freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

内存马如何查杀;项目中如何施行安全三同步 | FB甲方群话题讨论(文末电台有惊喜)
2024-07-05 11:43:10
所属地 上海
各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 239期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

话题抢先看

1. 某Web业务系统已经发现有攻击者内存马维持权限,针对内存马查杀手段有哪些?

2. 通过web日志看到访问IP,但非真实IP,此时应该如何反制溯源,获取攻击者真实IP或身份信息?

3. 信息安全三同步,如何在业务项目中入手或者参与进去?

话题一:某Web业务系统已经发现有攻击者内存马维持权限,针对内存马查杀手段有哪些?

A1:

如果是虚拟机的话,先存个快照下来?

A2:

用内存分析工具Volatility对服务器内存进行快照,并分析其中的恶意代码痕迹。

A3:

想起上次分析了一星期最后复现不出来的经历,直接快照恢复解决。

A4:

通过对比路由和实际文件差异,如果没有实体文件很有可能就是内存马。Git上有现成的工具。

A5:

1. 先查看检查服务器Web日志,查看是否有可疑的Web访问日志,比如说Filter或者Listener类型的内存马,会有大量URL请求路径相同参数不同的,或者页面不存在但是返回200的请求;
2. 如在Web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在Java代码执行漏洞以及是否存在过WebShell,排查框架漏洞,反序列化漏洞;
3. 查看是否有类似哥斯拉、冰蝎特征的URL请求,哥斯拉和冰蝎的内存马注入流量特征与普通WebShell的流量特征基本吻合;
4. 通过查找返回200的URL路径对比Web目录下是否真实存在文件,如不存在大概率为内存马。

A6:

可以用专门用于扫描和检测内存中的恶意代码或异常活动。还有就是看系统中运行的进程监测,检查是不是有异常的或未授权的程序在内存中活动。分析程序的行为模式和活动路径,识别是否存在恶意行为。

A7:

内存马种类很多,查杀手段不同。

A8:

事前一般靠XDR防护软件和TDP流量行为监测类似的措施,事后一般靠木马专杀工具,太专业的只能找大佬了。

A9:

其实很多方案,真出事了,我还是觉得直接免费检测工具+收费服务来应对是最有效的。内存马对抗年年都有话题,至于种类区分或者应急处置措施,都是事后复盘不断改进,动态防御的过程。遇到一个陌生的:免费+收费才是最快处置措施。

A10:

如果仅仅是查杀,那很多方法,比如重启,内存马查杀工具,杀毒软件,溯源审计和逆向。如果是讨论溯源反制技巧,那就另当别论了。
溯源反制一般几个步骤,第一个收集证据,系统日志,流量日志,内存快照,攻击痕迹,第二个分析证据,根据证据确定攻击目标和路径,第三个清除内存马,后续就是追查攻击者跟修补漏洞。总体来说查杀很多方法和工具,技巧的话重点是固证,也就是内存镜像。上次遇到个内存马,还没来得及分析,业务那边直接给备份还原了。

A11:

内存镜像太依赖技术和产品,难做到,要入手还是进程、日志、流量分析。

Q:通过web日志看到访问IP,但非真实IP,此时应该如何反制溯源,获取攻击者真实IP或身份信息?

A12:

这个无解,很多国内黑客都是VPN出国,转了几圈回头攻击的,怎么查都没办法,老外不会配合。

A13:

感觉和追踪APT组织的方式比较像,只不过难度没那么高。

A14:

如果是海外云的IP,起码可以找他们投诉来搞掉肉鸡,国内没辙。

A15:

不好找,现在攻击者都直接挂代理池,这样除非和这个代理池的提供商有联系。

A16:

之前溯过一次,把疑似攻击者的GITHUB(是一个黑客组织)找出来了。CE的命令里面有一个wget 的IP->端口爆破找到这台机上有web服务->目录遍历找到一个文件夹一堆黑客工具->根据黑客工具名字找到黑客组织名字和github,看IP和新闻基本吻合。不过这种不叠护甲直接冲塔的选手比较少见。

A17:

攻击流量给他转到拟态蜜罐,然后使用Webrtc基本上都能获取到真实IP。

A18:

这种有过案例嘛?

