第168天:应急响应-ELK 日志分析系统Yara规则样本识别特征提取规则编写
目录
案例一:ELK 搭建使用-导入文件&监控日志&语法筛选
案例二:Yara 规则使用-规则检测&分析特征&自写规则
案例一:ELK 搭建使用-导入文件&监控日志&语法筛选
该软件是专业分析日志的工具,但是不支持安全软件的分析
这里我是在kali中搭建的
搭建参考文章:(第一篇成功,第二篇呢可能是国外的docker关闭了未成功)
ELK详细搭建流程_elk搭建-CSDN博客 (本地搭建)
5分钟快速安装ELK(一)(docker搭建)
安装完成的界面
三种模式
选择日志上传
上传文件
导入
命名并导入
上传完成以后去查看
可以根据不同类别去分类查看
IP
时间戳
ua头
这里看到呢ua头有个sqlmap直接定位
搜索特征字符不是单独出现,需要在前后加上*
还可以自动加入机器,自动化进行分析,可以自己研究一下,主要是了解日志平台的分析
案例二:Yara 规则使用-规则检测&分析特征&自写规则
项目地址
https://github.com/VirusTotal/yara部分规则: https://github.com/Yara-Rules/rules
基本使用
检测挖矿病毒
yara需要借助规则去判断,规则直接下载好
yara64.exe 规则 -r 可疑程序/或者文件夹根据规则所以就得对大概木马类型做出判断
通过帮助文档查看
检测勒索病毒
检测cs木马,没检测到,这里是因为我的cs版本比较高,而项目规则比较老,导致匹配不到
自写Yara-cs规则
可以自己根据需求去写文件进行判断,需要提取特征,根据特征的共同性去判断。
写规则的话,根据两个不同的ip和端口绑定的cs马,通过010editer判断不同程序的共同特征
这里是我自己写的,没那么多规律可言,只是简单判断,正常的话根据文件头,关键字,协议,域名等等来进行编写
我准备了三个cs文件,1个是cs4.0 32位,还有两个cs4.5 32 位 64位
两个特征
第三个
第四个
编写规则
-Yara 规则内容支持字符串、正则表达式、十六进制进行匹配。字符串:定义一个变量 $a = " 字符串内容 "正则表达式:定义一个变量 $a = / 正则表达式内容 /十六进制:定义一个变量 $a = { 十六进制内容 }-Yara 规则条件and :与 or :或 not :非all of them :所有条件匹配即告警any of them :有一个条件匹配即告警$a and $b and $c : abc 同时匹配即告警($a and $b) or $c :匹配 a 和 b 或 c 即告警
按照如下实例写出规则,同时匹配四个规则就报警
rule csshell_check
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "MZ"$b = "_set_invalid_parameter_handler"$c = "KERNEL32.dll"$d = "msvcrt.dll"condition:all of them
}把不同类型的木马放在一个文件夹下
统一进行检测,只有cs后门被检测了出来
自写Yara-挖矿规则
这里就规范一点从文件头,关键字,协议,域名四个角度切入
文件头
这里可以写成字符串的MA,也可以写成16进制的{4D 5A}
关键字
这里就根据文件命名,xmrig进行搜索,这里切换成text进行搜索,不然搜索不到
协议
搜索资料,挖矿病毒常见协议位stratum和xmr协议
搜索xmr也能找到,但是都是文件名在干扰,忽略
域名这里其实没有找到,但是有一个字符串pool,出现了很多次
检测
自写Yara-php内存马规则
这里我觉得内存马的编写确实有问题,一是没办法从多个样本分析,只有一个idea,或者phpstudy环境,而且感觉不能确定唯一性,只做简单了解即可
下面这篇文章介绍过使用php内存马
第146天:内网安全-Web权限维持&各语言内存马&Servlet-api类&Spring类&Agent类_第146天web权限维持-内存马-CSDN博客
这里介绍过查杀
第162天: 应急响应-网站入侵篡改指南&Webshell 内存马查杀&漏洞排查&时间分析_东方通webshell 日志-CSDN博客
要抓取内存马,首先需要把内存包给导出来,进行分析
通过pcdump,把这个进程给进行导出
使用命令
procdump.exe -accepteula -ma 进程名 文件名.dmp
procdump.exe -accepteula -ma phpstudy.exe php.dmp
首先常见的eval
因为这个php内存马是你删除就立刻上传文件,应该涉及到sleep,条件竞争,以及file文件上传,直接搜php函数搜索不到,其实我也不是很理解
就根据这三个函数进行尝试
rule _checkphp
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "eval"$b = "file"$c = "sleep"condition:all of them
}确定进程号
通过进程号检测
但是这里规则写的不好,检测别的进程号也能够检测到,主要是不理解为什么函数不出现
