网络攻防项目实战 课件 洪顺进 项目四 网络信息安全应急响应

4.1安全事件日志分析任务描述云海网络安全公司工程师小吴在2022年12月1号22：30登录公司账号时提示密码错误，但管理员并未修改过密码，其他账号也出现同样情况；经过情况分析，初步判断为攻击者破解了管理账号密码后对管理账号和员工账号进行了密码修改。因此，小吴计划对服务器系统中的日志进行分析，查看是否有被恶意修改密码等操作。通过本任务学习，能够体验渗透测试工程师在应急响应过程中对日志进行分析，判断系统中是否存在可疑用户操作和系统更改的工作环节。020301任务准备日志事件查看LogParser日志分析目录任务准备01设置网络实验环境打开VMwareworkstation虚拟机软件，点击菜单栏中的“编辑”功能，在“虚拟网络编辑器”窗口中勾选“仅主机模式”，将DHCP服务子网IP地址设置为192.168.200.0,子网掩码设置为。设置网络实验环境单击“DHCP设置”按钮，将起始IP地址设置为“00”，结束IP地址设置为“00”，其余选项均为默认设置。开启虚拟机操作系统准备好教学配套资源包中提供的WindowsServer2008R2虚拟机操作系统，将虚拟机网络适配器的网络连接模式设置为“仅主机模式”，并启动操作系统。日志事件查看02日志事件查看方式1：在Windows操作系统中，点击“开始”按钮，点击“所有程序”，点击“附件”，选中“运行”选项方式2：（或通过按win+R的快捷键方式打开“运行”窗口），打开运行窗口后输入“eventvwr”命令打开“事件查看器”窗口。步骤1打开“事件查看器”，查看安全日志日志事件查看打开“事件查看器”后，选择“Windows日志”中的“安全”，点击右侧操作菜单中的“筛选当前日志”选项，可根据事件ID进行日志筛选。事件ID（新版本）描述事件日志4624成功登录安全4625失败登录安全4634注销成功安全4720创建用户安全4728添加用户到启用安全性的全局组中安全4732添加用户到启用安全性的本地组中安全4733从安全性的本地组中删除用户安全4776成功/失败的账户认证安全7030服务创建错误系统7040IPSEC服务的启动类型已从禁用更改为自动启动系统7045服务创建系统步骤1打开“事件查看器”，查看安全日志日志事件查看点击“筛选当前日志”选项，在“所有事件ID”中输入“4720”，点击“确认”，进行筛选。步骤2查找创建用户的事件日志事件查看查看筛选结果，发现在事件发生的时间22：30之后，没有新创建的用户步骤2查找创建用户的事件日志事件查看点击“筛选当前日志”选项，在“所有事件ID”中输入“4625”，点击“确认”，进行筛选。步骤3查看登录失败事件日志事件查看先点击“清除筛选器”，清除之前的筛选结果。再点击“筛选当前日志”选项，在所有事件ID中输入“4625”，点击“确认”，筛选登录失败事件。发现在无法登录的22：30之后，存在多次登录失败事件，且记录时间相近、尝试登录的账号都是Administrator，因此怀疑存在暴力破解行为。步骤3查看登录失败事件日志事件查看日志事件查看先点击“清除筛选器”，清除之前的筛选结果.再点击“筛选当前日志”选项，在所有事件ID中输入“4624”，点击“确认”，筛选登录成功事件。发现在多次登录失败之后，在22：41-22：45之间，出现了用户登录成功的记录。经过观察，发现22：41分Administrator登录成功，其登录类型为3，而22：43分的登录记录，其登录类型为10，可知攻击者通过字典破解管理员密码后，远程登录目标机。步骤4查看登录成功事件日志事件查看日志事件查看结合事件发生时段、登录失败记录、登录成功记录、注销记录，因此推断，有攻击者对主机进行暴力破解，在短时间内产生大量的暴力破解失败日志，在暴力破解失败后有登录成功的日志，说明攻击者在尝试暴力破解后成功获取账户密码、远程登录主机，在后续排查时需要关注暴力破解的IP地址及暴力破解时间。日志事件查看先点击“清除筛选器”，清除之前的筛选结果。再点击“筛选当前日志”选项，在所有事件ID中输入“4634”，点击“确认”，进行筛选发现2022年12月1日22：46时，Administrator用户远程登录注销成功。后续可基于登录成功到注销的时间段内，对该用户进行排查。