应急响应思路分享及案例
0x00 前言
本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!
应急响应流程:
1.响应、保护:查看事件类型、保护第一现场、了解情况(什么操作系统、之前有没有类似的状况)
2.阻断:切断网络、阻断传播、隔离核心资产
3.分析排查:
(1)痕迹分析:日志、流量、样本
(2)行为分析:试着还原攻击流程
(3)对已知漏洞排查
(4)查看系统基本信息:windows查看补丁信息、linux查看系统arp表uname -a
(5)异常连接排查:
Windows下用netstat -ano|findstr ESTABLISH查看可疑的进程;
Linux下用lsof -i列出所有的tcp和udp进程,列出所有的端口及进程用netstat -antlp
(6)异常进程排查:
windows:命令tasklist|findstr<key>列出本地或计算机上所有进程,再用wmic process|findstr “”查看进程路径;
linux用ps -aux显示进程相关信息,用top显示内存和cpu,对某个进程进行查找ps -ef|grep
(7)异常账号排查:
windows下用lusrmgr.msc显示用户组和账户;
linux用w查看utmp日志,last查看历史登录记录,lastlog查看用户最后登录时间,lastb显示用户错误登录记录,删除用户 usermod -L user
(8)异常文件分析:
windows:%UserProfile%Recent查看recent相关文件,分析最近被打开的可疑文件;
linux:stat etc/passwd分析文件日期,find ./ mtime 0 -name “*.php" 查看24小时内的被修改的php文件,ls -alt /tmp/查看敏感目录文件
(9)启动项排查:
windows:msconfig查看启动项
linux:more /etc/rc.local文件
(10)计划任务
windows:taskschd.msc查看计算任务
linux:crontab -l
(11)日志排查
4.清除
5.加固
常见的应急响应
蠕虫病毒:
定义:一种自包含的程序,每入侵到新的计算机就会进行复制自身并执行
特点:服务器不断向外网发起主动连接等
应急响应:
1.将感染病毒的主机从内网隔离
2.使用D盾协助查杀端口连接情况,通过端口异常跟踪进程ID
3.全盘扫描,定位异常文件
4.使用在线病毒工具对异常文件扫描,查看感染哪种蠕虫病毒
5.关闭异常端口、清除文件、使用专用病毒工具对服务器进行清查
网页篡改:
类型:明显篡改、隐藏式
原理:明显的网页篡改即攻击者可炫耀自己的技术技巧,或表明自己的观点,如之前的某中学官网被黑事件;隐藏式篡改一般是将被攻击网站的网页植入链接色情、诈骗等非法信息的链接中,以通过灰黑色产业牟取非法经济利益。
应急响应:
1.查找近段时间内被篡改的文件或者新增的文件,查看被篡改文件或新增文件的最后修改时间,确定是否为自己修改或新增
2.打开被篡改的文件,检查里面有无新增恶意代码或被篡改了其他内容
3.如果被篡改文件没被修改,就说明可能被篡改的内容被注入数据库中,网站有注入漏洞,先把注入漏洞补上,在把被注入到数据库的内容清除
勒索病毒:
原理:勒索病毒,是一种伴随数字货币兴起的病毒木马,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。
特点:中毒的业务系统无法访问、文件后缀被篡改、勒索信展示等
应急响应:
1.隔离被感染的服务器/主机
2.排查业务系统
3.利用留下的勒索信息,确定勒索病毒的种类,再进行溯源分析
4.处置勒索病毒:
(1)异常文件检查并清除
(2)补丁检查,没补丁打补丁
(3)对账号进行排查,删除可疑账号
(4)异常进程、连接排查,杀掉可疑进程,断开异常连接
(5)计划任务排查
(6)对网络流量进行排查
5.清除加固加安全设备
挖矿病毒:
特点: 利用感染主机与挖矿域名连接进行挖矿,感染主机出现主机卡顿和CPU占用高等现象
应急响应:
1.隔离主机,阻断传播
2. top命令查看CPU占用 ,查看CPU占用较高的进程
3. 通过PID获得对应进程目录和进程, 定位进程目录或文件
4. 通过沙箱分析文件,确定病毒种类和病毒行为
5.对异常文件进行分析
6. 排查计划任务
7. 排查ssh公钥
8. 通过/etc/rc.local排查主机启动项
9.排查账户
10. 查看主机日志
11. 查看定时任务
12.清除加固
比较简单,轻喷
封面借鉴:应急响应的整体思路和基本流程
- 点赞
- 收藏
- 关注作者
评论(0)