日志溯源与流量分析实战技巧

时间：2023-08-08 15:00:28 来源：作者：安全架构

下面是基于安全论坛以及个人的一些想法针对日志分析溯源的个人理解

现阶段大部分企业都会上日志审计设备，在配上流量分光，还有各类IDS、WAF等设备日志，对安全溯源分析十分方便，但在日常工作中，免不了要直接看服务器相关请求日志的情况，这个时候就需要我们自身具备日志分析的能力了。

日志分析流程

1、统计

首先需要对数据进行处理，如请求IP统计，访问地址统计，HTTP状态码统计等，这些数据统计可以使用Excel或者Python/ target=_blank class=infotextkey>Python脚本，如果手头有各类工具那就更容易统计了。

2、威胁发现

关键字过滤：直接查找在请求中携带的关键字，如script、select、from、echo、bash、.sh等

查看异常请求：

4XX请求、5XX请求

行为分析：

由于日志大概率不会记录post请求体，所以在post请求包体中的攻击往往很难发现，这个时候就需要我们对特定的IP进行行为查看，如查询IP的威胁情报，某个IP登录了多个账号等等

3、报告撰写

在报告中我们重点要体现某个IP或者某些IP的攻击画像，确定这些IP的攻击行为，以便最终确定是否来着同一拨攻击，还是互联网上的肉鸡日常扫描。
ps excel中的数据透视表功能是真的香，谁用谁知道。

日志行为分析

1、恶意IP请求带有多个身份操作

可以看到上述日志中，某IP对登录了邮件并进行了相关操作，可以看到其登录了不同的账户，那么这个时候怎么判断其是正常的请求还是恶意请求呢？

(1)、威胁情报，查找请求IP相关的威胁情报信息，如果是恶意IP那么大概率就有可能是恶意访问了

(2)、观察请求中的UA标识，如果UA标识一样，那么是恶意访问的概率就又增加了

(3)、观察这个IP前的一些请求行为，你就可能发现来着不同IP的登录请求，恶意攻击前的撞库攻击，这时基本就可以坐实了

(4)、联系相关人员看该IP是否归属自己（太麻烦，一般不会用），可以在二次确认时使用。

2、非正常请求

正常业务逻辑不会发送的请求，这些可以通过关键词快速查找过滤

3、扫描行为

通过过滤404请求和GET等，可以发现某些IP的目录扫描探测行为，同时在通过IP去过滤状态码是200的请求，可以发现一些安全隐患。

4、重要接口

可以根据自己的业务类型，对一些敏感接口地址进行查找，观察其访问行为。

5、扫描器特征请求

wvs、ac.NETix、test、Appscan、nessus、webreaver、sqlmap、bxss.me等

bess.me是awvs其中一个XSS扫描插件的地址。部分扫描器带有固定的特征值，需要平时积累发现。

6、关键词查找

select、sleep、echo、bash、down、passwd等

使用这些敏感的关键字也能迅速定位攻击请求，上图就是使用sqlmap跑注入所产生的日志。

7、一些特征性的请求

sqlmap的WAF探测请求

8、同源分析（对于个人能力要求比较高）

恶意代码分析是检测和防范恶意代码的重要基础。在反病毒领域的实际应用中，除了分析恶意代码的各种外部表现，还关心恶意代码在同源演化方面的内在特性，包括恶意代码从何而来、如何发展变化以及相互之间的关系等。

目前仅有少量专门针对恶意代码同源与演化分析技术的研究。

对恶意程序进行反汇编之后，从命令序列、字符串序列提取出一段特征码作为特征，提取筛选出相同的特征码，挑选一些加密算法代码作为特征码，可以使用Bindiff来比较已有样本相似的代码片段，找到相似度较高且不是系统API的函数。

优先选取Blocks数较多、匹配指令数较多的函数，降低误报的几率，分析时。除此之外，也可以使用一些自动化提取yara规则的工具可以使用，
比如yargen：https://Github.com/Neo23x0/yarGen。

提取出来的恶意程序的特征码，可以在VT上进行关联，来追踪相似攻击组件。

ViRustotal的使用

VirusTotal，是一个提供免费的可疑文件分析服务的网站，可以通过多种反病毒引擎扫描文件使用多种反病毒引擎对您所上传的文件进行检测,以判断文件是否被病毒,蠕虫,木马,以及各类恶意软件感染。