步骤5查看注销成功事件日志事件查看日志事件查看先点击“清除筛选器”，清除之前的筛选结果。再点击“筛选当前日志”选项，在所有事件ID中输入“4724”，点击“确认”，进行筛选。发现2022年12月1日22：43-22：44时，攻击者修改了ben、jack、mary三个用户的密码，导致这三名员工无法登录账号。步骤6查看密码更改事件日志事件查看日志事件查看先点击“清除筛选器”，清除之前的筛选结果。再点击“筛选当前日志”选项，在所有事件ID中输入“4732，4733”，点击“确认”，进行筛选。发现2022年12月1日22：45时，攻击者修改了mary用户的组，将其从Users组调整为Administrators，导致其权限等同管理员，怀疑攻击者准备后续使用该账户对目标机进行操作。步骤7查看组更改事件日志事件查看日志事件查看日志事件查看综上分析，推断有攻击者对主机进行暴力破解，成功获取管理员账户密码，并通过远程连接登录主机，登录后对其中的用户进行了密码，导致公司员工无法正常登录账户，并且修改了mary用户的组使其权限等同于管理员，怀疑攻击者为了降低被发现的概率，准备后续使用该账户对目标机进行操纵。LogParser日志分析03LogParser日志分析为了方便日志分析，可以先把日志文件复制到C盘。日志的默认位置：%Systemroot%\System32\Winevt\Logs\Application.evtx。打开“此电脑”，进入“C:\Windows\System32\winevt\Logs”目录，可以看到很多日志文件。复制其中的“Security.evtx”安全日志、“System.evtx”系统日志、“Application.evtx”应用程序日志三个文件，粘贴到“C盘”目录下。步骤1复制日志文件LogParser日志分析在LogParser程序命令行输入“LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\Security.evtxwhereEventID=4625andTimeGenerated>'2022-12-0122:30:00'”点击“Allrows”查看所有查询记录，发现短时间内存在大量登录失败记录，查看这些记录的message信息，发现22：41分的8条登录失败记录有异常，工作站均显示为kali202。步骤2查询登录失败的事件LogParser日志分析LogParser日志分析在LogParser程序命令行输入”LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\Security.evtxwhereEventID=4624andTimeGenerated>'2022-12-0122:30:00'”查询22：30之后的登录事件，发现与事件发生时间相关的记录有6条。查看这6条记录的message信息，发现22：41分的登录记录有异常，工作站显示为kali202；22：43分的登录类型为10，属于远程登录。说明攻击者利用kali暴力破解密码后，在22：41分远程登录目标机。步骤3查询登录成功的事件LogParser日志分析步骤3查询登录成功的事件LogParser日志分析继续输入“LogParser.exe-i:EVT-o:DATAGRID“SELECTEXTRACT_TOKEN(Message,13,'')asEventType,TimeGeneratedasLoginTime,EXTRACT_TOKEN(Strings,5,'|')asUserName,EXTRACT_TOKEN(Message,38,'')asLoginIpFROMc:\Security.evtxwhereEventID=4624andTimeGenerated>'2022-12-0122:30:00'”发现远程登录IP地址为01，怀疑是攻击者IP地址。步骤3查询登录成功的事件实施步骤LogParser日志分析继续在LogParser程序命令行输入”LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\Security.evtxwhereEventID=4634andTimeGenerated>'2022-12-0122:30:00’”发现在22：46分远程登录注销成功，说明攻击者登录后的整体操作时间范围为22：41分-22：46分。