应急响应的形式分为远程应急响应服务和本地应急响应服务,一般要求初级会看日志、写流程报告,中级主要就是渗透,高级考察带队伍作战的能力。
应急分类
1.事件分类
Web入侵:挂马、篡改、Webshell撞库
系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
病毒木马:远控、后门、勒索软件
(勒索软件比较复杂,解密是基本不可能,只能通过暗网黑市购买密码。)
信息泄漏:刷库、数据库登录(弱口令)
网络流量:频繁发包、批量请求、DDOS攻击
(扫描内网主机是国内攻击的手法,如果是横向移动必须扫描。条件是拿到了服务器权限,先扫同网段存活主机,扫描445端口然后撞库,如果撞库成功那主机权限就拿到了。)
2.初期看下态势感知、IDS等,如果有报警立马通知相关人员去处理,然后写报告。
举例:恢复加固
医院如果遭受攻击,全医院待机就非常可怕,现在都是智能办公,很少进行纸质留存,如果信息系统故障整个业务都瘫痪了。
如何做应急响应呢
- 确定攻击时间
- 查找攻击线索
- 梳理攻击流程
- 实施解决方案
定位攻击者——(溯源、获取目标木马,IP手机号等等,悄悄地说技术再强也不如圈子人脉广,比如获取目标ID(圈子里的代号)可以在圈子问这样就很快速。 )
入侵信息核实
- 明确入侵网址/主机详情
- 跟踪事件发现人
- 了解事件发生特性
- 核实网络结构或系统框架
- 确定事件发生时间(查看日志、文件创建信息等)
- 知悉事件发生后处理办法
- 记录相关人员联系方法
举个栗子
检查windows安全日志,发现12点42分在登陆日志上发现存在暴力破解行为。于2点10分成功登陆到administrator用户。
3排.查思路
l 文件分析——文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件
l Webshell排查与分析,核心应用关联目录文件分析
l 进程分析——当前活动进程 &远程连接,启动进程&计划任务,服务
l 服务系统信息——环境变量/账号信息/History/系统配置文件
l 日志分析——操作系统日志
4.
- 查看账户信息(net user、cat /etc/passwd )
- 检查补丁情况(Systeminfo、uname -a )
- 查看系统日志(运行-eventvwr )
- 查看注册表/服务(Win)(运行- regedit / services.msc )
- 查看用户连接状况(netstat、 netstat)
- 查看账户登录状况( quser、who / last)
- 搜索近期修改文件(用眼睛/工具(lchangedfiles) find / -ctime -1 -print)
- 查看网站日志(应用服务log目录应用服务log目录)
- 检查数据库修改情况 (数据库日志 )
- 查看进程(任务管理器 ps -aux )
- 检查防护设备日志 (没错,就是查看它的日志)
信息收集 留意
1.在查询用户的过程中要留意隐藏账户的信息HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
2.判断是否为恶意进程或者服务部分可通过描述或者发布者进行判断
Grep /find命令
查找一句话木马(<?php eval($_post[cmd]);?>
假设网站的目录为/app/website/,我们需要查看该目录下是否包含该形式的一句话木马文件:
方法1:
$ grep -i –r eval\(\$_post /app/website/*
其中-i表示不区分大小写,-r表示搜索指定目录及其子目录
方法2:
$find /app/website/ -type f|xargs grep eval\(\$_post
xargs 将find搜索出的文件名称变成 grep后面需要的参数
本次分享的内容为安全牛课堂的应急响应公开课,课程配有作业:木马清理过程(含思路),https://www.aqniukt.com/goods/show/2200?targetId=15680&preview=0,目前为限免课程,0元即可学习哦。
发表评论
您还未登录,请先登录。
登录