Talos Intelligence發現了一個名為“VPNFilter”的重大惡意軟體爆發事件,如果您像我們一樣是網絡管理者,那麼您需要檢查網絡系統日志以了解IoC的情況。
這個快速而肮髒的步驟向您展示了如何根據從思科釋出的相關IoC解析網絡系統日志。
要求:
IoC IP [從Talos Intelligence獲得]
您的網絡原始系統日志資料
擷取ICO IP
打開一個終端,從這裡https://blog.talosintelligence.com/2018/05/VPNFilter.html擷取相關的IoC IP,并将其粘貼到臨時檔案中,将該檔案儲存到:
/tmp/vpnfilterc2.txt
與VPNFilter的C2關聯的IP位址
91.121.109.209
217.12.202.40
94.242.222.68
82.118.242.124
46.151.209.33
217.79.179.14
91.214.203.144
95.211.198.231
195.154.180.60
5.149.250.54
91.200.13.76
94.185.80.82
62.210.180.229
找到您的防火牆系統日志資料
cd到您的日常防火牆系統日志所在的位置。例如,我們将使用/var/log/firewall/2018/05/23
執行“ls -a”來确認系統日志檔案的名稱。對于這個例子,我的日志名稱是“syslog.log”
根據與VPNFilter IoC關聯的IP清單解析您的系統日志資料
是以,現在我們已經有了一個關聯的IP清單,接下來我們将解析我們的系統日志資料,并希望這些IP都不會出現在我們的防火牆的系統日志流中。
· grep參數
· -r =遞歸
· -i =忽略大小寫
· -l =列出檔案名而不是行
· -f =使用檔案的内容而不是字元串
首先解析一個系統日志:
grep -rilf /tmp/vpnfilterc2.txt * / syslog.log
現在做一個遞歸grep:
grep -rilf /tmp/vpnfilterC2.txt *
如果您在網絡系統日志中找到任何ICO的IP,現在應該立馬做應急響應。
原文釋出時間為:2018-05-26
本文來自雲栖社群合作夥伴“
嘶吼網”,了解相關資訊可以關注“
”。