VirusTotal每15分钟更新一次病毒资料库，可以实时提供最新的反病毒引擎以检测出大部分可能的威胁。

同时可以筛选出相同的特征码片段样本，在搜索框搜索之后可以对比往期相关样本本的活跃，打开详细信息可以查看是什么组织开发并使用的攻击组件，通过这种方式可以关联出该组织所使用的攻击组件。

最后将yara规则添加到hunting中，一旦virustotal捕获到新的样本符合这条规则，就会立刻通知我们。

挖矿病毒的几个点

针对于我们大批量服务器的日志分析工作，可能会碰到比较多的挖矿病毒，现在的挖矿病毒种类多，加载方式多，这里简单总结几个点

1、挖矿病毒是怎么进入到服务器的

大多数挖矿病毒进入到服务器都是不是特意针对性的，一般都是利用现成的攻击包程序，对网络上所有的IP地址进行扫描攻击，然后在目标机器执行自己构造好的攻击载荷，就可达到快速传播木马的目的，由于挖矿木马的特点是利用快速控制大量肉鸡组建挖矿网络进行计算，而不需要选取特定的目标，所以大多数的挖矿病毒都是批量进行的，通过一些常用的web漏洞，系统漏洞，弱口令，还有一些比较少见的0day，Nday，以及文件捆绑，下载器等等。

2、挖矿病毒的特征

一般服务器感染到挖矿病毒后，服务器会超负荷运转，主要表现在CPU的使用率上。挖矿病毒执行后需要连接挖矿池，这里肯定是有外连的。挖矿病毒在运行时，因占用大量系统资源，造成系统卡顿后容易被察觉，所以会使用伪装成系统文件、无文件持久化等技术保护自身。

挖矿病毒的套路特征参考文章：

https://zhuanlan.zhihu.com/p/164557943

3、针对无文件落地的powershell马

之前碰到过一些没有文件落地，通过在Powershell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。挖矿木马执行方式没有文件落地，直接在Powershell.exe进程中运行，这种注入“白进程”执行的方式可能造成难以检测和清除恶意代码。在感染机器上安装计划任务，通过计划任务启动Powershell攻击模块(无文件落地)，Powershell攻击模块包含利用 “永恒之蓝”漏洞攻击、弱口令爆破+WMIC、 Pass the hash攻击代码。在攻陷的机器上执行Payload安装计划任务，上传文件到启动目录，相应的Payload执行后继续进行下一轮感染。

在windows下查看某个运行程序（或进程）的命令行参数
使用下面的命令：

wmic process get caption,commandline /value

如果想查询某一个进程的命令行参数，使用下列方式：

wmic process where caption=”xxx.exe” get caption,commandline /value

这样就可以得到进程的可执行文件位置等信息。

这样可以查看powershell的运行命令

下面这个是我之前碰到的一个powershell挖矿马

https://blog.csdn.net/weixin_44578334/article/detAIls/107438038

写报告时注意点

1、不一定恶意IP的请求就是攻击行为

2、相同的payload在不同的IP请求，可以将其划分同一人

3、部分IP的请求量较低，但存在恶意行为，可能为真实IP（具体可从漏扫成功的地方去跟踪）

4、日志中并无同一地理位置的两个IP同一一个时间区间出现，大概率是可以说是同一人所为

5、查询大量IP，发现威胁情报大多是撞库攻击。这些地址可能不是来自攻击团队，而是来自互联网上的扫描

6丶有些挖矿病毒的程序里面不会直接连接，而是通过加载器的方式加载一串加密代码来连接挖矿池，不要因为查杀不到病毒就判断服务器是安全的。

总结

我了解的日志流量分析溯源是比较有规章顺序的一套流程，从取证到溯源，但是针对于目前我们流量日志分析的方式，我感觉还是有很多局限性的,有很多的特征以及排查都是需要登录到服务器才能更有效快速的解决发现问题，这个也是出于客户环境的原因，对于流量分析溯源人员的权限问题也是对溯源工作的。

作者：Azjj98来源：https://blog.csdn.net/weixin_44578334欢迎各位关注作者博客。

Tags：日志溯源点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

日志溯源与流量分析实战技巧

下面是基于安全论坛以及个人的一些想法针对日志分析溯源的个人理解现阶段大部分企业都会上日志审计设备，在配上流量分光，还有各类IDS、WAF等设备日志，对安全溯源分析十分方便，但...【详细内容】

2023-08-08　　Search: 日志溯源点击:(144)　　评论:(0)　　加入收藏

▌简易百科推荐

2023年最需要注意的九大安全威胁

2023年又是全球网络安全威胁形势持续严峻，在叠加了地缘政治、经济竞争的因素后，具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪，而各种新兴技术的应用也催生了大量的...【详细内容】

