误报排除方法:如果短时间内扫描大量不存在的web页面(人工达不到的速度,比如上面一分多钟达到208次)那就很有可能是在探 测web目录是否存在一些中间件
查看扫描的部分路径是否一些常见中间件的url,比如上面一直扫描web是否存在mysql的管理工具,如果扫描到 mysql管理工具可能利用工具存在漏洞进行渗透,那就不是误报,或者扫描一些webshell路径是否存在的时候会扫描 一些奇奇怪怪的不存在的页面,比如xx.php/db.php/shell.php等。扫描路径一般带有一些规律的,
可以分为以下几类:数据库管理页面(phpmyadmin,adminer等)、后台管理页面(manage.php , admin.php 等)、文本编辑器特定路径(ewebeditor,ueditor)、部分webshell地址(shell.php)
如果路径里面都是一些普通的html页面、客户自己的业务页面则为误报,比如扫描很多index.php index.html default.php等,这种场景一般是客户自己一些正常业务发出的大量请求
3)永恒之蓝漏洞利用攻击:永恒之蓝,永恒浪漫等漏洞利用攻击是通过ips规则识别到的,属于系统漏洞攻击,数据包不能直接查看
误报排除方法:永恒系统的漏洞误报很少,若一台主机对多台主机发起时,基本不是误报,还可以查看主机是否有别的行为比如扫描等行为。查看日志,是否有访问445端口的漏洞利用攻击日志,数据包为16进制
可以通过16进制转字符查看https://www.bejson.com/convert/ox2str/,查看内容是否为误报。其它系统攻击若有16进制数据包记录,也可以尝
4)Webshell上传:检测webshell上传,在提交的请求中有webshell特征的文件或者一句话木马字段。可以网上检索到webshell
误报排除方法:若查看到日志,为乱码(实际为二进制无法读取)可判断为误报
若SIP提示的链接下载的webshell文件为正常文件也可判断为误报
如果自己拿不准的话,将样本的md5或者样本上传到virustotal或者微步云沙箱进行检查
webshell一般不会重复上传,查看到多条日志,提交的数据包都是相同的webshell文件,可以判断是否为客户的业务行为,为误报。如下图,所有的日志都是相同的,判断为客户业务行为
若为复杂的代码格式, 含有eval等危险函数, 各种编码转换和加密字符串的,基本为正报
对于编码的webshell,需要进行解码查看,Accept-Charset字段值进行base64解码,解码结果包含syetem()、echo()、certutil.exe等敏感关键字,且不涉及业务内容,判断为真实漏洞探测行为
5)Sql注入攻击:Sql注入通过判断web请求提交的字段中是否有数据库查询语句或者关键词进行判断。
误报排除方法:查看日志,是否存在数据库查询的关键字,如select,where,union,等,并判断提交的语句是否为客户业务请求不规范所导致
通过返回包判断是否攻击成功,若判断为攻击行为,但是无返回包,判断为攻击不成功
6)XSS攻击:看日志中是否存在或类似的变形的字符串,这类是属于探测类攻击
看日志中是否存在外部url地址,这些地址可能是用于接收管理员信息的第三方平台。
误报排除方法:如果出现大量xss攻击日志,但日志内容格式都是一样的,没有明显变化,则可能是误判
如果攻击日志为json类数据,需和客户确认是否是正常业务,如果是正常业务,则为误判
7)扫描攻击:分为IP扫描,端口扫描,在一定时间能访问了大量的IP或者端口,在扫描IP时会记录IP,扫描端口时不会记录端口
当风险主机访问了多个主机的445端口,会认为是扫描行为。其它协议的扫描行为举证类似。需要审计到正常访问的流 量,并且连接时长会很短,每个扫描的间隔会也会很短
主机遭受外网主机的TCP端口扫描
误报排除方法:可直接通过平台netflow(网络流量日志)判断。提前是ips需要记录对应方向的网络流量日志。对于主机发起扫描事 件,直接在日志中设定筛选条件为:src_ip:ip。过滤出该IP所有的网络流量日志,点击目的端口的小漏斗,查看是否 存在大量的端口记录,如果存在大量端口访问记录,切每个端口访问次数都很小,则认为是端口扫描正判
