内网告警学习
内网告警分析
前几天挖了几天src 搞了几个垃圾洞又被忽略了了 有点难受 😭😭😭😭😭 来简单学习下 内网的一些告警分析吧。HVV挺有用的。
网站架构
负载均衡
在网络层通过修改请求目标地址进行负载均衡。用户请求数据包到达负载均衡服务器114.100.80.10后,负载均衡服务器在操作系统内核进程获取网络数据包,根据负载均衡算法计算得到一台真实Web服务器10.0.0.1,然后将数据目的IP地址修改为10.0.0.1,不需要通过用户进程处理。真实Web应用服务器处理完成后,响应数据包回到负载均衡服务器,负载均衡服务器再将数据包源地址修改为自身的IP地址(114.100.80.10)发送给用户浏览器。
反向代理
浏览器访问请求的地址是反向代理服务器的地址114.100.80.10,反向代理服务器收到请求后,根据负载均衡算法计算得到一台真实物理服务器的地址10.0.0.3,并将请求转发给服务器。10.0.0.3处理完请求后将响应返回给反向代理服务器,反向代理服务器再将该响应返回给用户。
XFF头
• X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
• 正常情况下XFF中最后一个IP地址是最后一个代理服务器的IP地址,第一个是客户端的IP地址。
• 因此如果是内网告警,首先要看攻击者IP地址,如果是内网IP,再看XFF头,判定是内网告警还是外网告警
代理隧道告警分析
Frp工具流量特征
客户端与服务端进行认证信息时会 包含 version,hostname,os,arch,user,privil ege_key,runid,metas等信息 特点:持续告警,每分钟连接3次左 右 服务端与客户端进行认证信息时会 包含version,run_id,server_udp_port等 信息
reGeorg流量特征
regeorg有明显的流量特征,能直观 看见的是目的IP和目的端口。
横向移动告警分析
横向移动-端口扫描与弱口令
Nmap
• 大量端口扫描流量
• 默认UA信息:
Mozilla/5.0 (compatible;
Nmap Scripting Engine;
https://nmap.org/book
/nse.html)
横向移动-利用系统漏洞
• MS17-010流量特征
1. 攻击载荷一般会发送NT Trans Request载荷,里
面有大量的NOP指令
2. 在发送NT Trans Request载荷后,会发送Trans2Secondary Request载荷,相关的Trans2Secondary Request载荷会分几个数据包发送加密的攻击载荷。 在攻击载荷发送完后,如果发现数据包中存在Multiplex ID: 82数据包,说明漏洞攻击成功
横向移动-利用用户凭证
溯源与反制
溯源:完整还原攻击链,溯源到攻击队的虚拟身份、真实身份
反制:反控攻击方主机根据程度阶梯给分
攻击者IP->注册人信息->信息检索聚合分析->IP定位->端口扫描->反制攻击者服务器本机信息搜集
案例
安全设备告警某IP存在webshell上传行为
2. 通过微步的IP反查,不存在域名绑定记录
3. 扫描端口,发现存在HTTP服务,且存在phpmyadmin,使用弱口令登录成功
4. 再使用phpmyadmin写日志拿到webshell
5. 本机信息搜集:用户名、脚本中的作者、邮箱地址、QQ等信息