【网安面试】应急响应

应急响应是什么

随着信息化的高速发展,全球每年发生的网络安全事件不计其数,组织面临的安全威胁也逐年递增,当客户系统遭
受病毒传播、网络攻击、黑客入侵,这类安全事件从而导致企业声誉受损,信息业务中断、系统宕机、网络瘫痪,数据窃取,并对企业和业务运行产生直接或间接的负面影响时,由信息安全专家提供入侵原因分析、业务损失评估、系统加固建议、以及黑客溯源取证的安全服务,从而减少因黑客入侵带来的损失。

应急响应事件分类

应用层 主机层 网络层 数据层
数据篡改 挖矿 DDoS攻击 数据库信息泄露
挂马 对外DDoS CC攻击 内部人员
webshell 勒索病毒 劫持 ……

导致应急事件的原因

  • 大型企业的业务模式多,对外暴露的服务也多,由于对外暴露的服务多,导致被攻击的面也会扩大
  • 黑产团伙每天都会利用秒杀型漏洞批量扫描全网IP
  • 除了做黑产的大哥们,还有可能会遇到传说中的APT

我们应急的目的是什么

应急响应的目标主要是为了阻断黑客攻击,对整个安全事件发生的过程进行还原,找到问题发生的根源,并采取对应的补救措施,避免类似事件将来再次发生。

1.判断这次应急是否是被成功入侵的安全事件
2.阻断黑客攻击
3.找出攻击者的第一入口点,提取恶意样本
4.帮助客户梳理攻击者的攻击路线,提供漏洞修复方案

应急响应流程

图片[1]-【网安面试】应急响应-安全小天地
  • 事件判断: 判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DDoS等等。
  • 临时处置: 给出客户临时处置建议,断网隔离,保护现场环境。
  • 信息收集分析: 收集客户信息和中毒主机信息,包括样本,日志分析、进程分析、启动项分析、样本分析。
  • 清理处置: 直接杀掉进程,删除文件,打补丁,抑或是修复文件。
  • 产出报告: 整理并输出完整的安全事件报告。

攻击者常利用的web漏洞

图片[2]-【网安面试】应急响应-安全小天地

攻击者常利用的组件漏洞

图片[3]-【网安面试】应急响应-安全小天地

应急响应处置思路

图片[4]-【网安面试】应急响应-安全小天地

应急前沟通

  1. 现场现象是什么?如何发现的?(依据是什么)?
  2. 什么时候发现的?
  3. 目前是否有做物理隔离(断网)?
  4. 受害机器是哪个?
  5. 受害服务有几台?(1台/N台)
  6. 最先发现是哪台?
  7. 这台服务器对外有哪些服务?
  8. 这台服务器于其他机器是否处于同一个内网?
  9. 操作系统类型﹖是否有公网映射业务﹖远程管理方式?网络边界有没有流量监控设备﹖主机侧是否有EDR等安全设备

实战攻击场景下的应急响应

Web攻击事件

  • 相关表现:页面被篡改、恶意推广、黑词黑页、webshell
  • 相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容、拖库、内网沦陷等
  • 排查要点:能否多个环境下复现异常现象、确定相关资产是否存在、恶意文件是否确实存在于服务器上
  • 操作要点:备份文件,webshell后门查杀、web日志分析、web中间件缓存处理、web中间件配置检查、重启web中间件、服务器后门检查;
  • 防护措施:加固相关web应用,修改相关系统的所有用户密码

链路劫持

  • 相关表现:区域性服务不可用或返回异常内容
  • 相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容等
  • 排查要点:能否多个环境下复现异常现象;确定相关资产是否存在;恶意文件是否确实存在于服务器上
  • 操作要点:跨地区、运营商进行测试,确定受影响范围;在能复现的环境中判断是DNS劫持还是HTTP劫持
  • 防护措施:重要业务部署https

代理隧道

  • 相关表现:持续性或间断性外连行为,通常为tcp协议;对内网多个主机有访问行为
  • 相关危害:作为跳板机攻击其他内网资产
  • 排查要点:确定存在代理隧道的跳板机,通常为某时间段内集中访问内网多种资源的机器、判断隧道类型
  • 防护措施:完善内网acl,服务器按业务需要通过白名单策略访问外网

替换系统命令

  • 相关表现:无明显表现
  • 相关危害:将后门、木马持久化在系统中;窃取账号、密码等重要凭证
  • 排查要点:使用包管理自带的包校验功能验证文件完整性;分析恶意文件行为,确定影响面
  • 操作要点:使用静态链接的busybox;重新安装被替换的包

命令:

rpm - Va       ---> centos
dpkg --verify  ---> ubuntu

ld.so. preload动态链接库劫持

  • 相关表现:无明显表现
  • 相关危害:将后门、木马持久化在系统中;窃取账号、密码等重要凭证
  • 排查要点:检查/etc/1d.so.preload,1d.so(如/1ib/x86_64-linux-gnu/1d-2.27.so)
  • 操作要点:使用静态链接的busybox;重启被注入恶意模块的进程,必要时直接重启系统

内核态rootkit

  • 相关表现:无明显表现
  • 相关危害:将后门、木马持久化在系统中;隐藏文件、进程等信息
  • 排查要点:确定是否存在无法使用常规命令查看的文件、进程;
  • 操作要点:使用tyton内核态rootkit检测工具检测;检查/etc/modules是否有未知的内核模块

计划任务

  • 相关表现:特定时间间隔触发木马、后门、网络链接、DNS请求、篡改页面等行为
  • 相关危害:将后门、木马持久化在系统中;周期性篡改页面、拉取数据等
  • 排查要点:判断是否存在周期性出现的异常现象,检查/var/spool/cron/crontabs/,/etc/cron.*等常用计划任务配置文件
  • 操作要点:停止计划任务服务后再操作;注意辨别利用\\r回车符的障眼法小技巧

远控木马

  • 相关表现:有持续或间断性的对外网络链接或DNS请求等通信行为
  • 相关危害:窃取系统资料、作为跳板进一步攻击内网其他机器
  • 排查要点:关注tcp、udp、icmp等一切网络行为,检查注册表、服务、开机目录、计划任务等一系列常见的持久化点
  • 操作要点:检查网络连接,以及IDS设备上的异常远控告警
------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞5 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容