对于IP扫描则看目的IP是否多个,是否属于同一个网段,思路都是一样的
若如当前还有扫描行为,可以到终端上查看连接情况,使用火绒剑或者SIP闭环工具,可以监听一段时间的网络连接,发现连接的进程,确认是否为误报。其它扫描协议判断方法相似
确认为扫描事件后,向客户了解是否有类似行为的运维工具在运行,若有需要将工具的IP进行加白
如检测到的扫描事件为目的端口不变,目的IP是零散的,很可能是p2p应用的行为。可能通过上网搜索被扫描端口,进行确认
对于主机遭受互联网主机扫描行为,需要确认主机是否对外开放了端口,是否为业务所需要,若不需要建议通过出口设备关闭映射关系;确认是否为客户业务行为
8)系统命令注入:查看到有相关报警后,可以直接查看日志检索中心,查看到提交的系统命令。如“rm -f”、“cmd”、“cd”等系统命令
误报排除方法:可与客户核对,是否业务有该行为,或没有,可判断是有攻击行为
若返回的包为乱码并确认传输数据为非加密时,可以通过请求的数据类型是否为图片等导致展示为乱码。可以判断为误报
9)Struts2攻击:Struts2属于远程命令执行导致的安全问题。通过修改 HTTP 请求头中的 Content-Type值等其它字段来触发该漏洞,导 致远程执行代码
若显示请求数据包请求体内容包含echo、cmd、bin/bash等恶意代码,可能判断为恶意代码被平台识别为远程代码执行
误报排除方法:首先检查Content-Type字段,正常Content-Type 提交的为文件类型字段,不会提交为执行语句
核心排查思路应该是查看请求方向数据是否有反序列化代码,例如java.getruntime,Struts2攻击不是所有的攻击 payload都在content-type里面的,至于是否攻击成功,则要看java中的命令是否有对应的结果在响应页面输出,无 返回数据,判断攻击失败
10)目录遍历攻击:判断条件较简单,只要请求中有…/或者…\就会判断为目录遍历攻击
误报排除方法:确认主机业务情况,是否在业务传输数据包中存在“…/“易被识别为目录遍历的字符
例如,数据包中存在…/…/…/…/…/…/etc/passwd.jpg恶意代码,尝试遍历etc/passwd内容,判断为真实攻击行为
显示响应中未返回任何相关敏感信息,判断为攻击未成功
11)邮件安全:邮件安全包括收、发邮件中的病毒邮件,垃圾邮件和钓鱼邮件中的安全问题,只能检测pop3/imap/smtp和web的http邮 件,不支持检测加密邮件的安全事件
误报排除方法:病毒邮件,判断邮件下载的附件信息,是否为病毒,可以将文件的md5上传至vt上进行确认
垃圾邮件,判断邮件内容或者主题是否存在垃圾信息关键词
钓鱼邮件,判断邮件中是的URL或者文件是否为恶意
主机存在可疑邮件外发行为,检测原理:判断主机是否使用过多域名的邮箱进行邮件外发,如果该主机的邮件业务是客户的正常业务, 则为误报. 否则该主机可能感染了mailer, 需要排查异常进程
12)信息泄露攻击:信息泄露攻击为在攻击起发起请求后,服务器返回系统,中间件等的版本号信息,黑客可以通过返回的版本号信 息,找到对应版本存在的漏洞,进行攻击
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~文章来源:https://www.toymoban.com/news/detail-859988.html
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
4281817dc4613353c120c9543810.png)
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-pEhER3w3-1712622418824)]文章来源地址https://www.toymoban.com/news/detail-859988.html
到了这里,关于安全事件分析思路及逻辑_当菜省公司安全专业发现一个告警,该告警中显示一台wn主机频繁的通过445端口探测其(1)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
