回想之前的面试,基本都会问到有关应急响应的流程。虽然干的是网安这一行,但在工作中却并未接触到应急响应这一块,这也导致之前错失了一份很好的工作。
最近打算学习下有关应急响应的内容,并把学习过程记录下来,加深印象。
应急响应的概念
在应对突发情况时,为减小损失和影响,快速采取有效措施,恢复正常秩序。
应急响应一般可分为五个步骤:
预警发现——确认分类——调查分析——处置恢复——报告总结
1、预警发现是应急响应的先决条件,一般可使用安全设备检测,或是安全人员做流量分析时发现。
2、确认分类是对安全事件的进一步核实,判断事件是否真实有效,是否误报或误判。根据安全事件的内容对事件做进一步分类,根据事件的类型、影响范围和严重程度,制定相应的安全措施。
3、调查分析事件产生的原因,也就是攻击溯源,排查攻击者的攻击意图、攻击路径以及攻击利用的漏洞。常见的分析过程有:日志分析、进程分析、启动项分析、样本分析等。
4、处置恢复是在攻击溯源成功后,首先要杀/删/隔离攻击者留下的危险进程或文件,其次是修复攻击者利用的漏洞,将受影响的系统尽快恢复正常。
5、最后是输出安全报告,对本次安全事件的排查做一个总结输出,完整复述攻击者的攻击路径以及利用的漏洞,对存在安全问题的系统提出修复或加固意见。
在应急响应的五步中,比较核心的主要是确认分类、调查分析和处置恢复。
一、操作系统的分类
对于安全事件的分类,根据操作系统可以分为Windows和Linux.
不同的操作系统,对于安全事件的排查手法略有不同,但大体的思路都是:日志、进程、启动项、文件、系统信息这几类。
这里有关日志、进程的具体思路不多做演示,主要过一遍应急响应的思路,有关的详细排查过程,可查考大佬的文章链接:
网络安全应急响应最全教程
确认事件分类
这一步主要是为了后续应急响应方案的制定。
应急响应大致考研分为三个大类:勒索、挖矿、其它
勒索应急响应
概念
勒索病毒是一种恶意软件,也可称为勒索软件或勒索病毒,是一种伴随数字货币兴起的病毒木马。
主要是通过对感染主机中的文件进行加密,要求被勒索企业交付赎金解密,否则销毁或删除重要文件。
勒索病毒的危害性较大,一般都为获利,受攻击的一般为大型企业。
常见的勒索病毒类型
1、WannaCry勒索病毒
2、Globelmposter勒索病毒
3、Crysis/ Dharma勒索病毒
4、GandCrab勒索病毒
5、Satan勒索病毒
6、Sacrab勒索病毒
7、Matrix勒索病毒
8、Stop勒索病毒
9、Paradise勒索病毒
勒索病毒常见的攻击方式
1、系统自身漏洞被利用
2、利用供应链之间的信任
3、钓鱼邮件被点击或下载
4、正常网站被挂马
勒索病毒的特征
相比挖矿和其它种类的应急响应流程,主机中勒索病毒后的特征十分明显,攻击者甚至会故意留下线索,引导受害者发现勒索信,要求受害者按要求交付赎金。
中勒索病毒后的特征主要有:业务无法访问、文件后缀被修改、勒索信
勒索病毒的应急响应流程
隔离被感染的主机,避免感染范围的进一步扩大。
在这个过程中,需要先确定主机感染的时间,根据系统架构确定受感染的范围,为后续的排查做信息收集。
排查业务系统,做临时处置
根据勒索病毒的种类对事件做临时处置后,排查局域网内的其它主机,确定感染的具体范围。检查核心业务是否受影响,以及后续的溯源过程与解决办法。
确定勒索病毒种类,开始溯源分析
1、对日志内容进行分析,判断攻击者利用哪种方法侵入主机/服务器
2、对病毒样本/可疑文件进行沙箱分析,判断病毒类型、传播特征和其它恶意行为
3、根据攻击者留下的勒索信及其它提示信息,判断勒索病毒类型,并尝试解密
对勒索病毒进行处置
通过上述步骤,基本已确定感染时间、感染范围,判断出勒索病毒的种类。
