1、1 项目九 跳板与痕迹清除项目九 跳板与痕迹清除2 项目九 跳板与痕迹清除【项目概述】l攻击者攻击目标计算机时,为了避免被追踪,会采用各种跳板技术。跳板的实现有很多种方式,最简单的就是使用代理技术,早期的代理有HTTP代理和SOCKS代理。如今有更加便于使用的Web在线代理。由于Web在线代理有较大的局限性和安全隐患,VPN技术也成了很重要的跳板技术。这些技术也常被用作翻墙,访问因为某种原因而被封锁的网络。除了采用代理、VPN等技术隐藏攻击者真正的IP外,攻击者也常常在入侵成功后清除入侵的痕迹。本项目将介绍常见的代理服务器的使用、Windows痕迹清除、Linux痕迹清除。3 项目九 跳板与痕
2、迹清除l【项目分析】l当攻击者入侵被攻击者时,被攻击者可以根据IP地址追踪攻击者来自哪里。攻击者为了隐藏自己真正的IP,通常会采用跳板,这样被攻击者进行反向追踪时就只能追踪到攻击来自跳板。如果攻击者采用多个跳板,且跳板分布在不同的国家,那么被攻击者就需要依次追踪每一个跳板,追踪将变得非常困难。了解常见的跳板技术以及攻击者清除入侵痕迹的技术,对于防范网络攻击、追踪攻击者具有重要意义。l本项目将通过以下内容讲述跳板与痕迹清除技术:l1.代理服务器的使用;l2.Windows痕迹清除;l3.Linux痕迹清除。4 项目九 跳板与痕迹清除项目主要内容:任务一 代理服务器的使用任务二 Windows痕迹
3、清除任务三 Linux痕迹清除5 项目九 跳板与痕迹清除任务二 Windows痕迹清除6 项目九 跳板与痕迹清除l任务描述l计算机上的操作系统和各种应用程序通过日志记录计算机上所发生的事件,便于管理员监控计算机以及故障排除。这些日志也是跟踪攻击者的重要资料。攻击者为了隐藏自己,经常设法删除这些日志,清除攻击痕迹。请查看Windows系统中的日志,测试进行日志痕迹清除,设置防范Windows痕迹清除策略。l任务分析lWindows操作系统都有各种各样的日志文件,如应用程序日志、安全日志、系统日志等,根据系统开启的服务不同而有所不同。用户在系统上进行操作时,这些日志会记录下用户操作的相关内容,这些
4、内容对于系统安全工作人员十分有用。例如,攻击者对系统进行了FTP探测后,便会在FTP日志中记下IP、时间、探测所用的用户名等。l攻击者清除攻击痕迹,主要从清除Windows日志着手。攻击者试图控制计算机的过程中,或者控制了计算机后进行操作时,会在计算机上留下痕迹。攻击者会想办法删除这些记录,达到隐藏攻击行为的目的。在本任务中,将说明如何查看Windows日志和IIS日志,以及如何清除Windows日志和IIS日志。7 项目九 跳板与痕迹清除l任务实施l1.查看Windows日志。l步骤1 在Windows Server 2008上,选择“开始”“管理工具”“事件查看器”,在事件查看器窗口右侧的
5、列表框中显示了事件查看器的概述与摘要、管理事件的摘要、最近查看的节点以及日志摘要等信息,如图9-11所示。8 项目九 跳板与痕迹清除图9-11 事件查看器窗口9 项目九 跳板与痕迹清除l小贴士:必须以Administrator或Administrators组成员的用户身份登录,才能打开、使用安全日志及指定将哪些事件记录在安全日志中。10 项目九 跳板与痕迹清除l步骤2 在“事件查看器”窗口左侧的列表框中展开“Windows日志”,可以看到有应用程序、安全、Setup、系统、转发事件选项。单击“应用程序”节点,可以看到应用程序中的所有事件的级别、日期和时间、来源、事件ID、任务类别,如图9-12
