logfilename = 'Internet Explorer'" Call ClearEventLog
 
Windows  及2012清除日志的方法
WEVTUTIL CL "Application"
WEVTUTIL CL "Security"
WEVTUTIL CL "Setup"
WEVTUTIL CL "System"
WEVTUTIL CL "Windows PowerShell" 

0x1: 研究入侵分析的意义

现代计算机系统功能日渐复杂，网络功能日渐强大，正在对社会的各行各业产生巨大深远的影响，但同时由于其开放性特点，使得安全问题越来越突出。
然而，随着人们对计算机网络依赖程度的日渐加深，网络安全也表现得越来越重要。由于网络的互联共享，来自企业内部和全世界各个地方不怀好意的计算机专业人士和黑客都有可能对其实施攻击。我们几乎每天都可以听到黑客对某某企业信息资源进行入侵、篡改和破坏的报道，所以

. 分析和研究黑客入侵技术
. 研究安全漏洞并修补之
. 增强网络和信息的安全性能
. 抵抗黑客入侵破坏
. 构建一个安全的企业网络系统

这几点是构建一个干净的信息系统平台非常重要的

0x2: 入侵分析的难点

. 黑客能运用的攻击软件有很多，开源社区，统一渗透测试框架(例如metersploit)的出现，让黑客发动攻击的成本大幅下降
. 黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞，并对这些缺陷实施攻击。这里说的缺陷，包括
    ) 软件缺陷: 典型地如CMS代码漏洞、C/C++溢出漏洞
    ) 硬件缺陷: 路由器硬件漏洞
    ) 网络协议缺陷: IEEE801 Wifi协议漏洞、HTTPS协议漏洞
    ) 管理缺陷和人为的失误

开发人员在编写源码程序时，每写一千行，至少会有一个漏洞(bug)，即使再高明的程序员也不例外，因此黑客技术的产生与发展也就不足为奇了
发现并实现黑客技术通常要求这个人对计算机和网络非常精通，发现并证实一个计算机系统漏洞可能需要做大量测试、分析大量代码和长时间的程序编写
大部分黑客是利用已有的软件，这并不需要多么高超的技术。现在的黑客站点在Internet上到处可见，黑客工具可任意下载，从而对网络的安全构成了极大的威胁

0x3: 入侵分析的攻防层面

从理论上来说，计算机系统的每一个层面都有可能遭受到黑客的研究和攻击，只是这些层面的研究难度和攻击成本差别是很大的，越上层的(例如WEB层)的攻击难度相对较小，也越容易遭受到黑客的攻击，越往下层，研究的难度越大，攻击的门槛和难度也越大

0x4: 安全含义及防范黑客入侵措施

网络安全 = 风险评估分析 + 执行安全策略 + 安全系统实施 + 漏洞监测(感知) + 实时响应(阻断) + 漏洞修复(堵住源头)

技术手段包括

. 过滤
. 信息分析监控
. 安全管理
. 扫描评估
. 入侵侦测
. 实时响应
. 防病毒保护
. 存取控制

措施包括

. 网络互联级防火墙
. 网络隔离级防火墙
. 网络安全扫描评估系统
. 系统安全扫描评估系统
. 信息流捕获分析系统
. 安全实时监控系统
. 入侵侦测与实时响应系统
. 网络病毒防护系统
. 强力存取控制系统等

Relevant Link:

http://tech.sina.com.cn/soft/2000-08-08/607.html

2. windows下基于日志的入侵分析技术

从本质上来说，入侵分析可以分为

. 事前实时入侵分析
. 入侵发生后事后的入侵原因分析

本文讨论的入侵分析严格上指的是入侵发生后的事后入侵原因分析，属于一种"犯罪现场还原"技术

日志文件作为微软Windows系列操作系统中的一个特殊文件，在安全方面具有无可替代的价值。它每天为我们忠实地记录下系统所发生一切事件，利用它可以使系统管理员快速对潜在的系统入侵作出记录和预测

