记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

使用grep解析VPNFilter IoC的Syslog

2018-05-27 12:20

Talos Intelligence发现了一个名为“VPNFilter”的重大恶意软件爆发事件,如果您像我们一样是网络管理员,那么您需要检查网络系统日志以了解IoC的情况。

这个快速而肮脏的步骤向您展示了如何根据从思科发布的相关IoC解析网络系统日志。

要求:

IoC IP  [从Talos Intelligence获得]

您的网络原始系统日志数据

获取ICO IP

打开一个终端,从这里https://blog.talosintelligence.com/2018/05/VPNFilter.html获取相关的IoC IP,并将其粘贴到临时文件中,将该文件保存到:

/tmp/vpnfilterc2.txt

与VPNFilter的C2关联的IP地址

91.121.109.209
217.12.202.40
94.242.222.68
82.118.242.124
46.151.209.33
217.79.179.14
91.214.203.144
95.211.198.231
195.154.180.60
5.149.250.54
91.200.13.76
94.185.80.82
62.210.180.229

找到您的防火墙系统日志数据

cd到您的日常防火墙系统日志所在的位置。例如,我们将使用/var/log/firewall/2018/05/23

执行“ls -a”来确认系统日志文件的名称。对于这个例子,我的日志名称是“syslog.log”

根据与VPNFilter IoC关联的IP列表解析您的系统日志数据

所以,现在我们已经有了一个关联的IP列表,接下来我们将解析我们的系统日志数据,并希望这些IP都不会出现在我们的防火墙的系统日志流中。

· grep参数

· -r =递归

· -i =忽略大小写

· -l =列出文件名而不是行

· -f =使用文件的内容而不是字符串

首先解析一个系统日志:

grep -rilf /tmp/vpnfilterc2.txt * / syslog.log

现在做一个递归grep:

grep -rilf /tmp/vpnfilterC2.txt *

如果您在网络系统日志中找到任何ICO的IP,现在应该立马做应急响应。

如若转载,请注明原文地址: http://www.hackdig.com/05/hack-52051.htm

知识来源: www.4hou.com/technology/11801.html

阅读:131957 | 评论:0 | 标签:技术 grep VPNFilter IoC 恶意软件

想收藏或者和大家分享这篇好文章→复制链接地址

“使用grep解析VPNFilter IoC的Syslog”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云