安全运营 -- 100个蓝队溯源技巧(逐步更新)

已于 2025-03-19 22:03:42 修改
阅读量7.4w 收藏 11
点赞数 9
分类专栏: 安全运营 安全运维 网络安全 文章标签: 安全 运维 网络安全
于 2023-12-08 16:44:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leeezp/article/details/133992139
版权
本文分享了安全运营中的蓝队溯源技术,包括Linux下查询所有用户计划任务、排查记录密码的后门及监控Windows安全组成员变化的方法。通过strace监控SSH、分析Windows安全日志及使用ADModule模块查看AD组变更。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 背景

记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后,逐步更新ing)

0x01 linux 查询所有用户计划任务

cat /etc/passwd|cut -f 1 -d : |xargs -I {} crontab -l -u {}

0x02 排查linux记录密码后门

strace 监听ssh来源流量记录密码后门(本机输入的密码记录不到),需要提前安装 strace  

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/sshd.log &)


grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/sshd.log   (正确错误的密码都会记录)

排查的时候可以排查strace进程着手。

0x03 查询windows 安全组成员变化

windows终端事件日志监控指南 - 代码先锋网

通用组、全局组、本地域组的区别

用户已添加到特权组 4728, 4732, 4756 Information windows 安全日志 windows 安全审核

4732

4732(S) A member was added to a security-enabled local group. - Windows Security | Microsoft Learn

4728
A member was added to a security-enabled global group

4756
A member was added to a security-enabled universal group

安装powershell模块: https://github.com/samratashok/ADModule

 使用下面的语句可以查看指定安全组成员创建时间和最后一次修改属性时间:

(Get-ADReplicationAttributeMetadata 用来查看AD组成员变化)

import-module .\Import-ActiveDirectory.ps1
Import-ActiveDirectory
$dn=( get-adgroup "工程部" ).distinguishedname
Get-ADReplicationAttributeMetadata $dn -Server YourDCMain -ShowAllLinkedValues |Where-Object {$_.attributename -eq 'member' } | select FirstOriginatingCreateTime,LastOriginatingChangeTime,AttributeValue   

 然后可以在SIEM平台里查询事件ID找到是哪台机器/帐号进行的操作,查询的时候需要注意用户名是中文的情况可能需要把UPN和中文名同时搜索,4756事件I

最低0.47元/天 解锁文章
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值