下面是ai写的也没用,根本搜索不到关键字,了解一下工具的使用,以及利用进程号分析
rule PHP_Memory_Webshell_DynamicWrite { meta: description = "Detects PHP scripts that attempt to dynamically write webshell code to a file" author = "Your Name" version = "1.0" date = "YYYY-MM-DD" strings: $ignore_user_abort = "ignore_user_abort(true);" $set_time_limit = "set_time_limit(0);" $unlink = "@unlink(__FILE__);" $eval_code = "<?php @eval($_POST\['c'\]); ?>" $file_put_contents = "file_put_contents" $usleep = "usleep" condition: $ignore_user_abort and $set_time_limit and $unlink and $file_put_contents and $usleep and # This is a heuristic to check for the eval code being written to a file # Note: This is not foolproof, as the actual code written to the file might vary # But it gives us a good indication of the intent # We use a wildcard to match the variable assignment and loop structure # which are likely to be present in such scripts ( # Matching the file variable assignment /\$file\s*=\s*['"].+['"];/ and # Matching the code assignment /\$code\s*=\s*['"].+<?php\s*@eval\(\$_POST\['c'\]\);\s*>.+['"];/ and # Matching the while loop structure /while\s*\(1\)\s*\{/ )
}自写Yara-java内存马规则
写在前面这里我发现小迪师傅讲的有一点点问题,我发现没上传内存马,用小迪的程序检测也能够检测出来,真尴尬啊,我也只是简单复现了一下
注入两个不同的内存马
把idea的内存包导出,这个过程会比较慢,因为java会创建虚拟机
先分析这个ico后缀的
发现他们两个有相同的前缀 org.apache.coyote 查的时候可能输入完整的查不到,可以只查一部分,就像java中类的概念一样
搜索
在分析特殊之处 TimeZoneSerializer
就根据这两条这一个判断gsl内存马
rule java_chechk
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "org.apache.coyote"$b = "TimeZoneSerializer"condition:all of them
}存在gsl内存马
判断别的没有
分析完这个分析一下刚才上传了一个lister 一个filter
org.apache.jasper
还有另外一个相同的类 org.apache.jsp
同时存在判断有内存马
rule java_chechk
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "org.apache.coyote"$b = "TimeZoneSerializer"condition:all of them
}判断结果
判断别的进程的结果
但是这个规则总觉得有很多问题,只是简单了解了一下
相关文章:
第168天:应急响应-ELK 日志分析系统Yara规则样本识别特征提取规则编写
目录 案例一:ELK 搭建使用-导入文件&监控日志&语法筛选 案例二:Yara 规则使用-规则检测&分析特征&自写规则 案例一:ELK 搭建使用-导入文件&监控日志&语法筛选 该软件是专业分析日志的工具,但是不支持安…...
MySQL 面试题及答案
MySQL 面试题及答案: 一、基础问题 什么是数据库索引?有哪些类型? 答:数据库索引是一种数据结构,用于提高数据库查询的效率。它就像一本书的目录,可以快速定位到特定的数据行。 类型主要有: …...
vue仿chatGpt的AI聊天功能--大模型通义千问(阿里云)
vue仿chatGpt的AI聊天功能–大模型通义千问(阿里云) 通义千问是由阿里云自主研发的大语言模型,用于理解和分析用户输入的自然语言。 1. 创建API-KEY并配置环境变量 打开通义千问网站进行登录,登陆之后创建api-key,右…...