0x1: FTP日志分析

0x2: WWW日志分析

0x3: HTTPD事务日志的分析

0x4: 日志文件的移位保护

关于Linux下的日志、及日志分析技术的相关知识，请参阅另一篇文章

http://www.cnblogs.com/LittleHann/p/3892465.html

Relevant Link:

http://www.2cto.com/Article/200604/8332.html

3. 入侵分析CASE 1

接下来，我们通过几个针对性的案例来学习一下如何尽心入侵分析

总结一下分析方法中的几个关键点

. 从.bash_history中找到突破口，逐层分析
. 将分析过程中搜集到的零散的线索串起来，形成一条入侵线路图

总结一下黑客常用的入侵手段

. 将后门程序、维护后门程序/rootkit的Bash脚本加入到/etc/inittab中，这样可以持久地保持被入侵机器的"rootkit状态"
. 在被入侵服务器上部署login后门
    ) ssh后门：记录登录帐号和密码
    ) netfilter端口后门
. 常用指令程序替换劫持(rootkit行为)
    ) ps
    ) ll
    ) netstat
. 在被入侵服务器上部署C&&C远控程序，使其成为僵尸网络中的一员
    ) irc-bot
    ) tor
. 使用自动化脚本对被入侵的服务器上的log进行删除，檫除入侵痕迹

Relevant Link:

http://www.freebuf.com/articles/system/12443.html

4. 入侵分析CASE 2

总结一下分析方法中的几个关键点

. 在核心交换机上对流量进行旁路镜像，获取原始数据
. 通过对核心login日志的分析找到突破口：more /var/log/secure |grep Accepted
. 以入侵时间作为时间出发原点，查找入侵的最初现场
    ) 用find命令来查找出这个时间段里面系统中被修改的文件有哪些
    ) 用find命令来查找这段时间执行的指令有哪些

总结一下黑客常用的入侵手段

. 在被入侵的服务器上防止DDOS、暴力破解攻击程序、WEBSHELL后门程序，使之成为肉鸡
. 在被入侵服务器上部署login后门
    ) ssh后门：记录登录帐号和密码
    ) netfilter端口后门
. 常用指令程序替换劫持(rootkit行为)
    ) ps
    ) ll
    ) netstat
. 在被入侵服务器上部署C&&C远控程序，使其成为僵尸网络中的一员
    ) irc-bot
    ) tor
. 使用自动化脚本对被入侵的服务器上的log进行删除，檫除入侵痕迹

最后入侵分析得到的结论

. 入侵时间
从目录生成时间和入侵者删除ssl_request_log日志中相应时间段记录的情况来看入侵的大概时间应该在7月3号中午13点左右；
 
. 利用的漏洞
利用漏洞扫描程序对系统进行扫描发现系统中存在多个可被利用的漏洞，但是从入侵者关闭apache的443端口服务和修改 ssl_request_log日志文件来看，他利用的是apache的mod_ssl模块的漏洞(CAN--)入侵系统的 
 
. 攻击地址来源
攻击地址来源有两个为82.77.188.56和82.77.188.(但是这两个地址很有可能也是被入侵者控制的机器)
 
. 入侵者进入系统后做了以下这些操作：
    ) 在系统中安装了通过IRC聊天服务器控制的后门程序修改了系统中news账号的权限和密码
    ) 替换系统中一系列的系统命令
    ) 替换了系统本身的login程序，并获得root的密码
    ) 利用攻击程序对外进行443端口的扫描与攻击
    ) 使用清除程序清除了系统日志中的相关记录 

Relevant Link:

http://carywu.blog.51cto.com/13185/99452

5. 入侵分析CASE 3

总结一下分析方法中的几个关键点

. 通过查看端口监听情况，查看可疑端口监听进程(非常规端口)
. 通过/var/log/secure查看黑客进行的暴力破解事件：黑客有可能采用分布式协作扫描器来作为扫描器
. 针对目录下的隐藏文件(以"."开头的文件、目录)进行重点排查
. 检查登录记录(/var/log/secure)、账户文件(/etc/passwd)中的可疑root帐号
. 通过md5sum进行程序文件二进制对比，检查服务器上的程序是否遭到篡改

Relevant Link:

http://www.360doc.com/content/08/0618/09/9144_1345852.shtml

6. 入侵分析CASE 4

总结一下分析方法中的几个关键点

. 通过时间维度判断目录下的异常文件: 正常情况下，一个目录下的文件的创建时间应该是接近的，而被黑客hacking过的文件会表现出明显的时间不一致性
. lsmod: 检查被入侵系统中是否被黑客装载了可疑的lkm rootkit
. promiscuous mode detection: 检查被入侵系统是否处于网络数据包监听(sniffering)状态
. rootkit行为检查

Relevant Link:

http://www.xfocus.net/articles/200103/129.html

Copyright (c) 2014 LittleHann All rights reserved