A19:

Webrtc有一定的成功率,主要依赖Stun跟Ice协议。这种自动化攻击有效。攻防演练这种成功率不高。

A20:

如果是实战那基本就是封IP,这里看到不是真实IP分几种情况,如果是CDN,这种携带节点IP的直接分析就能搞定。如果对方是用代理或者肉鸡的那要打回去难度比较大,取决于收集到的资源。如果Web日志能搜集到ID,手机号等社工最简单。如果只有IP信息。那打回去的成功率并不高。一般耗时较长都会放弃,找别的拿分项。这个跟高考一样狠骨头最后啃。

A21:

如果是日志被篡改了IP,要联合分析网络和其他组件的日志做分析,如果是代理的IP,只有IP信息,这种只有看威胁情报的历史记录碰运气了,当然对于技术大佬来说直接反向入侵。

A22:

一是代理IP,如果Http包没啥特点,没啥好办法,要是可以的话用蜜罐,让他扔C2和WebShell,这样有机会一些;二是内部类似Nginx转发,找上一层日志。

A23:

非真实IP,大体上分两类。一是网络设备本身没有IP穿透,在安全设备上记录的都是网关或代理的IP,二是攻击者使用了代理或隐藏伪造了IP。第一种就靠关联分析了,通过各类系统和设备把真实IP给串联出来;第二种嘛可以分析Http头,可以用蜜罐收集更详细的攻击者信息,或者通过流量分析和异常检测,再不行和有关执法机构合作。

Q:有什么可以提前准备的溯源反制技巧,比如新增注册账号监视之类?

A24:

上半年在搞异常行为告警方案,主要就是埋点,异常用户注册监控也是其中之一,系统改造成本巨大,还在拉扯中。

A25:

对于我们就是砸0 Day了,或者近源攻击 ,近源攻击的话可以店铺挂自己公司工服钓鱼。

A26:

安全状态变更检查,通过环境的变更从而去研判是否有人攻击成功。

A27:

1. 蜜罐提前投入饵标;

2. 通过Github下一些诱饵;

3 .部署圈流量探针XDR等是必须的。

Q:某企业已经在DMZ区域部署了蜜罐,但感觉效果一般,如何提升蜜罐的诱捕能力?

A28:

直接接入内网并主动发数据。

A29:

主要是要模拟关键系统和服务,可能做的还不够真实,没有吸引力,放一点诱饵文件和数据之类的。

A30:

除了DMZ蜜罐增加交互式性,也可以考虑终端上加点料,部署终端蜜罐服务,放点诱饵文件。

A31:

1. 反向钓鱼往蜜罐放饵标;

2. 然后多爬一些或者灌入一些真实数据,别让人看着像蜜罐;

3. 用一些自动下载插件让攻击者访问就下载插件,增加概率;

4. 模拟多种类型的蜜罐,这样让攻击者下载脚本的概率更大。

话题二:信息安全三同步,如何在业务项目中入手或者参与进去?领导要求安全介入到业务项目中去,还没想好怎么切入进去

A1:

范围有点大,看安全团队技术覆盖怎么样。

A2:

一个项目,从项目启动-->开发设计-->试运行用户测试-->正式环境上线。

A3:

挺好的啊,项目启动,开发设计(评审安全需求)——运行测试(代码审计、上线三件套)——上线(持续检查,风险评估),都能介入啊。

A4:

上线三件套是啥?

A5:

渗透,漏洞扫描,基线检查。

A6:

感觉看公司属性、项目管理的成熟度吧,感觉好多toB的企业,每个产品线一套自己的项目管理。产品线多的,项目管理又不成熟,光和各个事业部沟通都几把累死了。

A7:

如果是安全,肯定统一管理,要不然怎么弄,各有各的方法,至于项目看怎么建设,一般比较规范的话,都是会有项目制,技术方案,评审会之类的,至于不规范,SDLC也很难推进。

A8:

我目前渗透没能力,基线没有。缺少的东西挺多的,只有个漏扫设备,Linux系统一个Root安装到底。

A9:

渗透看情况吧,没人没钱自己有能力自己做,基线看你们自动化程度,一般来说,纯脚本还是不行,还是要搭配手工检查。

A10:

三同步差的太远了,就这个资源投入,先搞搞系统上线前的基线核查和漏扫就不错了。

A11:

对,如果上线流程里面没有对安全的要求,那都白扯。

A12:

还是看你们的规范能不能落实,能落实,那卡点肯定不是问题,不能卡点,也没用。

A13:

主机漏洞扫描还是代码漏洞扫描?主机的话那太弱了,有白盒的话还能卡一下扫出来的中高危漏洞,可以要求中高危整改完才能上。

A14:

我只有主机漏扫,能扫描URL和主机。

A15:

想要比较全面的一些基线检查,还是要配合手动检查。反正卡点卡不到,还是顺其自然吧,如果你们能卡上线,我觉得还是好说的。

A16:

主机漏扫在项目上面针对性就比较弱了,安全要介入到项目里面去,从左移上面来讲就只能参与到相关架构和设计的安全评审上面。

A17:

现在是只有对互联网开放的能卡住,但是主机漏扫太弱了。

A18:

我们新建项目一般是设计的时候安全就介入进去,加上安全设计,开发完做人工渗透,上线前至少要把测试出的高危修复完。

A19:

渗透挺好,渗透是请的第三方还是你们自己啊?