6、所示。11 项目九 跳板与痕迹清除图9-12 应用程序选项相关的事件12 项目九 跳板与痕迹清除l知识链接:事件日志包括应用程序日志、安全日志和系统日志三种类型:(1)应用程序日志包含由程序记录的事件。例如,数据库程序可能在应用程序日志中记录文件错误,写入应用程序日志中的事件是由软件程序开发人员确定的。(2)安全日志包含有效和无效的登录尝试等事件,以及与资源使用有关的事件(如创建、打开或删除文件)。例如,在启用登录审核的情况下,每当用户尝试登录到计算机上时,都会在安全日志中记录一个事件。(3)系统日志包含Windows系统组件所记录的事件。如果在启动过程中未能加载某个驱动程序,就会在系统日志中
7、记录一个事件。Windows需预先设置记录的系统事件。13 项目九 跳板与痕迹清除l步骤3 右击“应用程序”节点,在弹出的快捷菜单中选择“筛选当前日志”命令,打开“筛选当前日志”对话框,单击“筛选器”选项卡,如图9-13所示。图9-13“筛选当前日志”对话框14 项目九 跳板与痕迹清除l步骤4 在“筛选器”对话框中,可以根据事件的级别选择显示的事件,如选择“警告”,则在应用程序事件中只显示警告事件,如图9-14所示。图9-14 筛选应用程序事件15 项目九 跳板与痕迹清除l2.在事件查看器中分析事件类型。l在事件查看器窗口左侧的列表框中展开“Windows日志”,单击“系统”选项,右侧的事件列
8、表框中找到类型为“错误”的事件并双击,打开“事件属性”对话框,如图9-15所示。图9-15“事件属性”对话框16 项目九 跳板与痕迹清除l该事件日志表示:在2019年1月17日18点59分49秒,发现NetBT服务的一个错误。事件ID为4321,表示在WIN-N7IONR3403主机在尝试将IP地址配置为169.254.14.195时,受到其他计算机的阻止。l从该事件日志中可以看出,这台主机是DHCP客户端,由于启动时没有找到DHCP服务器,即DHCP服务器宕机或者无法响应,该主机为了能够通信,自动分配了一个私有IP地址。17 项目九 跳板与痕迹清除l3.审核策略的设置。l步骤1 Window
9、s日志中有什么日志和审核策略有很大关系,选择“开始”“程序”“管理工具”“本地安全策略”菜单命令,打开“本地安全设置”窗口,如图9-16所示。图9-16“本地安全设置”窗口18 项目九 跳板与痕迹清除l步骤2 在图9-16中,单击窗口左侧树状目录“安全设置”“本地策略”“审核策略”结点,在窗口右边将显示当前的审核策略,如图9-17所示。图9-17 审核策略窗口19 项目九 跳板与痕迹清除l步骤3 在图9-17中,双击“审核登录事件”选项,打开“审核登录事件”属性对话框,选中“成功”和“失败”复选框,然后单击“应用”、“确定”按钮,则将对用户登录事件进行审核,如图9-18所示。图9-18 开启审
10、核登录事件20 项目九 跳板与痕迹清除l设置完成后,一旦用户登录计算机将产生日志,在事件查看器中就可以看到用户登录的日志。采用同样的步骤,打开对象访问的审核,结果如图9-19所示。图9-19 打开对象访问的审核21 项目九 跳板与痕迹清除l步骤4 创建C:test.txt文件,然后右键单击文件,选择“属性”“安全”“高级”“审核”“编辑”“添加”,将everyone用户添加到对象中,然后选中“成功”列,结果如图9-20所示。图9-20 添加文档审核22 项目九 跳板与痕迹清除l步骤5 依次单击“确定”按钮,并对C:test.txt文件进行修改,并保存。然后在“事件查看器”“Windows日志”
11、“安全”中便可查看到相关访问日志,如图9-21所示。图9-21 查看访问事件日志23 项目九 跳板与痕迹清除l4.IIS日志的查看与设置。l步骤1 在Windows Server 2008上通过“服务器管理器”“角色”“添加角色”可以安装Web服务器(IIS),架设Web和FTP服务器。默认情况下,这两个服务器都已经开启了日志功能,如图9-22所示。24 项目九 跳板与痕迹清除图9-22 IIS管理器对话框25 项目九 跳板与痕迹清除l步骤2 FTP日志和Web日志的默认位置为“C:inetpublogsLogFilesW3SVC1”,日志文件内容如图9-23所示。图9-23 FTP日志和We