养老院管理系统(含源码+sql+视频导入教程+文档)
👉文末查看项目功能视频演示获取源码sql脚本视频导入教程视频 1 、功能描述 养老院管理系统拥有两种角色:管理员和护工 管理员:用户管理、老人信息管理、事故记录管理、入住费用管理、护工薪资管理、护工请假管理、床位管理、请假管理等 护…...
大数据的挑战是小文件
小文件可能会给存储平台及其支持的应用程序带来大问题。在 Google 上搜索 “small files performance” 会产生 2M 的结果。这篇博文将更深入地研究小文件问题,深入研究其根源并总结解决方案。 问题陈述 出于本讨论的目的,小文件通常被视为小于 64 KB …...
迁移学习案例-python代码
大白话 迁移学习就是用不太相同但又有一些联系的A和B数据,训练同一个网络。比如,先用A数据训练一下网络,然后再用B数据训练一下网络,那么就说最后的模型是从A迁移到B的。 迁移学习的具体形式是多种多样的,比如先用A训练…...
MCUboot 和 U-Boot区别
MCUboot 和 U-Boot 都是用于嵌入式系统的引导加载程序,但它们在一些方面存在区别: 功能特性 安全特性侧重不同 MCUboot :更专注于安全引导方面,强调安全启动、固件完整性验证和加密等安全功能。它提供了强大的安全机制来防止恶意…...
Apache OFBiz SSRF漏洞CVE-2024-45507分析
Apache OFBiz介绍 Apache OFBiz 是一个功能丰富的开源电子商务平台,包含完整的商业解决方案,适用于多种行业。它提供了一套全面的服务,包括客户关系管理(CRM)、企业资源规划(ERP)、订单管理、产…...
计算机毕业设计 饮食营养管理信息系统的设计与实现 Java实战项目 附源码+文档+视频讲解
博主介绍:✌从事软件开发10年之余,专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ 🍅文末获取源码联系🍅 👇🏻 精…...
828华为云征文|华为云Flexus云服务器X实例部署——盲盒抽奖商城系统以及编译发布小程序
盲盒抽奖商城系统使用 thinkphp6.0 uniapp 开发,做到了全移动端兼容。一个系统不仅可以打包 小程序 还可以 打包APP ,H5 华为云Flexus云服务器X实例在安装搭建盲盒商城小程序方面具有显著优势,这些优势主要体现在以下几个方面: …...
优化理论及应用精解【12】
文章目录 最优化基础基本概念一、目标函数二、约束条件三、约束函数 可行域与可行点可行点可行域可行点与可行域的关系示例 最优值与可行域的关系1. 最优值一定在可行域内取得2. 可行域定义了最优解的搜索空间3. 最优值的存在性与可行域的性质有关4. 最优值与可行域的边界关系示…...
excel 填充内容的公式
多行填充快捷方式: 使用“CtrlEnter”键,这样所有选中的空单元格前就会自动添加上相同的字符。 对于多行填充,Excel提供了几个快捷键来提高工作效率: “CtrlR”用于向右填充数据。如果你在表格的某一列输入了数据,选…...
这款工具在手,前端开发轻松搞定!
这款工具在手,前端开发轻松搞定! 引言 在之前的一篇文章中,已经给大家分享了一款AI助手。尽管该助手能够生成前端代码,但遗憾的是缺少了实时预览的功能。而现在,这一缺憾已经被弥补——你只需要描述你的设计想法&…...
Hadoop三大组件之HDFS(一)
HDFS 简介 HDFS (Hadoop Distributed File System) 是一个分布式文件系统,用于存储文件,采用目录树结构来定位文件。它由多个服务器组成,每个服务器在集群中扮演不同的角色。 适合一次写入,多次读取的场景。文件创建、写入和关闭…...
