应急响应是什么
随着信息化的高速发展,全球每年发生的网络安全事件不计其数,组织面临的安全威胁也逐年递增,当客户系统遭
受病毒传播、网络攻击、黑客入侵,这类安全事件从而导致企业声誉受损,信息业务中断、系统宕机、网络瘫痪,数据窃取,并对企业和业务运行产生直接或间接的负面影响时,由信息安全专家提供入侵原因分析、业务损失评估、系统加固建议、以及黑客溯源取证的安全服务,从而减少因黑客入侵带来的损失。
应急响应事件分类
| 应用层 | 主机层 | 网络层 | 数据层 |
| 数据篡改 | 挖矿 | DDoS攻击 | 数据库信息泄露 |
| 挂马 | 对外DDoS | CC攻击 | 内部人员 |
| webshell | 勒索病毒 | 劫持 | …… |
导致应急事件的原因
- 大型企业的业务模式多,对外暴露的服务也多,由于对外暴露的服务多,导致被攻击的面也会扩大
- 黑产团伙每天都会利用秒杀型漏洞批量扫描全网IP
- 除了做黑产的大哥们,还有可能会遇到传说中的APT
我们应急的目的是什么
应急响应的目标主要是为了阻断黑客攻击,对整个安全事件发生的过程进行还原,找到问题发生的根源,并采取对应的补救措施,避免类似事件将来再次发生。
1.判断这次应急是否是被成功入侵的安全事件
2.阻断黑客攻击
3.找出攻击者的第一入口点,提取恶意样本
4.帮助客户梳理攻击者的攻击路线,提供漏洞修复方案
应急响应流程
![图片[1]-【网安面试】应急响应-安全小天地](https://img.godyu.com/2023/12/20231226124613101.png?imageView2/0/format/webp/q/75)
- 事件判断: 判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DDoS等等。
- 临时处置: 给出客户临时处置建议,断网隔离,保护现场环境。
- 信息收集分析: 收集客户信息和中毒主机信息,包括样本,日志分析、进程分析、启动项分析、样本分析。
- 清理处置: 直接杀掉进程,删除文件,打补丁,抑或是修复文件。
- 产出报告: 整理并输出完整的安全事件报告。
攻击者常利用的web漏洞
![图片[2]-【网安面试】应急响应-安全小天地](https://img.godyu.com/2023/12/20231226204616532.png?imageView2/0/format/webp/q/75)
攻击者常利用的组件漏洞
![图片[3]-【网安面试】应急响应-安全小天地](https://img.godyu.com/2023/12/20231226204622871.png?imageView2/0/format/webp/q/75)
应急响应处置思路
![图片[4]-【网安面试】应急响应-安全小天地](https://img.godyu.com/2023/12/20231226204625323.png?imageView2/0/format/webp/q/75)
应急前沟通
- 现场现象是什么?如何发现的?(依据是什么)?
- 什么时候发现的?
- 目前是否有做物理隔离(断网)?
- 受害机器是哪个?
- 受害服务有几台?(1台/N台)
- 最先发现是哪台?
- 这台服务器对外有哪些服务?
- 这台服务器于其他机器是否处于同一个内网?
- 操作系统类型﹖是否有公网映射业务﹖远程管理方式?网络边界有没有流量监控设备﹖主机侧是否有EDR等安全设备
实战攻击场景下的应急响应
Web攻击事件
- 相关表现:页面被篡改、恶意推广、黑词黑页、webshell
- 相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容、拖库、内网沦陷等
- 排查要点:能否多个环境下复现异常现象、确定相关资产是否存在、恶意文件是否确实存在于服务器上
- 操作要点:备份文件,webshell后门查杀、web日志分析、web中间件缓存处理、web中间件配置检查、重启web中间件、服务器后门检查;
- 防护措施:加固相关web应用,修改相关系统的所有用户密码
链路劫持
- 相关表现:区域性服务不可用或返回异常内容
- 相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容等
- 排查要点:能否多个环境下复现异常现象;确定相关资产是否存在;恶意文件是否确实存在于服务器上
- 操作要点:跨地区、运营商进行测试,确定受影响范围;在能复现的环境中判断是DNS劫持还是HTTP劫持
- 防护措施:重要业务部署https
代理隧道
- 相关表现:持续性或间断性外连行为,通常为tcp协议;对内网多个主机有访问行为
- 相关危害:作为跳板机攻击其他内网资产
- 排查要点:确定存在代理隧道的跳板机,通常为某时间段内集中访问内网多种资源的机器、判断隧道类型
- 防护措施:完善内网acl,服务器按业务需要通过白名单策略访问外网
替换系统命令
- 相关表现:无明显表现
- 相关危害:将后门、木马持久化在系统中;窃取账号、密码等重要凭证
- 排查要点:使用包管理自带的包校验功能验证文件完整性;分析恶意文件行为,确定影响面
- 操作要点:使用静态链接的busybox;重新安装被替换的包
命令:
rpm - Va ---> centos
dpkg --verify ---> ubuntuld.so. preload动态链接库劫持
- 相关表现:无明显表现
- 相关危害:将后门、木马持久化在系统中;窃取账号、密码等重要凭证
- 排查要点:检查/etc/1d.so.preload,1d.so(如/1ib/x86_64-linux-gnu/1d-2.27.so)
- 操作要点:使用静态链接的busybox;重启被注入恶意模块的进程,必要时直接重启系统
内核态rootkit
- 相关表现:无明显表现
- 相关危害:将后门、木马持久化在系统中;隐藏文件、进程等信息
- 排查要点:确定是否存在无法使用常规命令查看的文件、进程;
- 操作要点:使用tyton内核态rootkit检测工具检测;检查/etc/modules是否有未知的内核模块
计划任务
- 相关表现:特定时间间隔触发木马、后门、网络链接、DNS请求、篡改页面等行为
- 相关危害:将后门、木马持久化在系统中;周期性篡改页面、拉取数据等
- 排查要点:判断是否存在周期性出现的异常现象,检查/var/spool/cron/crontabs/,/etc/cron.*等常用计划任务配置文件
- 操作要点:停止计划任务服务后再操作;注意辨别利用
\\r回车符的障眼法小技巧
远控木马
- 相关表现:有持续或间断性的对外网络链接或DNS请求等通信行为
- 相关危害:窃取系统资料、作为跳板进一步攻击内网其他机器
- 排查要点:关注tcp、udp、icmp等一切网络行为,检查注册表、服务、开机目录、计划任务等一系列常见的持久化点
- 操作要点:检查网络连接,以及IDS设备上的异常远控告警
THE END
暂无评论内容