12、b日志内容26 项目九 跳板与痕迹清除l在日志中详细的记录了IIS服务访问的时间、IP地址、访问方式、端口号、目的IP、浏览器版本等。l步骤3 在另一台计算机上访问Windows Server 2008的IIS服务,如图9-24所示。然后将Windows Server 2008的IIS服务重新启动,使得本次访问由缓存写入日志中,再查看“C:inetpublogsLogFilesW3SVC1”目录,便可发现本次访问的日志文件,分别如图9-25和图9-26所示。27 项目九 跳板与痕迹清除图9-24 访问IIS服务28 项目九 跳板与痕迹清除图9-25 本次访问产生的日志(1)29 项目九 跳板与
13、痕迹清除图9-26 本次访问产生的日志(2)30 项目九 跳板与痕迹清除l步骤4 在IIS管理器对话框可以对FTP日志和Web日志进行重新启动、禁止等,还可双击“FTP日志”或“日志”图标,对日志目录、编码、日志文件滚动更新进行设置,如图9-27所示。31 项目九 跳板与痕迹清除图9-27 IIS管理器日志属性设置32 项目九 跳板与痕迹清除l5.清除Windows日志。l(1)直接清除Windows日志。l在事件查看器中,右键单击Windows日志各个类别,选择“清除日志”,即可清除相关日志。l(2)使用工具清除Windows日志。l黑客进行攻击时,大多是通过命令行的方式操作控制被攻击者计算
14、机的,图形界面容易被发现,且比较难获得管理员权限,因此很多时候无法使用直接清除Windows日志的方法。此时,可以使用elsave工具进行本地或远程清除日志。33 项目九 跳板与痕迹清除lelsave工具命令格式为:lelsave-s server-l log-F file-C-q,l其中各个参数的含义如下:l-s server:指定远程计算机。l-l log:指定日志类型,其中参数“application”为应用程序日志,参数“system”为系统日志,参数“security”为安全日志。l-F file:指定保存日志文件的路径。l-C:清除日志操作,注意要大写。l-q:把错误信息写入日志。
15、l 删除本地计算机的“应用程序”日志命令如下:lelsave-l application-C34 项目九 跳板与痕迹清除l删除远程计算机的日志需要事先获得远程计算机上的管理员密码,命令如下:lnet use 192.168.137.134ipc$123456/user:administratorl/以上命令中“123456”是计算机192.168.137.134上的用户“administrator”的密码lelsave.exe-s 192.168.137.134-l application-Clelsave.exe-s 192.168.137.134-l security-Clelsave.e
16、xe-s 192.168.137.134-l system-C35 项目九 跳板与痕迹清除l步骤1 攻击者通过上传技术,将elsave工具上传到被攻击者计算机C盘中,然后在命令行提示符中即可使用该命令行工具,如图9-28所示。图9-28 查看elsave工具的使用36 项目九 跳板与痕迹清除l步骤2 在命令行提示符中使用命令“elsave l application-C”删除应用程序日志,删除后结果如图9-29所示。图9-29 使用命令删除应用程序日志37 项目九 跳板与痕迹清除l此外,当攻击者获得远程计算机上的管理员用户名和密码后,还在攻击者计算机上使用命令“net use 192.168.
