应急响应实战

最新推荐文章于 2024-05-20 18:30:21 发布

itboy_sz

最新推荐文章于 2024-05-20 18:30:21 发布

阅读量906

点赞数 1

文章标签：网络安全运维

本文链接：https://blog.csdn.net/itboy_szjj/article/details/130877299

版权

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

前言

提示：这里可以添加本文要记录的大概内容：

随着护网越来越近，要了解的知识技能也越来越多，护网很多情况下是对发现的攻击事件进行判断、应急、溯源、取证等。首先面对各种各样的安全事件，该如何处理？？

一、什么是应急响应？

应急响应是指一个组织为了应付各种意外事件的发生所做的准备以及在事件发生之后所采取的措施。用大白话说就是别人攻击你了，你如何把这个攻击还原，如何去处理等，这就是应急响应。但是别人攻击你，你如何发现的呢？很多时候，一些工具或者说监控设备是发现不了的，因为攻击者发来的一些数据包和正常数据包是差不多的，如新出的0day漏洞，天眼等监控设备还没有提取到该漏洞的指纹信息，监控规则库里面没有，那这个时候设备就不会有提示了。

二、应急响应工作流程

准备阶段-->检测阶段-->抑制阶段-->根除阶段-->恢复阶段-->跟进阶段

1.准备阶段

一是对信息系统进行初始化的快照；
二是准备应急响应工具包。

2.检测阶段

1、查看日志、进程、操作系统是否有病毒等
2、发现异常情况后，形成安全事件报告
3、查找安全事件的原因
4、确定安全事件的原因、性质和影响范围
5、确定安全事件的应急处理方案

3.抑制阶段

抑制是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征，比如攻击利用的端口、服务、攻击源、攻击利用漏洞等，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。

4.根除阶段

在抑制的基础上，对引起该类安全问题的最终技术原因在技术上进行完全的杜绝。
比如木马查杀、查找漏洞、修复漏洞等。

5.恢复阶段

通过采取一系列的步骤将系统恢复到正常业务状态。一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统变化的情况下，重装系统。

6.跟进阶段

跟进阶段是应急响应的最后一个阶段，主要是对抑制或根除的效果进行审计，确认系统没有被再次入侵。

三、应急响应实施流程

四、应急响应排查方法

Windows入侵排查

前言

当企业发生黑客入侵、系统崩溃或其它影响业务正常进行的安全事件是，急需第一时间进行处理，是企业的网络信息系统在最短时间恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。
常见的应急响应事件分类：
web入侵：网页挂马、主页篡改、Webshell；
系统入侵：病毒木马、勒索软件、远控后门；
网络攻击：DDOS攻击、DNS劫持、ARP欺骗。

入侵排查思路

1.检查系统账号安全

1、查看服务器是否有弱口令，远程管理端口是否对公网开放。
检查方法：根据实际情况咨询相关服务器管理员，或者用扫描器扫描

2、查看服务器是否存在可疑账号、新增账号
检查方法：打开cmd窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组里的（Administrators）新增账户，如有则立即禁用或者删除掉。
a.检查是否有多余账户，也可以通过指令来查看net user
可疑账户
b.检查guest账户权限

c.属组权限

3、查看服务器是否存在隐藏账号、克隆账号。即在cmd界面或者管理页面也无法看到的用户。
检查方法： regedit
sam1
sam2
4、结合日志，查看管理员登录事件、用户名是否存在异常
检查方法：
a、Win+R打开运行，输入"eventvwr.msc"，回车运行，打开"事件查看器"，这就是操作系统日志。

windows的日志记录都是通过事件ID来划分的。
参看 Windows事件查看器_ID一览表
b、导出Windows日志–安全，利用Log Parser进行分析。

2.检查异常端口、进程

1、检查端口连接情况，是否有远程连接、可疑连接。
检查方法：
a、netstat -ano查看目前的网络连接，定位可疑的ESTABLISHED
b、根据netstat定位出的pid，再通过tasklist命令进行进程定位tasklist | findstr “PID”

