下面是我結(jié)合網(wǎng)上論壇以及個(gè)人的一些想法針對(duì)日志分析溯源的個(gè)人理解

　　現(xiàn)階段大部分企業(yè)都會(huì)上日志審計(jì)設(shè)備，在配上流量分光，還有各類IDS、WAF等設(shè)備日志，對(duì)安全溯源分析十分方便，但在日常工作中，免不了要直接看服務(wù)器相關(guān)請(qǐng)求日志的情況，這個(gè)時(shí)候就需要我們自身具備日志分析的能力了。

　　一、日志分析流程

　　1、統(tǒng)計(jì)

　　首先需要對(duì)數(shù)據(jù)進(jìn)行處理，如請(qǐng)求IP統(tǒng)計(jì)，訪問(wèn)地址統(tǒng)計(jì)，HTTP狀態(tài)碼統(tǒng)計(jì)等，這些數(shù)據(jù)統(tǒng)計(jì)可以使用excel或者python腳本，如果手頭有各類工具那就更容易統(tǒng)計(jì)了。

　　2、威脅發(fā)現(xiàn)

　　關(guān)鍵字過(guò)濾：

　　直接查找在請(qǐng)求中攜帶的關(guān)鍵字，如script、select、from、echo、bash、.sh等

　　查看異常請(qǐng)求：

　　4XX請(qǐng)求、5XX請(qǐng)求

　　行為分析：

　　由于日志大概率不會(huì)記錄post請(qǐng)求體，所以在post請(qǐng)求包體中的攻擊往往很難發(fā)現(xiàn)，這個(gè)時(shí)候就需要我們對(duì)特定的IP進(jìn)行行為查看，如查詢IP的威脅情報(bào)，某個(gè)IP登錄了多個(gè)賬號(hào)等等

　　3、報(bào)告撰寫

　　在報(bào)告中我們重點(diǎn)要體現(xiàn)某個(gè)IP或者某些IP的攻擊畫像，確定這些IP的攻擊行為，以便最終確定是否來(lái)著同一撥攻擊，還是互聯(lián)網(wǎng)上的肉雞日常掃描。ps excel中的數(shù)據(jù)透視表功能是真的香，誰(shuí)用誰(shuí)知道。

　　二、在日志中看到的行為分析

　　1、惡意IP請(qǐng)求帶有多個(gè)身份操作

　　可以看到上述日志中，某IP對(duì)登錄了郵件并進(jìn)行了相關(guān)操作，可以看到其登錄了不同的賬戶，那么這個(gè)時(shí)候怎么判斷其是正常的請(qǐng)求還是惡意請(qǐng)求呢?

　　(1)、威脅情報(bào)，查找請(qǐng)求IP相關(guān)的威脅情報(bào)信息，如果是惡意IP那么大概率就有可能是惡意訪問(wèn)了

　　(2)、觀察請(qǐng)求中的UA標(biāo)識(shí)，如果UA標(biāo)識(shí)一樣，那么是惡意訪問(wèn)的概率就又增加了

　　(3)、觀察這個(gè)IP前的一些請(qǐng)求行為，你就可能發(fā)現(xiàn)來(lái)著不同IP的登錄請(qǐng)求，惡意攻擊前的撞庫(kù)攻擊，這時(shí)基本就可以坐實(shí)了

　　(4)、聯(lián)系相關(guān)人員看該IP是否歸屬自己(太麻煩，一般不會(huì)用)，可以在二次確認(rèn)時(shí)使用。

　　2、非正常請(qǐng)求

　　正常業(yè)務(wù)邏輯不會(huì)發(fā)送的請(qǐng)求，這些可以通過(guò)關(guān)鍵詞快速查找過(guò)濾

　　3、掃描行為

　　通過(guò)過(guò)濾404請(qǐng)求和GET等，可以發(fā)現(xiàn)某些IP的目錄掃描探測(cè)行為，同時(shí)在通過(guò)IP去過(guò)濾狀態(tài)碼是200的請(qǐng)求，可以發(fā)現(xiàn)一些安全隱患。