A20:

驻场第三方。

A21:

是的,服务这些可以找第三方,毕竟要是项目多,肯定忙不过。反正规范先做好,这个是一定的,表面功夫都还是要的。

本周话题总结

本期话题谈到了针对内存马的查杀,可采用内存分析工具、日志排查、进程监测及专用查杀工具等多种手段。对于攻击者IP溯源,面对代理和VPN等复杂情况,溯源难度大,需结合蜜罐、日志分析、威胁情报等技术综合应对。实践中,封IP、收集社工信息及利用技术反向入侵是常见策略,但成功率受多因素影响。

在自身条件有限,要实现在业务项目中信息安全三同步的讨论中,关键在于将安全措施嵌入项目全周期,从启动到上线的每个环节都应涉及安全评审、测试与监控。鉴于资源限制,初期可着重于上线前的基线核查、漏洞扫描及渗透测试,并逐步建立规范与卡点机制。同时,可考虑引入第三方安全服务,以补充内部能力不足,确保安全措施的有效执行与落实。

近期群内答疑解惑

Q:有无终端电脑修复的漏洞等级和修复时间的表或标准?

A1:

终端的很少有这种要求吧,一般开启Windows 自动更新,杀软啥的必须安装,零信任Agent。

A2:

可以按照风险管理标准来或者引用国家漏洞标准,看是什么终端,重要终端高危直接按高风险来处理。

Q:所有文件都被加了这个后缀.vmdk.ALAMDEPE,没收到勒索邮件,今天突然全部虚机挂了

A1:

先尽快阻断网络、隔离,防止扩散。尽快找出临时应对办法,可以先供应商、第三方,你处理不了要尽快上报。

A2:

这种情况大公司的话应该已经内部启动应急了,而且主要看备份。

A3:

现在要用一切资源先判断情况,如果真是加密病毒,就要赶紧行动了。

A4:

勒索无疑了,切断传播,包括运维的机器也要先切断下,评估下感染路径,放弃原来的整个环境,用备份重构系统。

Q:防勒索病毒最关键的是备份,那怎样备份才能有效防止勒索病毒(就是防止备份也被勒索)呢?有没有成熟的方案呢?

A1:

有一些商业备份产品,号称可以防止勒索感染,比如CDP、CDM之类的产品。

A2:

有没有可能,这些只备份资料,不备份系统。

A3:

这种NAS就可以吧,但是业务连续性保障有点差。

A4:

这个备份数据有没有细化的方案呢,差异、增量、异地?具体怎么弄?会不会备份的数据被投毒呀?

A5:

第一次全备,之后增量,实时备份。类似快照节点,你可以还原到被勒索之前的快照时间点。

Q:权限治理怎么搞,我看RBAC模型可以搞,但是在实际中也不好操作,有没有闭坑的点?

A1:

我以前是这样做的,自己部门出一份权限表,其他部门出一份权限表,然后找相关人员开权限评审会议,并把结果抄送给各相关部门领导和老板,最后根据结果确定权限,以后权限稽核就有依据了。有些专业人员不同意授权的,但是别人有业务需求的,需要一个背书流程,出事情了追责或者免责。

A2:

我可能最终需要形成一个  “用户——岗位——角色——权限”的矩阵。

A3:

对啊,就是类似ACL的表,哪些人对某些系统或者数据具有读写改删等等权限。

Q:国内某顶级金融机构HW复盘会现场:你们安全说要买安全设备都买了,上规范都上了,修漏洞都修了,为什么还是被打穿了,如果面对这样的问题该如何回答?

A1:

这个东西就像你花再多钱养生,能保证一辈子不生病吗。

A2:

之前回答过,问就是0 Day,就是防不住,然后一顿解释,WAF也上了,防火墙也有了,态势也有了,怎么还被打穿,问就是黑客太牛逼了会绕WAF。

A3:

我在领导面前都是强调砍安全预算,把安全预算省掉,多买点365空间和更好的笔记本,对我来说,工作会更容易。人肯定要生病的,那么买那么多保健品干嘛呢,还不如多锻炼。

A4:

对我们做安全的人来说, 提升安全预算=增加更多无用重复的工作量。1年省几十万安全预算,扩容下AZURE空间,企业空间大了,大家就不会用U盘了, 80%安全泄露就避免了。

A5:

我HW防守过两家,第一二次参加hHW的单位都用起来,都没打穿,还都是传统行业,攻击事件也发现了,也及时处理了。该有的设备也得有,该用还得用,安全设备本来防的也不是顶级黑客,主要是脚本小子和黑灰产。

A6:

最高级的黑客是最牛逼的心理大师,说技术,大学生、安福仔都会渗透,统一培训基地出来的很多 , 但为什么有人能牛逼呢?就是玩心理玩的溜。

A7:

那是属于社工一方面 ,还有一方面的顶尖黑客是硬磕技术的,这种 一般HW都遇不到太多。

A8:

可以分析下没防住的具体原因,比如确实是某个方面安全措施缺失,还是员工意识薄弱,还是安全运营资源不够,还是对方确实太牛逼有0 Day,具体原因具体答复。

# events
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录