应急迷雾
工作和学习中的一些总结,纯手打
不对的地方,望求指正
当客户发送应急需求时,它们以为发生了黑客入侵事件,但实际情况并不一定。有四种情况,首先是内部作案、其次是系统发生的故障在信息安全工作经常关心的位置、还有就是安全设备的误报、当然还有情况是黑产的人真的来做客了。据我了解更多的情况是前面三种情况。
- 数据库权限被改了,多了很多查询记录,入口是个人终端被钓鱼,终端系统被重置
- 域控发现大量的超高频率4771事件,多客户端被频繁锁定,解锁后依然频繁被锁
- HIDS报域控中毒,连接境外恶意域名
以上就是前三种情况的举例,就第一个例子,也许你能推测出来事情的真相,但后两个你应该是非法评估的,因为我并没有把关键信息说出来,这些信息在实际生产中也许,你也能听到,但往往被忽视,因为它们与其他无关信息混杂一起浮在表面。
- 关键点是系统被重置,个人终端重置系统是需要物理手段进入bios才可能的,除非硬件有漏洞,办公笔记本是品牌的近年的型号。所以我们推测是本人作案,但是缺乏直接证据,事情影响也不大,甲方领导也不想搞大,没有立案。
- 客户端解锁定后,用户尝试正确密码一样认证失败,就这个事情就能推测并非恶意脚本爆破。但仍小概率可能是脚本恶意锁定,稳妥起见最后交给win的供应商去联系美国人了,这件事的最后结论是配置错误或其他软件版本冲突导致,总之也没有确定。
- 第三个事更有意思,至少对我而言。因为连接恶意域名的mac地址在域控机器上一看,就是我自己,我说是误报,我肯定没有点击什么乱七八糟的连接,然后同事就说我安装的程序有问题,没办法,我一个脚本小子当然安装各种程序,我检查了一圈,删掉了很多不能肯定的东西,但是下午又告警,我又删一圈,还告警,最后只剩下公司买的正版软件,依然告警。本来可以确定是误报了,直接加白就行,但是好奇心不允许就这样算了。后来发现这个所谓的恶意域名是burp的一个模块插件请求出去的。找到它也很废功夫,这个域名下的公司是一个的另一个域名的IP的另一个域名在谷歌上发现了与burp的业务有关,最后在burp的帮助文档中找到了这个所谓的恶意域名。
黑产的花样也很多,我讲下,勒索、暗链。都是老生常谈,没什么可说的。但水平有限,不说这些就没什么可说的了
勒索:
主流的勒索病毒通常有两种操作文件的方式,一种是先加密生成副本文件,然后删除原文件,这种情况下是有可能恢复的。另一种则直接加密覆盖原文件,这种情况下没有勒索者的密钥,几乎是无法恢复的; 不是黑客牛逼,只是因为加密程序使用的算法,AES、 RSA是目前保障信息安全的通用算法。
从加密程序上看,如果能找到黑客的勒索加密程序的漏洞也可能对数据进行恢复,这就是目前大多数免费解密工具的原理。
但大多数情况,没有密钥是无法恢复的。最经济的做法是认栽,恢复最近的备份,溯源黑客的入口,加强整体的信息安全建设,避免二次中招。当然被加密的数据特别重要,又没有备份了,那你懂的。
暗链:
被植入暗链或者被挂马,WAB程序一定是有漏洞,而且被获取shell,重点要排查是否被留后门,查询是否有其他痕迹。
暗链由于实现的方法与目的,不像勒索和其他的问题,那就是暗链多数是监管单位首次发现或者用户发现通报给单位的,被发现时已经距离发生已经很久了。暗链隐蔽还不像挂马直接用网页防篡改一直做内容扫描就能发现,如果没有专门的检测手段,不太容易发现。
不同类型的安全事件,需要排查的东西,往往都是各种日志,看用户和端口等,最后事件的原因也无外乎是弱口令、漏洞无补丁、没有安全设备、相关人员没有安全意识,使用破解版、危险应用、端口直接开放公网,但是不同类型的安全事件,还是有不同的关注重点,蠕虫类的勒索或挖矿,重点是看进程链接任务;挂马和暗链关注的是web日志;
4285
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