　　4、重要接口

　　可以根據(jù)自己的業(yè)務(wù)類型，對(duì)一些敏感接口地址進(jìn)行查找，觀察其訪問(wèn)行為。

　　5、掃描器特征請(qǐng)求

　　wvs、acunetix、test、appscan、nessus、webreaver、sqlmap、bxss.me等

　　bess.me是awvs其中一個(gè)XSS掃描插件的地址。部分掃描器帶有固定的特征值，需要平時(shí)積累發(fā)現(xiàn)。

　　6、關(guān)鍵詞查找

　　select、sleep、echo、bash、down、passwd等

　　使用這些敏感的關(guān)鍵字也能迅速定位攻擊請(qǐng)求，上圖就是使用sqlmap跑注入所產(chǎn)生的日志。

　　7、一些特征性的請(qǐng)求

　　sqlmap的WAF探測(cè)請(qǐng)求

　　8、同源分析(對(duì)于個(gè)人能力要求比較高)

　　惡意代碼分析是檢測(cè)和防范惡意代碼的重要基礎(chǔ)。在反病毒領(lǐng)域的實(shí)際應(yīng)用中，除了分析惡意代碼的各種外部表現(xiàn)，還關(guān)心惡意代碼在同源演化方面的內(nèi)在特性，包括惡意代碼從何而來(lái)、如何發(fā)展變化以及相互之間的關(guān)系等。

　　目前僅有少量專門針對(duì)惡意代碼同源與演化分析技術(shù)的研究。

　　對(duì)惡意程序進(jìn)行反匯編之后，從命令序列、字符串序列提取出一段特征碼作為特征，提取篩選出相同的特征碼，挑選一些加密算法代碼作為特征碼，可以使用Bindiff來(lái)比較已有樣本相似的代碼片段，找到相似度較高且不是系統(tǒng)API的函數(shù)。

　　優(yōu)先選取Blocks數(shù)較多、匹配指令數(shù)較多的函數(shù)，降低誤報(bào)的幾率，分析時(shí)。除此之外，也可以使用一些自動(dòng)化提取yara規(guī)則的工具可以使用， 比如yargen：https://github.com/Neo23x0/yarGen。

　　提取出來(lái)的惡意程序的特征碼，可以在VT上進(jìn)行關(guān)聯(lián)，來(lái)追蹤相似攻擊組件。

　　Virustotal的使用

　　VirusTotal，是一個(gè)提供免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站，可以通過(guò)多種反病毒引擎掃描文件使用多種反病毒引擎對(duì)您所上傳的文件進(jìn)行檢測(cè),以判斷文件是否被病毒,蠕蟲,木馬,以及各類惡意軟件感染。

　　VirusTotal每15分鐘更新一次病毒資料庫(kù)，可以實(shí)時(shí)提供最新的反病毒引擎以檢測(cè)出大部分可能的威脅。

　　同時(shí)可以篩選出相同的特征碼片段樣本，在搜索框搜索之后可以對(duì)比往期相關(guān)樣本本的活躍，打開詳細(xì)信息可以查看是什么組織開發(fā)并使用的攻擊組件，通過(guò)這種方式可以關(guān)聯(lián)出該組織所使用的攻擊組件。

　　最后將yara規(guī)則添加到hunting中，一旦virustotal捕獲到新的樣本符合這條規(guī)則，就會(huì)立刻通知我們。

　　三、對(duì)于挖礦病毒我想說(shuō)的幾個(gè)點(diǎn)

　　針對(duì)于我們大批量服務(wù)器的日志分析工作，可能會(huì)碰到比較多的挖礦病毒，現(xiàn)在的挖礦病毒種類多，加載方式多，這里簡(jiǎn)單總結(jié)幾個(gè)點(diǎn)

　　1、挖礦病毒是怎么進(jìn)入到服務(wù)器的

　　大多數(shù)挖礦病毒進(jìn)入到服務(wù)器都是不是特意針對(duì)性的，一般都是利用現(xiàn)成的攻擊包程序，對(duì)網(wǎng)絡(luò)上所有的IP地址進(jìn)行掃描攻擊，然后在目標(biāo)機(jī)器執(zhí)行自己構(gòu)造好的攻擊載荷，就可達(dá)到快速傳播木馬的目的，由于挖礦木馬的特點(diǎn)是利用快速控制大量肉雞組建挖礦網(wǎng)絡(luò)進(jìn)行計(jì)算，而不需要選取特定的目標(biāo)，所以大多數(shù)的挖礦病毒都是批量進(jìn)行的，通過(guò)一些常用的web漏洞，系統(tǒng)漏洞，弱口令，還有一些比較少見的0day，Nday，以及文件捆綁，下載器等等。

