安全矩阵

 找回密码
 立即注册
搜索
查看: 572|回复: 0

第96篇:蓝队分析研判工具箱1.08版本(溯源辅助|解密攻击...

[复制链接]

57

主题

57

帖子

181

积分

注册会员

Rank: 2

积分
181
发表于 2024-6-22 16:52:17 | 显示全部楼层 |阅读模式
Part2 使用说明及功能介绍
  • 软件更新记录

[color=rgba(0, 0, 0, 0.9)]基于网友们的反馈,新增多处功能,更新多处bug,本次更新如下:
[color=rgba(0, 0, 0, 0.9)] 1   新增对天蝎webshell的JAVA、PHP、NET、ASP的解密功能,结合流量可以还原出攻击者执行的各种操作。
[color=rgba(0, 0, 0, 0.9)] 2   修复“网空资产测绘”功能的多处json文本处理不当引发的bug,新增指定域名搜索功能。
[color=rgba(0, 0, 0, 0.9)] 3   新增对16进制Hex编码的内存马反编译功能。
[color=rgba(0, 0, 0, 0.9)] 4   新增对IP地址列表批量查询物理地址功能,此功能基于内置的ip地址库。
[color=rgba(0, 0, 0, 0.9)] 5   新增对各种webshell解密后的二进制文件保存功能。
[color=rgba(0, 0, 0, 0.9)]
  • 解密天蝎webshell加密流量

[color=rgba(0, 0, 0, 0.9)]最近发现,很多红队人员也用天蝎webshell,所以增加了天蝎webshell的流量解密功能,支持Java、NET、PHP、ASP环境的全部4种webshell的流量解密。
[color=rgba(0, 0, 0, 0.9)]

  • 解密哥斯拉webshell加密流量

[color=rgba(0, 0, 0, 0.9)]哥斯拉的算法总共14种,分析加密算法,完成此功能工作量不小,还要感谢小黑的帮忙,解密后可以看到攻击者执行了哪些操作。
[color=rgba(0, 0, 0, 0.9)]

  • 解密冰蝎webshell加密流量

[color=rgba(0, 0, 0, 0.9)]冰蝎流量解密后,可以看到攻击者的执行的各种命令、各种操作,对溯源分析、取证会很有帮助。
[color=rgba(0, 0, 0, 0.9)]

  • 域名、ip综合研判(网空资产测绘

[color=rgba(0, 0, 0, 0.9)]此功能还在继续更新,输入xxx.com或者ip地址或者ip段进行搜索,点击“一键查询所有”按钮,程序会自动调用Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报的api,转换成相应的搜索语句进行搜索。此功能可以集合多种网空测绘平台对一个ip或者域名进行综合研判分析
[color=rgba(0, 0, 0, 0.9)]

  • 溯源分析辅助功能

[color=rgba(0, 0, 0, 0.9)]可以查看图片的exif信息,包括经纬度、地理位置等信息,可以对NPS代理进行漏洞检测,但是程序本身不提供漏洞利用功能。后续会加入对CobaltStrike的分析功能,敬请期待。
[color=rgba(0, 0, 0, 0.9)]

[color=rgba(0, 0, 0, 0.9)]如下图所示,可以查看图片的exif信息,从图片中可以提取包括经纬度、地理位置等敏感信息。
[color=rgba(0, 0, 0, 0.9)]

  • 反编译java内存马class文件
[color=rgba(0, 0, 0, 0.9)]通过调用Intellij Idea、CFR、Procyon、JD-Core、JDK等5种反编译工具接口,分别对Base64加密的class文件、转成Byte数组的class文件、BECL编码的class文件、Base64编码+Gzip编码的class文件、16进制hex编码的class文件、原版class文件反编译成java代码,方便蓝队人员分析异常流量中的内存马代码。
[color=rgba(0, 0, 0, 0.9)]当然,此功能对于红队人员也特别方便,方便大家编写tomcat、springboot、weblogic内存马时进行class文件反编译对比分析。如下图示所示,程序对Base64加密的内存马class文件进行反编译分析。
[color=rgba(0, 0, 0, 0.9)]

  • 解密Shiro/CAS/Log4j2加密流量
[color=rgba(0, 0, 0, 0.9)]对于设备告警的Shiro反序列化攻击行为,部分蓝队分析人员,对Shiro反序列化攻击做不了研判工作,难以辨别是否是攻击行为,还是正常的业务行为,还是设备误报。于是我在解密数据包的同时,加入了数据包分析功能,可以快速研判是否有反序列化攻击行为。
[color=rgba(0, 0, 0, 0.9)]

