Intrusion Analysis Learning

Intrusion Analysis Learning

目錄

1. 入侵分析簡介
2. 基于日志的入侵分析技術
3. 入侵分析CASE 1
4. 入侵分析CASE 2
5. 入侵分析CASE 3
6. 入侵分析CASE 4      

1. 入侵分析簡介

Windows 2003 清除日志的方法
wmic nteventlog where "Logfilename = 'Application'" Call ClearEventLog
wmic nteventlog where "Logfilename = 'Security'" Call ClearEventLog
wmic nteventlog where "Logfilename = 'System'" Call ClearEventLog
wmic nteventlog where "Logfilename = 'Internet Explorer'" Call ClearEventLog

Windows 2008 及2012清除日志的方法
WEVTUTIL CL "Application"
WEVTUTIL CL "Security"
WEVTUTIL CL "Setup"
WEVTUTIL CL "System"
WEVTUTIL CL "Windows PowerShell"       

0x1: 研究入侵分析的意義

現代計算機系統功能日漸複雜，網絡功能日漸強大，正在對社會的各行各業産生巨大深遠的影響，但同時由于其開放性特點，使得安全問題越來越突出。

然而，随着人們對計算機網絡依賴程度的日漸加深，網絡安全也表現得越來越重要。由于網絡的互聯共享，來自企業内部和全世界各個地方不懷好意的計算機專業人士和黑客都有可能對其實施攻擊。我們幾乎每天都可以聽到黑客對某某企業資訊資源進行入侵、篡改和破壞的報道，是以

1. 分析和研究黑客入侵技術
2. 研究安全漏洞并修補之
3. 增強網絡和資訊的安全性能
4. 抵抗黑客入侵破壞
5. 建構一個安全的企業網絡系統      

這幾點是建構一個幹淨的資訊系統平台非常重要的

0x2: 入侵分析的難點

1. 黑客能運用的攻擊軟體有很多，開源社群，統一滲透測試架構(例如metersploit)的出現，讓黑客發動攻擊的成本大幅下降
2. 黑客自己開發或利用已有的工具尋找計算機系統和網絡的缺陷和漏洞，并對這些缺陷實施攻擊。這裡說的缺陷，包括
    1) 軟體缺陷: 典型地如CMS代碼漏洞、C/C++溢出漏洞
    2) 硬體缺陷: 路由器硬體漏洞
    3) 網絡協定缺陷: IEEE801 Wifi協定漏洞、HTTPS協定漏洞
    4) 管理缺陷和人為的失誤      

開發人員在編寫源碼程式時，每寫一千行，至少會有一個漏洞(bug)，即使再高明的程式員也不例外，是以黑客技術的産生與發展也就不足為奇了

發現并實作黑客技術通常要求這個人對計算機和網絡非常精通，發現并證明一個計算機系統漏洞可能需要做大量測試、分析大量代碼和長時間的程式編寫

大部分黑客是利用已有的軟體，這并不需要多麼高超的技術。現在的黑客站點在Internet上到處可見，黑客工具可任意下載下傳，進而對網絡的安全構成了極大的威脅

0x3: 入侵分析的攻防層面

從理論上來說，計算機系統的每一個層面都有可能遭受到黑客的研究和攻擊，隻是這些層面的研究難度和攻擊成本差别是很大的，越上層的(例如WEB層)的攻擊難度相對較小，也越容易遭受到黑客的攻擊，越往下層，研究的難度越大，攻擊的門檻和難度也越大

0x4: 安全含義及防範黑客入侵措施

網絡安全 = 風險評估分析 + 執行安全政策 + 安全系統實施 + 漏洞監測(感覺) + 實時響應(阻斷) + 漏洞修複(堵住源頭)

技術手段包括

1. 過濾
2. 資訊分析監控
3. 安全管理
4. 掃描評估
5. 入侵偵測
6. 實時響應
7. 防病毒保護
8. 存取控制      

措施包括

1. 網絡互聯級防火牆
2. 網絡隔離級防火牆
3. 網絡安全掃描評估系統
4. 系統安全掃描評估系統
5. 資訊流捕獲分析系統
6. 安全實時監控系統
7. 入侵偵測與實時響應系統
8. 網絡病毒防護系統
9. 強力存取控制系統等      

Relevant Link:

http://tech.sina.com.cn/soft/2000-08-08/607.html      

2. windows下基于日志的入侵分析技術

從本質上來說，入侵分析可以分為

1. 事前實時入侵分析
2. 入侵發生後事後的入侵原因分析      

本文讨論的入侵分析嚴格上指的是入侵發生後的事後入侵原因分析，屬于一種"犯罪現場還原"技術

日志檔案作為微軟Windows系列作業系統中的一個特殊檔案，在安全方面具有無可替代的價值。它每天為我們忠實地記錄下系統所發生一切事件，利用它可以使系統管理者快速對潛在的系統入侵作出記錄和預測