17、137.134ipc$123456/user:administrator”远程访问被攻击者计算机,然后使用下列命令远程删除计算机的日志:(1)删除应用程序日志:elsave.exe-s 192.168.137.134-l application C(2)删除安全日志:elsave.exe-s 192.168.137.134-l security-C(3)删除系统日志:elsave.exe-s 192.168.137.134-l system C。38 项目九 跳板与痕迹清除l步骤3 在Windows Server 2008中,还可使用系统自带的wevtutil工具删除日志,使用方式如图9-30
18、所示。图9-30 wevtutil工具使用方式39 项目九 跳板与痕迹清除lwevtutil工具清除日志命令如下:lwevtutil ell/以上命令可以显示各个日志的名字lwevtutil cl applicationlwevtutil cl security40 项目九 跳板与痕迹清除l6.清除IIS日志。l清除IIS日志可以在日志目录中直接删除日志文件,但是将日志文件全部删除也容易被察觉到,因此攻击者需要选择性的删除日志,此时可以使用工具CleanIISLog进行清除。它可以指定清除哪个IP的日志,命令格式如下:lCleanIISLog LogFile CleanIPl其中各个参数的含义
19、如下:lLogFile:日志文件名。lCleanIP:要清除的IP,“.”表示全部IP。l例如:lCleanIISLog C:inetpublogsLogFilesW3SVC1ex131018.log 192.168.137.134l/以上命令删除ex131018.log日志文件中包含IP地址为192.168.137.134的日志记录41 项目九 跳板与痕迹清除l步骤1 将CleanIISLog工具上传到被攻击者计算机C盘中,在命令提示符中查看该工具的使用,如图9-31所示。图9-31 CleanIISLog工具的使用42 项目九 跳板与痕迹清除l步骤2 删除图9-25中2021年7月17日1
20、8:18产生的那条日志,命令如图9-32所示。再次查看IIS日志文件,如图9-33所示,18:18分产生的日志已被删除。图9-32 删除指定日志43 项目九 跳板与痕迹清除l以上命令删除u_ex210717.log日志文件中包含IP地址为192.168.137.134的日志记录。在删除时,CleanIISLog工具会先关闭w3svc日志服务,然后清除指定记录,再重新打开w3svc日志服务。图9-33 删除指定日志文件后的日志目录44 项目九 跳板与痕迹清除l 7.防范Windows痕迹清除。l (1)上传设备日志。l防范攻击者清除日志的最好办法是把日志发送到日志服务器上,进行统一管理。除非攻击
21、者能同时控制日志服务器,在日志服务器上删除日志,否则攻击者将留下痕迹。有些要求非常高的单位,会把日志立即打印在纸上,这样攻击者也就无法删除了。lWindows 7/Windows Server 2008系统本身提供日志订阅功能,可以把日志发送另外的Windows 7/Windows Server 2008计算机上,以便集中化管理。l业界大多采用Syslog来集中管理日志,Syslog是一种工业标准的协议,可用来记录设备的日志。Linux系统、路由器、交换机等网络设备大多支持,遗憾的是Windows并不支持,因此需要安装第三方软件把Windows的日志转为Syslog日志格式,再发送到Syslo
22、g服务器上,进行统一管理和分析。l该部分所使用的IP地址规划如表9-1所示。45 项目九 跳板与痕迹清除表9-1 防范Windows痕迹清除任务IP地址规划设备名称设备角色操作系统IP地址Windows Server 2008-1Syslog服务器Windows Server 2008192.168.137.134/24Windows Server 2008-2客户端Windows Server 2008192.168.137.135/2446 项目九 跳板与痕迹清除l步骤1 在Windows Server 2008-1上安装Kiwi_Syslog_Server_9.3.0,安装过程比较简单,
23、全部单击“Next”即可,安装完成后,打开界面如图9-34所示。由于使用的是试用版,因此会提醒30天的试用期。图9-34 Syslog软件界面47 项目九 跳板与痕迹清除l步骤2 在Windows Server 2008-2上安装NTSyslog2软件,安装过程比较简单,全部单击“Next”即可,安装完成后,打开界面如图9-35所示。图9-35 NTSyslog2软件界面48 项目九 跳板与痕迹清除l知识链接:NTsyslog是一款免费软件,可以作为一项服务存在于Windows NT操作系统,将所有的系统、安全、应用事件格式化成一行,然后发送到syslog服务器。l步骤3 在图9-35中,点击