步骤4查询注销成功的事件实施步骤LogParser日志分析在LogParser程序命令行输入”LogParser.exe-i:EVT-o:DATAGRID“SELECT*FROMc:\System.evtxwhereEventID=7045andTimeGenerated>'2022-12-0122:30:00’”查询系统日志中服务创建记录，发现无记录，说明攻击者并没有创建服务。步骤5查看系统日志LogParser日志分析在LogParser程序命令行输入”LogParser.exe-i:EVT-o:DATAGRID"SELECTTimeGenerated,EventID,MessageFROMc:\System.evtxwhereEventID=6005orEventID=6006"查询历史开关机记录，发现无异常时段开关机记录，说明攻击者操作后并没有关掉目标机，可能想达到隐藏目标机被攻击过的效果。步骤6系统历史开关机记录LogParser日志分析谢谢观看4.2恶意软件排查任务描述云海网络安全公司工程师小吴今日发现网络中的主机正常连接网络却无法上网，在使用记事本或计算器时会弹出其它窗口，小吴初步判断可能有攻击者获取了系统权限后远程登录本机并发送了恶意软件进行映像劫持等操作；因此，他计划对该主机进行恶意软件排查，查看是否有相应痕迹。通过本任务学习，能够体验渗透测试工程师在应急响应过程中对恶意软件进行排查、提取样本和恶意软件清除等工作环节。0201任务准备PCHunter软件目录任务准备01设置网络实验环境打开VMwareworkstation虚拟机软件，点击菜单栏中的“编辑”功能，在“虚拟网络编辑器”窗口中勾选“仅主机模式”，将DHCP服务子网IP地址设置为192.168.200.0,子网掩码设置为。设置网络实验环境单击“DHCP设置”按钮，将起始IP地址设置为“00”，结束IP地址设置为“00”，其余选项均为默认设置。开启虚拟机操作系统准备好教学配套资源包中提供的Windows7、kali2021虚拟机操作系统，将虚拟机网络适配器的网络连接模式设置为“仅主机模式”，并启动操作系统。开启handler监听模块在kali2021操作系统中进行msf框架，开启handler监听模块。打开测试程序将教学资源库中的“hack.exe”文件复制到Windows7操作系统中并双击运行该文件。PCHunter软件02PCHunter软件在Windows7操作系统中打开PCHunter软件步骤1排查网络PCHunter软件选择菜单栏中的“网络”选项卡，选择“端口”选项。在显示的结果中看到本地计算机的随机端口正在连接远程00的4444端口，对应进程Hacker.exe为可疑进程，进程Id为3628，猜测此网络连接为非法连接。步骤1排查网络PCHunter软件步骤1排查网络PCHunter软件选择“进程”选项卡，在软件任意处右击，在弹出的快捷菜单中选择“校验所有数字签名”选项，在显示的结果中可以看到进程按照不同的颜色（即数字签名的情况）进行排列。步骤2排查进程PCHunter软件PCHunter软件PCHunter软件对图中红色和蓝色的进程进行重点排查，发现其中也出现了Hacker.exe进程，结合网络连接中的发现，判断其可能为恶意软件。右击“Hacker.exe”进程，在弹出的快捷菜单中选择“定位到进程文件”选项，打开恶意软件所在的目录。步骤2排查进程PCHunter软件PCHunter软件继续右击“Hacker.exe”进程，在弹出的快捷菜单中选择“在线分析”选项，将找到的进程文件拖到网页中进行分析，结果显示该文件有较大危险性，推断Hacker.exe进程文件为恶意软件。步骤2排查进程PCHunter软件PCHunter软件点击“启动信息”选项卡，逐一查看“启动项”、“服务”和“计划任务”选项卡，并在空白处右击，在弹出的额快捷菜单中，选择“校验所有数字签名”选项进行排列。经过排查，启动项、服务均没有发现可疑记录，但任务计划中发现了可疑启动项“GatherNetworkInfo”，其描述为“网络信息收集器”，怀疑是攻击者为了监听目标机设置的启动程序。