  • ip地址排除白名单功能

[color=rgba(0, 0, 0, 0.9)]此功能为了解决,在日常蓝队工作中,各种安全设备会告警上万个ip,但是有的ip是企业正常的ip,称之为白名单ip,手工一个个筛选非常麻烦,所以我就写了这个功能,可以生成真正可用的可封禁的ip地址列表。这个功能的特点是,对于ip地址的导入,兼容各种ip地址格式,兼容格式如下图所示。
[color=rgba(0, 0, 0, 0.9)]

  • 端口连接添加ip归属地址|对国外IP高亮显示

[color=rgba(0, 0, 0, 0.9)]假设甲方客户的内网主机中了恶意病毒,蓝队人员通常会执行netstat -an命令去查看每个端口或者进程连接国外ip地址情况。将netstat -an结果贴到工具中,点击“查询ip对应物理地址”按钮,程序就会在每一行结果后面,添加上每个ip地址对应的国家、城市、经纬度、国外大学等物理地址,方便蓝队人员快速定位出存疑的ip、端口、进程,而且此功能无需联网使用,断网情况下仍然可以用,同时对国外的IP地址进行了标黄处理,方便查看
[color=rgba(0, 0, 0, 0.9)]

  • 分析java反序列化二进制文件

[color=rgba(0, 0, 0, 0.9)]此功能可以直接对java反序列化数据包进行解包分析,参考了SerializationDumper工具的代码。
[color=rgba(0, 0, 0, 0.9)]

  • 多种编码/解码功能

[color=rgba(0, 0, 0, 0.9)]在蓝队分析工作中,不少朋友反映没有一款好用的编码/解码工具,不是功能有bug,就是功能不全。比如说最简单的URL编码、16进制的Hex编码、Base64编码,很多工具就没有考虑到中文字符的GB2312、UTF-8编码问题,导致解密结果不正确或者是乱码。于是我仔细研读了网上的关于编码/解码的文章,对常用的编码/解码功能进行调试,写成了如下功能。看后续大家反馈,如果好用的话,我可以把“编码/解码”功能单独拎出来写一个工具,主要功能如下。
[color=rgba(0, 0, 0, 0.9)] 1   更改软件界面,加入GB2312、UTF-8、GBK、BIG5、ISO-8859-1、GB18030等编码库,解决中文汉字在编码解码过程中产生的乱码问题。
[color=rgba(0, 0, 0, 0.9)] 2   将“becl编码文件功能”中的becl编码类更换为“回忆飘如雪”师傅编写的Java类,解决部分JDK由于缺失相应的class文件而无法Becl编码的问题。
[color=rgba(0, 0, 0, 0.9)] 3   新增“Hex编码二进制文件”功能,可以将二进制文件编码成16进制格式。
[color=rgba(0, 0, 0, 0.9)] 4   将Base64编码功能统一更换为第三方jar包,使其通用性更强。
[color=rgba(0, 0, 0, 0.9)] 5   支持将二进制文件转为byte数组格式。
[color=rgba(0, 0, 0, 0.9)] 6   新增UTF-7编码。
[color=rgba(0, 0, 0, 0.9)]

[color=rgba(0, 0, 0, 0.9)]同时还可以对二进制文件进行base64编码、hex16进制编码、BECL编码、转为byte数组等操作。
[color=rgba(0, 0, 0, 0.9)]

  • 常用分析网址

[color=rgba(0, 0, 0, 0.9)]汇集了常用的蓝队溯源分析网址,方便红蓝人员进行溯源分析或者应急响应分析。
[color=rgba(0, 0, 0, 0.9)]

  • 代码格式化功能

[color=rgba(0, 0, 0, 0.9)]可格式化javascript、java、jsp、json、css、xml等代码,并且高亮显示,方便红蓝双方对代码进行可视化分析。
[color=rgba(0, 0, 0, 0.9)]

  • 在jar包中搜索指定类名
[color=rgba(0, 0, 0, 0.9)]对于蓝队人员,此功能可以在指定的jar包目录中筛选出含有恶意类名的jar包文件,现在很多红队人员制作的不死内存马,会将jar包中的class文件修改掉,关机重启后内存马仍然可用,那么这个分析功能会非常有用。
[color=rgba(0, 0, 0, 0.9)]对于红队人员,在编写调试0day或者Nday的POC时,比如说weblogic中间件,它所包含的依赖jar包可能有上千个,查找存在漏洞的类究竟依赖于哪个jar包是非常头痛的一件事,这个工具可以帮您解决这个问题。在编写调试weblogic的poc时,ABC_123就是使用这个功能查找指定jar包依赖的。
[color=rgba(0, 0, 0, 0.9)]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 21:00 , Processed in 0.013496 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表