24、“Syslog Daemons”,设置Syslog服务器地址。如果有备份日志服务器,可以同时填写主服务器地址和备份服务器地址,增强可靠性;如果没有备份日志服务器,则只填一个主服务器地址也可以,如图9-36所示。图9-36 设置Syslog服务器地址49 项目九 跳板与痕迹清除l步骤4 在图9-35中,通过“EventLog”选项选择上传到日志服务器的日志类型,包括应用程序日志、DNS服务器日志、系统硬件事件日志、浏览器日志、关键管理服务日志等,这些日志类型与“事件查看器”中的Windows日志类型一致。点击“EventLog”键,在设置界面的“Facility”选项中可以选择Windows以什
25、么设备名发送日志,以便区分出是哪台设备发送的日志;在“Severity”选项可以选择将Windows日志转为Syslog日志的哪个严重等级,包括(1)警报(2)严重(3)错误(4)警告(5)注意(6)信息(7)排错,如图9-37所示。50 项目九 跳板与痕迹清除图9-37 设置传输的日志类型及日志转换后的类型51 项目九 跳板与痕迹清除l步骤5 以上设置完成后,在图9-35中,点击“Start Service”启动服务,然后在Windows Server 2008-1上等待Windows Server 2008-2将日志发送过来。由于日志传输时间可能较慢,可以在Windows Server 2
26、008-2通过一些操作制造一些事件日志,稍后在Windows Server 2008-1上即可看到相关日志,如图9-38所示。52 项目九 跳板与痕迹清除图9-38 客户端将日志传输到日志服务器53 项目九 跳板与痕迹清除l知识链接:除了可以将Windows计算机上的日志传输到日志服务器,还可以将网络设备如路由器上的日志传输到日志服务器上,在传输前注意两者必须保持系统时间一直,以免因时间不同步无法上传。54 项目九 跳板与痕迹清除l(2)修改日志文件的存放目录。l在Windows Server 2008 R2操作系统中,Windows日志文件的默认保存路径是“C:WindowsSystem32
27、winevtLogs”,可以通过修改注册表来改变它的存储目录,增强对日志的保护。l步骤1 在Windows Server 2008 R2操作系统中,选择“开始”“运行”命令,在对话框中输入“Regedit”命令,打开注册表编辑器,依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceseventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志,如图9-39所示。55 项目九 跳板与痕迹清除图9-39 注册表编辑器中日志数据的默认存放目录56 项目九 跳板与痕迹清除l步骤2
28、 以应用程序日志为例,将其转移到“C:application”目录下。选中Application子项,在其中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32winevtLogsApplication.evtx”,将其修改为“C:applicationAppEvent.Evtx”,如图9-40所示。图9-40 修改应用程序日志文件的路径57 项目九 跳板与痕迹清除l步骤3 在C盘新建“C:application”目录,将“C:WindowsSystem32winevtLogsAppEvent.Evtx”复制到该目录下,然后重新启动系统,完成对应用程序日志文
29、件存放目录的修改。其他类型的日志文件路径的修改方法相同,在不同的子项下进行相应的操作即可。l(3)设置文件的访问权限。l修改了日志文件的存放目录后,日志依然还存在被清空的风险。这时,针对NTFS文件系统格式的操作系统可以通过修改文件的访问权限进行防御。l步骤1 在“C:application”目录上单击鼠标右键,打开文件夹“属性”对话框,然后选择“安全”选项卡,如图9-41所示。58 项目九 跳板与痕迹清除图9-41 应用程序日志文件夹“属性”对话框59 项目九 跳板与痕迹清除l步骤2 在图9-41中,依次点击“编辑”“添加”“高级”“立即查找”,在账号列表框中选中“Everyone”账号,只赋予该对象“读取”权限,如图9-42所示。然后单击“应用”“确定”,这样当用户清除应用程序日志时,就会弹出错误对话框,没有权限进行删除。其他日志可以进行相应的操作。60 项目九 跳板与痕迹清除图9-42 设置应用程序日志文件的权限61 项目九 跳板与痕迹清除THANKS