步骤3排查启动信息PCHunter软件查看启动项PCHunter软件查看服务PCHunter软件查看计划任务PCHunter软件选择“内核钩子”选项卡，重点关注“SSDT”、“键盘”和“鼠标”选项卡，在内核钩子中的SSDT、键盘、鼠标中均没有发现可疑记录。步骤4排查内核钩子PCHunter软件查看SSDTPCHunter软件查看键盘PCHunter软件查看鼠标PCHunter软件点击“内核”选项卡并在下一级选择“对象劫持”选项卡，在显示的结果中看到没有发生对象劫持。步骤5排查对象劫持PCHunter软件点击“系统杂项”选项卡并在下一级选择“映像劫持”选项，在显示的结果中可以看到恶意软件将calc.exe（计算器）进程和notepad.exe（记事本）进程伪装成cmd.exe（命令提示符）进程，导致用户使用时，双击启动记事本，打开的却是命令提示符窗口。步骤6排查映像劫持PCHunter软件点击“网络”选项卡并在下一级选择“Hosts文件”选项卡，在显示的结果中可以看到恶意软件对Hosts文件进行了纂改，导致DNS解析产生问题，导致用户无法正常上网。步骤7排查Hosts文件谢谢观看4.3流量数据分析任务描述云海网络安全公司的工程师小吴近期发现网络的ftp服务器上总是莫名多出一些文件，本来以为时某个员工上传，可询问了整个部门所有员工，却发现没有人上传过文件。经过简单的分析后，猜测有攻击者破解了部门ftp服务并获取了ftp上的文件；因此，他计划对当天的流量数据包进行分析，查看是否存在可疑IP，找到攻击成功的原因或漏洞。通过本任务学习，能够体验渗透测试工程师在应急响应过程中利用Wireshark对获取的数据包进行分析的工作环节。020301任务准备流量清洗入侵流量追踪目录任务准备01设置网络实验环境打开VMwareworkstation虚拟机软件，点击菜单栏中的“编辑”功能，在“虚拟网络编辑器”窗口中勾选“仅主机模式”，将DHCP服务子网IP地址设置为192.168.200.0,子网掩码设置为。设置网络实验环境单击“DHCP设置”按钮，将起始IP地址设置为“00”，结束IP地址设置为“00”，其余选项均为默认设置。开启虚拟机操作系统准备好教学配套资源包中提供的WindowsServer2008R2虚拟机操作系统，将虚拟机网络适配器的网络连接模式设置为“仅主机模式”，并启动操作系统。流量清洗02流量清洗由于数据包过大或通过分析知晓涉及的具体协议，可对数据包进行流量清洗，减少无用数据，便于后续的过滤和分析。流量清洗打开Wireshark软件，点击“文件”选项卡，选择“打开”选项，找到获取到的数据包“protest.pcapng”。步骤1打开数据包点击wireshark软件的“统计”选项卡，选择“协议分级”选项，可以打开wireshark协议分级统计窗口，仔细观察该窗口内的协议，从中看到占比较大的是ftp协议和ftp-data。步骤2查看协议流量清洗wireshark协议分级统计流量清洗在windowsServer2008R2操作系统中按下“win+R”打开“运行”功能，输入“cmd”,打开cmd终端命令行，继续输入“cdc:\ProgramFiles\Wireshark”进入wireshark安装目录。步骤3进入Wireshark安装目录流量清洗在cmd终端命令行输入“tshark-rc:\partm\protest.pcapng-Y"ftp||ftp-data"-wc:\partm\result.pcap”命令调用wireshark自带的tshark工具对流量包进行流量清洗，过滤出ftp和ftp-data流量并保存为新的流量文件result.pcap文件。步骤4使用tshark工具进行流量清洗入侵流量追踪03入侵流量追踪在WindowsServer2008R2系统中找到result.pcap文件，双击该文件后，wireshark软件自动加载。步骤1入侵流量追踪点击wireshark软件的“统计”选项卡，点击“对话”选项(Conversations)，打开“对话”窗口，选择“IPv4”选项，查看IPv4流量走向情况，在结果中可疑看到除了本机ip（00）外还有两个ip地址存在。步骤2入侵流量追踪在“对话”窗口中选择“TCP”选项，查看TCP流量走向情况，发现只有上述两个ip地址的主机与本机存在TCP协议，由此判断，可能有攻击者IP。