基于Hadoop的NBA球员大数据分析及可视化系统
作者:计算机学姐 开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。 专栏推荐:前后端分离项目源码、SpringBoot项目源码、Vue项目源码、SSM项目源码 精品专栏:Java精选实战项目…...
docker容器安装nginx
docker安装nginx部署前端项目 拉取镜像 docker pull nginx:1.24.0运行容器 docker run --name nginx -p 80:80 -d nginx:1.24.0创建本地挂载的目录 mkdir -p /docker/nginx/conf mkdir -p /docker/nginx/log mkdir -p /docker/nginx/html复制运行的nginx配置到宿主机上 将…...
LC记录一:寻找旋转数组最小值、判断旋转数组是否存在给定元素
文章目录 33.搜索旋转排序数组81.搜索旋转排序数组||153.寻找旋转排序数组中的最小值154.寻找旋转排序数组中的最小值||参考链接 33.搜索旋转排序数组 https://leetcode.cn/problems/search-in-rotated-sorted-array/description/ 下面这张图片是LC154题官方题解提供的一个图…...
关于 JVM 个人 NOTE
目录 1、JVM 的体系结构 2、双亲委派机制 3、堆内存调优 4、关于GC垃圾回收机制 4.1 GC中的复制算法 4.2 GC中的标记清除算法 1、JVM 的体系结构 "堆"中存在垃圾而"栈"中不存在垃圾的原因: 堆(Heap) 用途ÿ…...
网络工程和信息安全专业应该考哪些证书?
网络工程和信息安全专业在校大学生可以考的网络信息安全方向证书有NISP一级、NISP二级、CISP-DSG、CISP-PTE! 一、NISP一级 NISP一级是网络安全行业入门证书! NISP一级报名条件:年满16周岁即可 NISP一级报名时间:随时可报 NI…...
ASP.NET Core 创建使用异步队列
示例图 在 ASP.NET Core 应用程序中,执行耗时任务而不阻塞线程的一种有效方法是使用异步队列。在本文中,我们将探讨如何使用 .NET Core 和 C# 创建队列结构以及如何使用此队列异步执行操作。 步骤 1:创建 EmailMessage 类 首先,…...
从Linux系统的角度看待文件-基础IO
目录 从Linux系统的角度看待文件 系统文件I/O open write read 文件操作的本质 vim中批量注释的方法 从Linux系统的角度看待文件 关于文件的共识: 1.空文件也要占用磁盘空间 2.文件内容属性 3.文件操作包括文件内容/文件属性/文件内容属性 4.文件路径文…...
总结之Coze 是一站式 AI Bot 开发平台——工作流使用及coze总结(三)
工作流介绍 工作流支持通过可视化的方式,对插件、大语言模型、代码块等功能进行组合,从而实现复杂、稳定的业务流程编排,例如旅行规划、报告分析等。 当目标任务场景包含较多的步骤,且对输出结果的准确性、格式有严格要求时&…...
汽车线束之故障诊断方案-TDR测试
当前,在汽车布局中的线束的性能要求越来越高。无法通过简单的通断测试就能满足性能传输要求。早起对智能化要求不高,比如没有激动雷达、高清摄像、中央CPU等。 近几年的智能驾驶对网络传输要求越来越高,不但是高速率,还需要高稳定…...
自己做个国庆75周年头像生成器
版权声明:本文为博主原创文章,转载请在显著位置标明本文出处以及作者网名,未经作者允许不得用于商业目的。 下载相关代码:【免费】《自己做个国庆75周年头像生成器》代码资源-CSDN文库 又是一年国庆节,今年使用国旗做…...
2k1000LA loongnix 安装java
问题: 客户 需要在 loongnix 上 使用 java 的程序。 情况说明: 使用 apt get 是无法 安装java 的。 按照的资料就行。 首先是 下载 loongarch64 的 java 的压缩包。这个我已经下载下来了。 社区下载地址: http://www.loongnix.cn/zh/api/…...