然后可以去磁盘上搜索这个文件，比如搜索postgres.exe，如果是木马就结束进程杀掉文件即可。
2、进程
检查方法：
a、开始–运行–输入msinfo32，依次点击"软件环境"–>"正在运行任务"就可以查看到进程的详细信息。比如进程路径、进程ID、文件创建日期、启动时间、CPU、内存等。一般CPU占用比较大的可能有问题。
b、打开D盾_web查杀工具，查看进程，关注有么有签名信息的进程
c、通过微软官方提供的Process Explorer等工具进行排查。
d、查看可疑的进程及其子进程，可以通过观察以下内容：手工查杀难度比较大，一般都是配合工具来做，比如火绒剑。
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用时间过高的进程

3、小技巧
a、查看端口对应的PID: netstat -ano | findstr “port”
b、查看进程对应的PID：任务管理器-查看-选择列–PID 或者 tasklist | findstr “PID”
c、查看进程对应的程序位置:
任务管理器–选择对应进程–右键打开文件位置
运行输入wmic，cmd界面输入process
d、tasklist /svc 进程—PID–服务

e、查看Windows服务所对应的端口：%system%/system32/drivers/etc/services（一般%system%就是C:\Windows）
port

3.检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项。因为很多木马都是开机自启的，不然下次开机它就没有用了。
检查方法：
a、登录服务器，单击【开始】–>【所有程序】–>【启动】，默认情况下此目录是一个空目录，确认是否有非业务程序在该目录下。
b、单击开始菜单–>【运行】，输入msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。
c、单击【开始】>【运行】，输入regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

HKEY_CURRENT_USER\Software\micorsoft\windows\Currentversion\run
HKEY_LOCAL_MACHINE\Software\micorsoft\windows\Currentversion\run
HKEY_LOCAL_MACHINE\Software\micorsoft\windows\Currentversion\Runonce
检查右侧是否有启动异常的项目，如有则删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或者木马。

d、利用安全软件查看启动项、开机时间管理等。
e、组策略，运行 gpedit.msc。
gpedit
2、检查计划任务
检查方法：
a、单击【开始】–>【设置】–>【控制面板】–>【任务计划】，查看计划任务属性，便可以发现木马文件的路径，很多木马都是在半夜偷偷启动的。
b、单击【开始】–>【运行】，输入cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有则确认是否为正常连接。
3、服务自启动
检查方法：单击【开始】–>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务，有时候木马会以服务的方式来启动。

4.检查系统相关信息

1、查看系统版本以及补丁信息
检查方法：单击【开始】–>【运行】，输入systeminfo，查看系统信息、补丁信息等

微软的补丁比较好打，可以开启自动更新它就自行打补丁了，也可以用360安全卫士来打补丁。
2、查找可疑目录及文件
检查方法：
a、查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录，可以查看时间。

b、单击【开始】–>【运行】，输入 %UserProfile%\Recent，分析最近打开的文件
c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

5.自动化查杀

病毒查杀
检查方法：下载安全软件、更新最新的病毒库，进行全屏扫描。如360、卡巴斯基等。

Webshell查杀
检查方法：选择具体站点路径进行webshell查杀，建议使用两个webshell查杀工具同时查杀，这样可以互补规则库的不足，D盾、河马、火绒剑等，还有win10及以上版本自带的杀毒软件。

6.日志分析

系统日志
操作系统的日志只能分析登录账号、暴力破解等动作，难一些的还需要我们去组策略中开启一些功能，默认的日志记录的不是很详细
分析方法：
1.前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。
2.Win+R打开运行，输入"eventvwr.msc"，回车运行，打开"事件查看器"。
3.导出应用程序日志、安全日志、系统日志，利用Log Parse进行分析。

一般主要看web程序记录的日志，很多攻击都是通过web站点进去的，操作系统远程攻击的漏洞是极少的，能够远程攻击的无非就是那么几个漏洞，基本都是139、445端口等。

Web访问日志
分析方法：
1.找到中间件的web日志，打包到本地方便进行分析。
2.推荐工具：
windows下推荐使用EmEditor进行日志分析，支持大文本
linux下结合Shell命令组合查询分析。