步骤3入侵流量追踪入侵流量追踪在“应用显示过滤器···<Ctrl-/>”框内，输入过滤条件“ip.addr==”进行过滤，在过滤结果中看到记录正常，不存在暴力破解的情况，但有message.jpeg文件的相应记录。步骤4入侵流量追踪对ip：进行过滤入侵流量追踪分析找出可疑语句“Request：RETRmessage.jpeg”，右击“追踪流”，选择“TCP流”选项，进行TCP跟踪，发现该ip地址用户登录ftp服务器后，成功下载了ftp服务器中的“staffmessage.xlsx”文件，但没有执行过上传文件的命令。步骤4入侵流量追踪追踪TCP流入侵流量追踪查看执行命令入侵流量追踪在“应用显示过滤器···<Ctrl-/>”框内，输入过滤条件“ip.addr==00”进行过滤，发现该ip存在登陆失败的记录，即Info显示“Response：530Usercannotlogin.”，发现短时间内存在多条登录失败记录，猜测攻击者进行暴力破解操作。步骤5入侵流量追踪入侵流量追踪继续观察流量发现在大量登录失败的记录之后，出现了登录成功的记录，，即Info显示“Response：230Userloggedin.”，推断00的主机可能为攻击者。步骤5入侵流量追踪入侵流量追踪输入“ip.addr==00”条件继续观察是否有可疑文件上传记录，发现后续出现了可疑文件“message.jpeg”相关的上传记录和数据。步骤6入侵流量追踪分析“Request：STOR/message.jpeg”，右击“追踪流”并选择“TCP流”选项，进行TCP跟踪，发现攻击者登录ftp服务器后，下载了ftp服务器中的“clientmessage.xlsx”和“message.xlsx”文件，上传了“message.jpeg”文件。步骤7入侵流量追踪入侵流量追踪由此，结合先前推测的可疑ip地址和ftp流量，可获得如下信息：1)攻击者ip为00。2)攻击者通过字典进行暴力破解，获取ftp的用户名和密码。3)攻击者下载了ftp服务器上的两个文件。4)攻击者往ftp服务器上上传了一个可疑文件。谢谢观看4.4系统安全排查任务描述云海网络安全公司托管的服务器近期遭受网络攻击，导致服务器出现运行不稳定的情况，工程师小吴决定对系统进行安全排查，结合系统破坏情况、攻击者的可能途径对网络连接、可疑进程等进行排查，尽可能确保系统后续安全稳定的运行。通过本任务学习，能够体验渗透测试工程师在应急响应过程中对网络及进程、可疑用户、可疑文件、开机启动项、服务自启动等进行排查的工作环节。0201任务准备系统安全排查目录任务准备01设置网络实验环境打开VMwareworkstation虚拟机软件，点击菜单栏中的“编辑”功能，在“虚拟网络编辑器”窗口中勾选“仅主机模式”，将DHCP服务子网IP地址设置为192.168.200.0,子网掩码设置为。设置网络实验环境单击“DHCP设置”按钮，将起始IP地址设置为“00”，结束IP地址设置为“00”，其余选项均为默认设置。开启虚拟机操作系统准备好教学配套资源包中提供的Windows7、kali虚拟机操作系统，将虚拟机网络适配器的网络连接模式设置为“仅主机模式”，并启动操作系统。开启handler监听模块在kali操作系统中进行msf框架，开启handler监听模块。打开测试程序将教学资源库中的“hack.exe”文件复制到Windows7操作系统中并双击运行该文件。系统安全排查02系统安全排查在Windows7操作系统中按“win+R”键打开“运行”功能，输入“cmd”打开终端命令行窗口，继续输入“netstat-ano”，查看当前的网络连接，观察显示的结果推测ESTABLOSHED（连接成功）为可疑，其PID为3628。步骤1排查网络连接系统安全排查c系统安全排查方式1：在cmd终端命令行输入“tasklist/svc|findstr3628”命令进行进程定位，发现存在Hacker.exe进程，该进程不属于系统进程且命名陌生，推测其为可疑网络连接进程。步骤2排查进程系统安全排查方式2：打开“任务管理器”，选中Hacker.exe进程，右击进程在弹出的快捷菜单中，选择“打开文件位置”选择。步骤2排查进程c系统安全排查在Windows7操作系统中，右击“计算机”图标，在弹出的快捷菜单中选择”管理”打开计算机管理窗口，双击打开“本地用户和组”选项卡