2023-12-21　　　　FreeBuf.COM　　Tags:安全威胁　点击:(96)　　评论:(0)　　加入收藏

IP地址攻击与防范措施：维护网络安全的关键

IP地址是互联网通信的基本组成部分，然而，它也成为网络攻击的目标。本文将深入探讨IP地址可能面临的攻击方式，以及如何采取有效的防范措施来维护网络的安全。第一部分：IP地址攻击...【详细内容】

2023-12-19　　IP数据云　　　　Tags:IP地址　点击:(130)　　评论:(0)　　加入收藏

CSRF攻击：一种不可忽视的网络威胁

随着网络技术的飞速发展，网络安全问题日益凸显。其中，CSRF（Cross-siteRequestForgery，跨站请求伪造）攻击成为了一种常见的网络威胁，给企业和个人带来了严重的安全隐患。本文将详细...【详细内容】

2023-12-19　　小青爱生活　　　　Tags:CSRF攻击　点击:(119)　　评论:(0)　　加入收藏

2024年影响安全领域的五大技术趋势

即使对于我们这些在科技行业工作了几十年的人来说，过去12个月的变化速度也是惊人的。我们再次确信，技术创新不仅带来了巨大的机遇，也带来了比我们以前面临的更复杂的挑战，而且没...【详细内容】

2023-12-11　　　　千家网　　Tags:安全领域　点击:(145)　　评论:(0)　　加入收藏

网络安全工程师都要了解的勒索威胁新趋势

Zscaler 安全威胁实验室发布《2023 年全球勒索软件报告》中预测了未来将出现的7个勒索威胁新趋势。一、公共服务设施成为勒索软件攻击的目标增加。市政服务部门、执法部门、...【详细内容】

2023-11-16　　网盾网络安全培训中心　　　　Tags:网络安全　点击:(209)　　评论:(0)　　加入收藏

威胁情报趋势

威胁情报是指对各种威胁的收集、分析和推测，以便提前预防和应对威胁。随着技术的不断发展，威胁情报的趋势也在不断变化。本文将对当前的威胁情报趋势进行深入解析，并展望未来可...【详细内容】

2023-11-08　　信安天途　　　　Tags:威胁情报　点击:(208)　　评论:(0)　　加入收藏

如何防范生成式AI的钓鱼邮件攻击

今年ChatGPT火爆全网，近年来AI人工智能取得了长足的进步，给各行各业带来了革命性的变化。然而，与任何技术一样，总是有人试图利用它来达到恶意目的。如今，黑客正在使用一种名为Wor...【详细内容】

2023-10-26　　区块软件开发　　今日头条　　Tags:钓鱼邮件　点击:(230)　　评论:(0)　　加入收藏

杭州亚运会大火背后，是网安和黑产的疯狂对抗

10月8日晚，第十九届亚运会在杭州圆满落幕，中国代表团以201枚金牌的佳绩耀居榜首，成为历届亚运会以来金牌数量首次突破200枚的国家。根据亚运会主新闻发言人毛根洪10月7日在杭州...【详细内容】

2023-10-12　　互盟数据中心　　　　Tags:网安　点击:(342)　　评论:(0)　　加入收藏

Web 安全之 HSTS 详解和使用

HSTS（HTTP Strict Transport Security）是一种网络安全机制，可用于防范网络攻击，例如中间人攻击和 CSRF（Cross-Site Request Forgery）等攻击。本文将详细介绍 HSTS 的工作原理、应...【详细内容】

2023-09-27　　路多辛　　今日头条　　Tags:HSTS 　点击:(248)　　评论:(0)　　加入收藏

如何使用Noir从源代码检测攻击面

关于NoirNoir是一款功能强大的代码安全检测工具，在该工具的帮助下，广大研究人员能够轻松从源代码层面检测目标应用程序的潜在攻击面。功能介绍1、从源代码自动识别编程语言和...【详细内容】

2023-09-27　　　　FreeBuf.COM　　Tags:Noir 　点击:(371)　　评论:(0)　　加入收藏

推荐资讯

AI是万灵药？Meta要把大	考研调剂第一次失败后
高职单招是什么意思？	在饭局上喝酒，要学会3
汽车不停能开多少公里	三证齐全，中国“飞的”
小米SU7被大卸八块，雷	视频号，从抖音挖来一个