0x1: FTP日志分析

0x2: WWW日志分析

0x3: HTTPD事務日志的分析

0x4: 日志檔案的移位保護

關于Linux下的日志、及日志分析技術的相關知識，請參閱另一篇文章

http://www.cnblogs.com/LittleHann/p/3892465.html      

http://www.2cto.com/Article/200604/8332.html      

 3. 入侵分析CASE 1

接下來，我們通過幾個針對性的案例來學習一下如何盡心入侵分析

總結一下分析方法中的幾個關鍵點

1. 從.bash_history中找到突破口，逐層分析
2. 将分析過程中搜集到的零散的線索串起來，形成一條入侵線路圖      

總結一下黑客常用的入侵手段

1. 将後門程式、維護後門程式/rootkit的Bash腳本加入到/etc/inittab中，這樣可以持久地保持被入侵機器的"rootkit狀态"
2. 在被入侵伺服器上部署login後門
    1) ssh後門：記錄登入帳号和密碼
    2) netfilter端口後門
3. 常用指令程式替換劫持(rootkit行為)
    1) ps
    2) ll
    3) netstat
4. 在被入侵伺服器上部署C&&C遠控程式，使其成為僵屍網絡中的一員
    1) irc-bot
    2) tor
5. 使用自動化腳本對被入侵的伺服器上的log進行删除，檫除入侵痕迹      

http://www.freebuf.com/articles/system/12443.html      

4. 入侵分析CASE 2

1. 在核心交換機上對流量進行旁路鏡像，擷取原始資料
2. 通過對核心login日志的分析找到突破口：more /var/log/secure |grep Accepted
3. 以入侵時間作為時間出發原點，查找入侵的最初現場
    1) 用find指令來查找出這個時間段裡面系統中被修改的檔案有哪些
    2) 用find指令來查找這段時間執行的指令有哪些      

1. 在被入侵的伺服器上防止DDOS、暴力破解攻擊程式、WEBSHELL後門程式，使之成為殭屍電腦
2. 在被入侵伺服器上部署login後門
    1) ssh後門：記錄登入帳号和密碼
    2) netfilter端口後門
3. 常用指令程式替換劫持(rootkit行為)
    1) ps
    2) ll
    3) netstat
4. 在被入侵伺服器上部署C&&C遠控程式，使其成為僵屍網絡中的一員
    1) irc-bot
    2) tor
5. 使用自動化腳本對被入侵的伺服器上的log進行删除，檫除入侵痕迹      

最後入侵分析得到的結論

1. 入侵時間  
從目錄生成時間和入侵者删除ssl_request_log日志中相應時間段記錄的情況來看入侵的大概時間應該在7月3号中午13點左右；

2. 利用的漏洞
利用漏洞掃描程式對系統進行掃描發現系統中存在多個可被利用的漏洞，但是從入侵者關閉apache的443端口服務和修改 ssl_request_log日志檔案來看，他利用的是apache的mod_ssl子產品的漏洞(CAN-2002-0656)入侵系統的 

3. 攻擊位址來源
攻擊位址來源有兩個為82.77.188.56和82.77.188.240(但是這兩個位址很有可能也是被入侵者控制的機器)

4. 入侵者進入系統後做了以下這些操作：
    1) 在系統中安裝了通過IRC聊天伺服器控制的後門程式修改了系統中news賬号的權限和密碼 
    2) 替換系統中一系列的系統指令 
    3) 替換了系統本身的login程式，并獲得root的密碼 
    4) 利用攻擊程式對外進行443端口的掃描與攻擊 
    5) 使用清除程式清除了系統日志中的相關記錄       

http://carywu.blog.51cto.com/13185/99452      

5. 入侵分析CASE 3

1. 通過檢視端口監聽情況，檢視可疑端口監聽程序(非正常端口)
2. 通過/var/log/secure檢視黑客進行的暴力破解事件：黑客有可能采用分布式協作掃描器來作為掃描器
3. 針對目錄下的隐藏檔案(以"."開頭的檔案、目錄)進行重點排查
4. 檢查登入記錄(/var/log/secure)、賬戶檔案(/etc/passwd)中的可疑root帳号
5. 通過md5sum進行程式檔案二進制對比，檢查伺服器上的程式是否遭到篡改      

http://www.360doc.com/content/08/0618/09/9144_1345852.shtml      

6. 入侵分析CASE 4

1. 通過時間次元判斷目錄下的異常檔案: 正常情況下，一個目錄下的檔案的建立時間應該是接近的，而被黑客hacking過的檔案會表現出明顯的時間不一緻性
2. lsmod: 檢查被入侵系統中是否被黑客裝載了可疑的lkm rootkit
3. promiscuous mode detection: 檢查被入侵系統是否處于網絡資料包監聽(sniffering)狀态
4. rootkit行為檢查      

http://www.xfocus.net/articles/200103/129.html      

Copyright (c) 2014 LittleHann All rights reserved