第168天：应急响应-ELK 日志分析系统Yara规则样本识别特征提取规则编写

目录

案例一：ELK 搭建使用-导入文件&监控日志&语法筛选

案例二：Yara 规则使用-规则检测&分析特征&自写规则

---

案例一：ELK 搭建使用-导入文件&监控日志&语法筛选

该软件是专业分析日志的工具，但是不支持安全软件的分析

这里我是在kali中搭建的

搭建参考文章：（第一篇成功，第二篇呢可能是国外的docker关闭了未成功）

ELK详细搭建流程_elk搭建-CSDN博客   （本地搭建）

5分钟快速安装ELK（一）（docker搭建）

安装完成的界面

三种模式

 选择日志上传

上传文件

导入

命名并导入

上传完成以后去查看

可以根据不同类别去分类查看

IP

时间戳

ua头

这里看到呢ua头有个sqlmap直接定位

搜索特征字符不是单独出现，需要在前后加上*

还可以自动加入机器，自动化进行分析，可以自己研究一下，主要是了解日志平台的分析

案例二：Yara 规则使用-规则检测&分析特征&自写规则

项目地址

https://github.com/VirusTotal/yara

部分规则： https://github.com/Yara-Rules/rules

基本使用

检测挖矿病毒

yara需要借助规则去判断，规则直接下载好

yara64.exe 规则 -r 可疑程序/或者文件夹

根据规则所以就得对大概木马类型做出判断

通过帮助文档查看

检测勒索病毒

检测cs木马，没检测到，这里是因为我的cs版本比较高，而项目规则比较老，导致匹配不到

自写Yara-cs规则

可以自己根据需求去写文件进行判断，需要提取特征，根据特征的共同性去判断。

写规则的话，根据两个不同的ip和端口绑定的cs马，通过010editer判断不同程序的共同特征

这里是我自己写的，没那么多规律可言，只是简单判断，正常的话根据文件头，关键字，协议，域名等等来进行编写

我准备了三个cs文件，1个是cs4.0 32位，还有两个cs4.5 32 位 64位

两个特征

第三个

第四个

编写规则

-Yara 规则内容支持字符串、正则表达式、十六进制进行匹配。

字符串：定义一个变量 $a = " 字符串内容 "

正则表达式：定义一个变量 $a = / 正则表达式内容 /

十六进制：定义一个变量 $a = { 十六进制内容 }

-Yara 规则条件

and ：与 or ：或 not ：非

all of them ：所有条件匹配即告警

any of them ：有一个条件匹配即告警

$a and $b and $c ： abc 同时匹配即告警

($a and $b) or $c ：匹配 a 和 b 或 c 即告警

按照如下实例写出规则，同时匹配四个规则就报警

rule csshell_check
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "MZ"$b = "_set_invalid_parameter_handler"$c = "KERNEL32.dll"$d = "msvcrt.dll"condition:all of them
}

把不同类型的木马放在一个文件夹下

统一进行检测，只有cs后门被检测了出来

自写Yara-挖矿规则

这里就规范一点从文件头，关键字，协议，域名四个角度切入

文件头

这里可以写成字符串的MA，也可以写成16进制的{4D 5A}

关键字

这里就根据文件命名，xmrig进行搜索，这里切换成text进行搜索，不然搜索不到

协议

搜索资料，挖矿病毒常见协议位stratum和xmr协议

搜索xmr也能找到，但是都是文件名在干扰，忽略

域名这里其实没有找到，但是有一个字符串pool，出现了很多次

检测

自写Yara-php内存马规则

这里我觉得内存马的编写确实有问题，一是没办法从多个样本分析，只有一个idea，或者phpstudy环境，而且感觉不能确定唯一性，只做简单了解即可

下面这篇文章介绍过使用php内存马

第146天：内网安全-Web权限维持&各语言内存马&Servlet-api类&Spring类&Agent类_第146天web权限维持-内存马-CSDN博客

这里介绍过查杀

第162天： 应急响应-网站入侵篡改指南&Webshell 内存马查杀&漏洞排查&时间分析_东方通webshell 日志-CSDN博客

 要抓取内存马，首先需要把内存包给导出来，进行分析

通过pcdump，把这个进程给进行导出

使用命令

procdump.exe -accepteula -ma 进程名  文件名.dmp

procdump.exe -accepteula -ma phpstudy.exe php.dmp

 首先常见的eval

因为这个php内存马是你删除就立刻上传文件，应该涉及到sleep，条件竞争，以及file文件上传，直接搜php函数搜索不到，其实我也不是很理解

就根据这三个函数进行尝试

rule _checkphp
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "eval"$b = "file"$c = "sleep"condition:all of them
}

确定进程号

通过进程号检测

但是这里规则写的不好，检测别的进程号也能够检测到，主要是不理解为什么函数不出现

下面是ai写的也没用，根本搜索不到关键字，了解一下工具的使用，以及利用进程号分析

rule PHP_Memory_Webshell_DynamicWrite {  meta:  description = "Detects PHP scripts that attempt to dynamically write webshell code to a file"  author = "Your Name"  version = "1.0"  date = "YYYY-MM-DD"  strings:  $ignore_user_abort = "ignore_user_abort(true);"  $set_time_limit = "set_time_limit(0);"  $unlink = "@unlink(__FILE__);"  $eval_code = "<?php @eval($_POST\['c'\]); ?>"  $file_put_contents = "file_put_contents"  $usleep = "usleep"  condition:  $ignore_user_abort and  $set_time_limit and  $unlink and  $file_put_contents and  $usleep and  # This is a heuristic to check for the eval code being written to a file  # Note: This is not foolproof, as the actual code written to the file might vary  # But it gives us a good indication of the intent  # We use a wildcard to match the variable assignment and loop structure  # which are likely to be present in such scripts  (  # Matching the file variable assignment  /\$file\s*=\s*['"].+['"];/ and  # Matching the code assignment  /\$code\s*=\s*['"].+<?php\s*@eval\(\$_POST\['c'\]\);\s*>.+['"];/ and  # Matching the while loop structure  /while\s*\(1\)\s*\{/  )  
}

自写Yara-java内存马规则

写在前面这里我发现小迪师傅讲的有一点点问题，我发现没上传内存马，用小迪的程序检测也能够检测出来，真尴尬啊，我也只是简单复现了一下

注入两个不同的内存马

 

把idea的内存包导出，这个过程会比较慢，因为java会创建虚拟机

先分析这个ico后缀的

发现他们两个有相同的前缀 org.apache.coyote   查的时候可能输入完整的查不到，可以只查一部分，就像java中类的概念一样

搜索

在分析特殊之处   TimeZoneSerializer

就根据这两条这一个判断gsl内存马

rule java_chechk
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "org.apache.coyote"$b = "TimeZoneSerializer"condition:all of them
}

存在gsl内存马

判断别的没有

分析完这个分析一下刚才上传了一个lister 一个filter

org.apache.jasper

还有另外一个相同的类  org.apache.jsp

同时存在判断有内存马

rule java_chechk
{meta:author = "xiaojiesec"description = "test check"date = "2024-09"strings:$a = "org.apache.coyote"$b = "TimeZoneSerializer"condition:all of them
}

判断结果

判断别的进程的结果

 但是这个规则总觉得有很多问题，只是简单了解了一下