应急响应是什么
随着信息化的高速发展,全球每年发生的网络安全事件不计其数,组织面临的安全威胁也逐年递增,当客户系统遭
受病毒传播、网络攻击、黑客入侵,这类安全事件从而导致企业声誉受损,信息业务中断、系统宕机、网络瘫痪,数据窃取,并对企业和业务运行产生直接或间接的负面影响时,由信息安全专家提供入侵原因分析、业务损失评估、系统加固建议、以及黑客溯源取证的安全服务,从而减少因黑客入侵带来的损失。
应急响应事件分类
| 应用层 | 主机层 | 网络层 | 数据层 |
| 数据篡改 | 挖矿 | DDoS攻击 | 数据库信息泄露 |
| 挂马 | 对外DDoS | CC攻击 | 内部人员 |
| webshell | 勒索病毒 | 劫持 | …… |
导致应急事件的原因
- 大型企业的业务模式多,对外暴露的服务也多,由于对外暴露的服务多,导致被攻击的面也会扩大
- 黑产团伙每天都会利用秒杀型漏洞批量扫描全网IP
- 除了做黑产的大哥们,还有可能会遇到传说中的APT
我们应急的目的是什么
应急响应的目标主要是为了阻断黑客攻击,对整个安全事件发生的过程进行还原,找到问题发生的根源,并采取对应的补救措施,避免类似事件将来再次发生。
1.判断这次应急是否是被成功入侵的安全事件
2.阻断黑客攻击
3.找出攻击者的第一入口点,提取恶意样本
4.帮助客户梳理攻击者的攻击路线,提供漏洞修复方案
应急响应流程
![图片[1]-【网安面试】应急响应-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/05/d2b5ca33bd203456.png)
- 事件判断: 判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DDoS等等。
- 临时处置: 给出客户临时处置建议,断网隔离,保护现场环境。
- 信息收集分析: 收集客户信息和中毒主机信息,包括样本,日志分析、进程分析、启动项分析、样本分析。
- 清理处置: 直接杀掉进程,删除文件,打补丁,抑或是修复文件。
- 产出报告: 整理并输出完整的安全事件报告。
攻击者常利用的web漏洞
![图片[2]-【网安面试】应急响应-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/05/d2b5ca33bd203852.png)
攻击者常利用的组件漏洞
![图片[3]-【网安面试】应急响应-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/05/d2b5ca33bd203931.png)
应急响应处置思路
![图片[4]-【网安面试】应急响应-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/05/d2b5ca33bd204140.png)
应急前沟通
- 现场现象是什么?如何发现的?(依据是什么)?
- 什么时候发现的?
- 目前是否有做物理隔离(断网)?
- 受害机器是哪个?
- 受害服务有几台?(1台/N台)
- 最先发现是哪台?
- 这台服务器对外有哪些服务?
- 这台服务器于其他机器是否处于同一个内网?
- 操作系统类型﹖是否有公网映射业务﹖远程管理方式?网络边界有没有流量监控设备﹖主机侧是否有EDR等安全设备
实战攻击场景下的应急响应
Web攻击事件
- 相关表现:页面被篡改、恶意推广、黑词黑页、webshell
- 相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容、拖库、内网沦陷等
- 排查要点:能否多个环境下复现异常现象、确定相关资产是否存在、恶意文件是否确实存在于服务器上
- 操作要点:备份文件,webshell后门查杀、web日志分析、web中间件缓存处理、web中间件配置检查、重启web中间件、服务器后门检查;
- 防护措施:加固相关web应用,修改相关系统的所有用户密码
链路劫持
- 相关表现:区域性服务不可用或返回异常内容
- 相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容等
- 排查要点:能否多个环境下复现异常现象;确定相关资产是否存在;恶意文件是否确实存在于服务器上
- 操作要点:跨地区、运营商进行测试,确定受影响范围;在能复现的环境中判断是DNS劫持还是HTTP劫持
- 防护措施:重要业务部署https
代理隧道
- 相关表现:持续性或间断性外连行为,通常为tcp协议;对内网多个主机有访问行为
- 相关危害:作为跳板机攻击其他内网资产
- 排查要点:确定存在代理隧道的跳板机,通常为某时间段内集中访问内网多种资源的机器、判断隧道类型
- 防护措施:完善内网acl,服务器按业务需要通过白名单策略访问外网
替换系统命令
- 相关表现:无明显表现
- 相关危害:将后门、木马持久化在系统中;窃取账号、密码等重要凭证
- 排查要点:使用包管理自带的包校验功能验证文件完整性;分析恶意文件行为,确定影响面
- 操作要点:使用静态链接的busybox;重新安装被替换的包
命令:
rpm - Va ---> centos
dpkg --verify ---> ubuntuld.so. preload动态链接库劫持
- 相关表现:无明显表现
- 相关危害:将后门、木马持久化在系统中;窃取账号、密码等重要凭证
- 排查要点:检查/etc/1d.so.preload,1d.so(如/1ib/x86_64-linux-gnu/1d-2.27.so)
- 操作要点:使用静态链接的busybox;重启被注入恶意模块的进程,必要时直接重启系统
内核态rootkit
- 相关表现:无明显表现
- 相关危害:将后门、木马持久化在系统中;隐藏文件、进程等信息
- 排查要点:确定是否存在无法使用常规命令查看的文件、进程;
- 操作要点:使用tyton内核态rootkit检测工具检测;检查/etc/modules是否有未知的内核模块
计划任务
- 相关表现:特定时间间隔触发木马、后门、网络链接、DNS请求、篡改页面等行为
- 相关危害:将后门、木马持久化在系统中;周期性篡改页面、拉取数据等
- 排查要点:判断是否存在周期性出现的异常现象,检查/var/spool/cron/crontabs/,/etc/cron.*等常用计划任务配置文件
- 操作要点:停止计划任务服务后再操作;注意辨别利用
\r回车符的障眼法小技巧
远控木马
- 相关表现:有持续或间断性的对外网络链接或DNS请求等通信行为
- 相关危害:窃取系统资料、作为跳板进一步攻击内网其他机器
- 排查要点:关注tcp、udp、icmp等一切网络行为,检查注册表、服务、开机目录、计划任务等一系列常见的持久化点
- 操作要点:检查网络连接,以及IDS设备上的异常远控告警
「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持!
© 版权声明
安全小天地的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
安全小天地拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客,即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail:anquanclub@foxmail.com
THE END
请登录后查看评论内容