VulnStack2靶场渗透后的思考:除了拿权限,我们更该关注哪些痕迹与防御点?
VulnStack2靶场防御视角:从攻击痕迹到实战防御的深度解析
当渗透测试人员成功拿下VulnStack2靶场时,真正的安全战役才刚刚开始。作为防御方,我们需要像侦探一样审视每一个可能的攻击痕迹,从看似平静的系统表象中挖掘出那些被精心隐藏的攻击线索。本文将带您深入攻击者的行动路径,揭示那些容易被忽视的关键痕迹,并构建起一套可落地的防御体系。
1. 攻击入口的痕迹分析与加固
任何渗透行为都会在系统上留下初始访问的蛛丝马迹。在VulnStack2场景中,攻击者通常通过Weblogic漏洞获取初始立足点,这正是我们需要重点监控的第一道防线。
Weblogic攻击痕迹检测要点:
- 异常文件创建:检查
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal目录下是否存在非常规的.war或.jsp文件 - 进程行为异常:监控Java进程(java.exe)是否产生以下可疑行为:
- 创建新线程注入到其他进程
- 执行系统命令(通过
Runtime.getRuntime().exec()) - 加载非常规的JNDI类
- 日志特征:Weblogic访问日志中应关注:
- 异常的HTTP方法组合(如GET请求携带超长参数)
- 对
/wls-wsat/CoordinatorPortType等敏感端点的访问 - 短时间内大量404错误后突然出现的200响应
关键防御策略:部署专用的Web应用防火墙(WAF)规则,针对Weblogic特定漏洞特征进行过滤,同时配置Weblogic服务器定期归档并分析访问日志。
2. 权限提升行为的检测与防范
从普通用户到SYSTEM权限的跃迁是内网渗透的关键转折点。VulnStack2中演示的MS14-058提权留下了明显的系统痕迹。
权限提升痕迹检测表:
| 检测维度 | 具体指标 | 对应事件ID/日志位置 |
|---|---|---|
| 进程行为 | 异常父进程子进程关系 | 4688事件中的父进程信息 |
| 服务操作 | 未签名的驱动加载 | 7045事件中的服务安装记录 |
| 注册表变更 | 敏感注册表键值修改 | Sysmon事件12/13 |
| 文件系统 | 临时目录下的可疑可执行文件 | $Recycle.Bin等隐蔽目录监控 |
实战防御配置示例:
# 启用详细的进程跟踪审计 auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable # 配置Sysmon监控驱动加载和服务安装 <Sysmon config> <DriverLoad onmatch="exclude"> <Signature condition="contains">Microsoft</Signature> </DriverLoad> <ServiceInstall onmatch="exclude"> <Image condition="contains">system32\</Image> </ServiceInstall> </Sysmon>3. 横向移动的深度分析与应对策略
内网横向移动是攻击者扩大战果的核心手段,也是防御者需要重点布防的环节。VulnStack2中演示的多种横向技术各有其独特的痕迹特征。
3.1 SMB相关攻击痕迹
SMB Relay攻击检测指标:
- 同一账户在短时间内从多个不同IP登录
- NTLM认证日志中的异常源工作站名称
- 4768事件中的服务票据请求异常
防御加固方案:
- 启用SMB签名(对域控制器强制要求):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters] "RequireSecuritySignature"=dword:00000001 - 限制NTLM使用范围,优先使用Kerberos
- 监控
\pipe\srvsvc等命名管道的异常访问
3.2 WMI利用的监控要点
WMI作为强大的管理工具,常被攻击者滥用。需要特别关注:
- 进程创建:检查wmiprvse.exe是否产生以下行为:
- 启动cmd.exe或powershell.exe
- 连接外部IP地址
- 加载非常规的WMI提供程序
- 持久化:定期检查以下WMI类中的异常条目:
__EventFilter__EventConsumer__FilterToConsumerBinding
检测规则示例:
-- Splunk查询示例 index=windows EventCode=4688 ParentProcessName="*\\wmiprvse.exe" (NewProcessName="*\\cmd.exe" OR NewProcessName="*\\powershell.exe") | stats count by _time,host,NewProcessName,CommandLine4. 后门与持久化机制的发现与清除
攻击者在VulnStack2中通常会建立多种后门机制,这些隐蔽的持久化方式需要系统化的检测方法。
4.1 账户类后门检测
隐藏用户检测技术:
- 注册表比对法:
# 获取注册表中的用户列表 $regUsers = Get-ChildItem 'HKLM:\SAM\SAM\Domains\Account\Users\Names' | Select-Object Name # 获取系统识别的用户列表 $sysUsers = Get-WmiObject Win32_UserAccount | Select-Object Name # 比对差异 Compare-Object $regUsers.Name $sysUsers.Name - SID历史检查:
Get-ADUser -Filter * -Properties sidhistory | Where-Object {$_.sidhistory -ne $null}
4.2 计划任务与服务的深度检查
高级检测技巧:
- 检查任务XML定义文件中可疑的
<Arguments>或<Command>节点 - 服务映像路径中的空格填充陷阱检测:
Get-WmiObject Win32_Service | Where-Object { $_.PathName -match '\.exe[\s]+/' } | Select-Object Name,PathName - 服务DLL劫持检查:
Get-ChildItem HKLM:\SYSTEM\CurrentControlSet\Services | ForEach-Object { $service = $_.GetValue('') if($service.ImagePath -match '\.dll') { [PSCustomObject]@{ ServiceName = $_.PSChildName ImagePath = $service.ImagePath } } }
5. 日志清除行为的识别与应对
有经验的攻击者总会试图抹除自己的活动痕迹,但清除行为本身也会留下蛛丝马迹。
日志清除检测矩阵:
| 清除类型 | 检测方法 | 对应防御措施 |
|---|---|---|
| 事件日志清除 | 监控1102事件 | 配置日志转发至SIEM |
| Web日志删除 | 监控IIS日志目录变更 | 启用文件完整性监控 |
| 历史命令清除 | 检查Recent文件夹 | 部署命令审计工具 |
| 时间戳篡改 | 分析MFT变更记录 | 启用NTFS USN日志 |
日志保护的最佳实践:
- 配置日志服务器只接受追加操作,禁止删除
- 启用Windows事件日志转发至中央SIEM系统
- 对重要日志目录设置ACL权限,限制修改
- 部署文件完整性监控(FIM)解决方案
在真实的防御场景中,我们需要建立分层的检测体系,从主机层、网络层到应用层构建全方位的监控网络。VulnStack2这样的靶场环境为我们提供了绝佳的演练机会,通过反复的攻防对抗,不断磨练我们的防御技能和应急响应能力。