　　2、挖礦病毒的特征

　　一般服務(wù)器感染到挖礦病毒后，服務(wù)器會(huì)超負(fù)荷運(yùn)轉(zhuǎn)，主要表現(xiàn)在CPU的使用率上。挖礦病毒執(zhí)行后需要連接挖礦池，這里肯定是有外連的。挖礦病毒在運(yùn)行時(shí)，因占用大量系統(tǒng)資源，造成系統(tǒng)卡頓后容易被察覺，所以會(huì)使用偽裝成系統(tǒng)文件、無(wú)文件持久化等技術(shù)保護(hù)自身。

　　3、針對(duì)無(wú)文件落地的powershell馬

　　之前碰到過(guò)一些沒有文件落地，通過(guò)在Powershell中嵌入PE文件加載的形式，達(dá)到執(zhí)行“無(wú)文件”形式挖礦攻擊。挖礦木馬執(zhí)行方式?jīng)]有文件落地，直接在Powershell.exe進(jìn)程中運(yùn)行，這種注入“白進(jìn)程”執(zhí)行的方式可能造成難以檢測(cè)和清除惡意代碼。在感染機(jī)器上安裝計(jì)劃任務(wù)，通過(guò)計(jì)劃任務(wù)啟動(dòng)Powershell攻擊模塊(無(wú)文件落地)，Powershell攻擊模塊包含利用 “永恒之藍(lán)”漏洞攻擊、弱口令爆破+WMIC、 Pass the hash攻擊代碼。在攻陷的機(jī)器上執(zhí)行Payload安裝計(jì)劃任務(wù)，上傳文件到啟動(dòng)目錄，相應(yīng)的Payload執(zhí)行后繼續(xù)進(jìn)行下一輪感染。

　　在windows下查看某個(gè)運(yùn)行程序(或進(jìn)程)的命令行參數(shù) 使用下面的命令：

　　wmic process get caption,commandline /value

　　如果想查詢某一個(gè)進(jìn)程的命令行參數(shù)，使用下列方式：

　　wmic process where caption=”xxx.exe” get caption,commandline /value

　　這樣就可以得到進(jìn)程的可執(zhí)行文件位置等信息。

　　這樣可以查看powershell的運(yùn)行命令

　　四、寫報(bào)告時(shí)注意的點(diǎn)

　　1、不一定惡意IP的請(qǐng)求就是攻擊行為

　　2、相同的payload在不同的IP請(qǐng)求，可以將其劃分同一人

　　3、部分IP的請(qǐng)求量較低，但存在惡意行為，可能為真實(shí)IP(具體可從漏掃成功的地方去跟蹤)

　　4、日志中并無(wú)同一地理位置的兩個(gè)IP同一一個(gè)時(shí)間區(qū)間出現(xiàn)，大概率是可以說(shuō)是同一人所為

　　5、查詢大量IP，發(fā)現(xiàn)威脅情報(bào)大多是撞庫(kù)攻擊。這些地址可能不是來(lái)自攻擊團(tuán)隊(duì)，而是來(lái)自互聯(lián)網(wǎng)上的掃描

　　6丶有些挖礦病毒的程序里面不會(huì)直接連接，而是通過(guò)加載器的方式加載一串加密代碼來(lái)連接挖礦池，不要因?yàn)椴闅⒉坏讲《揪团袛喾?wù)器是安全的。

　　五、總結(jié)

　　我了解的日志流量分析溯源是比較有規(guī)章順序的一套流程，從取證到溯源，但是針對(duì)于目前我們流量日志分析的方式，我感覺還是有很多局限性的,有很多的特征以及排查都是需要登錄到服務(wù)器才能更有效快速的解決發(fā)現(xiàn)問(wèn)題，這個(gè)也是出于客戶環(huán)境的原因，對(duì)于流量分析溯源人員的權(quán)限問(wèn)題也是對(duì)溯源工作的。

　　更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問(wèn)題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴(yán)謹(jǐn)，每年培養(yǎng)泛IT人才近2萬(wàn)人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時(shí)歡迎你來(lái)試聽。