步骤流程:
1.打开一个加密的webshell,演示用的样本来源于国外名为Solevisible/ALFA TEAM黑客组织制作的免杀webshell(https://telegram.me/solevisible)
2.将此webshell上传至Virustotal显示检测不出来
3.访问“攻击环境”一栏中三个有漏洞的Web服务器,演示webshell攻击方法。如自动化攻击脚本,一句话木马等对web环境进行持久访问。
4.进入攻击环节,开始采集攻击日志数据
5.进入第三个有上传漏洞的网页Wordpress
6.利用图片管理插件中文件上传的漏洞(https://www.exploit-db.com/exploits/34514),上传webshell并访问
7.执行ATT&CK矩阵中环境探索、敏感文件获取等恶意指令
8.结束攻击,结束采攻击集日志数据
9.将日志数据导入检测程序,开始检测
10.成功检测webshell,还原取证步骤7执行的恶意指令,并能追溯恶意指令的当前进程和父进程及进程之间的关联信息。
#浙江省网络空间安全研究中心#
http://www.ics2.cn/#/