中信银行西安分行:构建科技金融体质 做好科技金融“大文章”
中央金融工作会议提出,要做好科技金融、绿色金融、普惠金融、养老金融、数字金融五篇大文章。做好新时代金融五篇大文章,不仅为统筹推进经济和金融高质量发展明确了重点,也锚定了着力点。 作为一家拥有红色基因的国有金融企业,中…...
Linux系统性能调优技巧详解
Linux系统性能调优技巧详解 Linux 系统广泛应用于服务器、嵌入式设备以及开发工作站中,因此对其进行性能调优是保障系统高效运行的关键之一。性能调优不仅可以提高系统的响应速度,还能有效优化资源使用,避免瓶颈。在这篇文章中,我…...
MFC工控项目实例之十九手动测试界面输出信号切换
承接专栏《MFC工控项目实例之十八手动测试界面输入信号实时检测》 根据板卡设置界面组合框选项设定的输出信号,通过读取文件中保存的键值,用单选按钮切换输出信号接通、关闭。 1、在Data_1.h文件中添加代码 CString COMB_Data_O_1[]{"夹紧",&…...
数据结构——栈的基本操作
前言 介绍 🍃数据结构专区:数据结构 参考 该部分知识参考于《数据结构(C语言版 第2版)》55 ~ 59页 🌈每一个清晨,都是世界对你说的最温柔的早安:ૢ(≧▽≦)و✨ 1、栈的基本概念 栈&#x…...
Chainlit集成LlamaIndex实现知识库高级检索(组合对象检索)
检索原理 对象组合索引的原理 是利用IndexNode索引节点,将两个不同类型的检索器作为节点对象,使用 SummaryIndex (它可以用来构建一个包含多个索引节点的索引结构。这种索引通常用于从多个不同的数据源或索引方法中汇总信息,并能…...
医药网站制作/如何在百度上添加自己的店铺
矩阵在图形变换中的应用 让每个点的横坐标扩大a倍,纵坐标扩大b倍 让每个点关于x轴翻转。 需要找到一个矩阵T > T . (x , y) (x , -y) 由(x , y)得,T需要为两列, 由(x , -y)得,T需要为两行。 > > 因为 ax by x c…...
室内设计工作室网站怎么做/腾讯会议价格
文章目录前言一、MySQL入门基础第二天学习二、开始学习列类型(字段类型)无符号标识设定显示长度小数类型浮点型FloatDouble定点数Decimal时间日期类型Mysql记录长度字符串型TextEnumSet列属性Null属性列描述主键随表创建表后增加查看主键删除主键复合主键…...
wordpress iframe页面/35个成功的市场营销策划案例
http://www.cnblogs.com/wservices/archive/2010/07/08/1773449.html 看到很多书中都没有对PreferenceActivity做介绍,而我正好又在项目中用到,所以就把自己的使用的在这总结一下,也方便日后查找。 PerferenceActivity是什么,看下…...
建设网站需要什么知识/徐州百度seo排名
披萨店销售集 一个虚构的比萨饼店一年的销售额,包括每个订单的日期和时间以及提供的比萨饼,以及有关类型、大小、数量、价格和成分的其他详细信息。 数据集基本情况 文件类型 CSV文件 标签 商业食品与饮料时间序列,数据结构,…...
简单的网页设计网站/优化推广seo
说到矩阵运算,最简单的粗暴的就是三重循环直接遍历: def matrix_multiplication_loop(A,B): m A.shape[0] n A.shape[1] l B.shape[1] C np.zeros([m,l]) for i in xrange(m): for j in xrange(l): for k in xrange(n): C A[i][k]*B[k][j] return C…...
做视频背景音乐网站/最新今日头条
1.题目 2.思路 明确题目的路径定义后,知道有4种路径: (1)单一结点 (2)某个结点及其左子树组成的路径 (3)某个结点及其右子树组成的路径 (4)某个各节点及其左…...