根据收集的信息,对系统和日志进行详细分析。
系统层面主要分析:账号、启动项、网络连接、进程、计划任务、可疑服务
日志层面主要分析:爆破记录、登陆记录
总结上述的勒索病毒排查流程
计算机出现勒索病毒提示,将感染勒索病毒的主机隔离;
确定感染范围,排查核心业务的受影响程度;
查看日志、进程、账号、服务、网络连接、启动项、计划任务等,判断勒索病毒类型与感染时间;
根据收集的信息进行溯源分析,使用工具尝试对加密文件解密。
详细的分析处置过程,可参考大佬文章连接:
勒索病毒应急响应
挖矿应急响应
挖矿的最终目标是为了获取区块链中的虚拟货币,而虚拟货币,是区块链中为奖励记账人而产生的,也可以说是为奖励将区块链打包的矿工而设置的奖励。
有关的信息,可参考B站UP主的讲解视频,或自行上网查找:
B站区块链视频讲解
区块链之所以需要记账人,是因为区块链的两大特征:去中心化和分布式账本。
常见的虚拟货币有
比特币
以太坊
泰达币
狗狗币
泰达币
艾达币
门罗币
简单了解了虚拟货币的概念后,扯回思路继续分析挖矿应急响应的流程
概念
挖矿木马是攻击者利用各种方法,将挖矿程序植入到受害者主机中,在受害者不知情的情况下,利用受害者的计算机算力,在网络上挖掘数字加密货币从而获利的一种木马。
挖矿流程
1、利用漏洞获取主机控制权
2、下载挖矿木马程序
3、删除本机中,可能存在的其它挖矿程序
4、根据主机系统信息,隐藏正在运行的挖矿程序
5、清理痕迹
常见的挖矿木马
Outlaw
Tor2Mine
H2Miner
Satan DDoS
Sysrv-hello
云铲
HolesWarm
挖矿木马的传播方式
漏洞利用
弱口令爆破
僵尸网络
供应链传播
邮件、社交软件
网站挂马
无文件攻击
中挖矿木马后的特征
1、计算机CPU使用率飙升,系统卡顿,部分服务无法正常运行
2、服务器性能异常
3、计算机外联矿池
挖矿木马应急响应流程
1、隔离被感染的主机/服务器
了解组织架构,确定感染范围,感染时间,给出临时处置意见
2、确认挖矿进程
查看日志、账号、进程、启动项、计划任务、网络连接、异常服务等,对挖矿进程进行排查
日志查看,事件ID–Windows
进行挖矿木马应急响应时常用的有关检测事件ID:
4728:表示把用户添加进安全全局组,如Administrators组;
4797:表示试图查询账户是否存在空白密码;
4624:表示在大部分登录事件成功时会产生的日志;
4625:表示在大部分登录事件失败时会产生的日志(解锁屏幕并不会产生这个日志);
4672:表示在特权用户登录成功时会产生的日志,如登录Administrator, 一般会看到4624和4672日志一起出现;
4648:表示一些其他的登录情况。
日志查看命令–Linux
1、查看任务计划日志:
crontab -l:
查看当前的任务计划有哪些,是否有后]木马程序启动相关信息;
ls /etc/cron*:
查看etc目 录任务计划相关文件;
cat /var/log/cron:
查看任务计划日志;
ls /var/spool/mail:
查看相关日志记录文件;
cat /var/spool/mail/root:
发现针对80端口的攻击行为(当Web访问异常时,及时向当前系统配置的邮箱地址发送报警邮件的信息。
2、查看自启动日志:
cat /var/log/messages:
查看整体系统信息,其中也记录了某个用户切换到root权限的日志;
cat /var/log/secure:
查看验证和授权方面的信息,如sshd会将所有信息(其中包括失败登录)记录在这里;
cat /var/log/lastlog:
查看所有用户最近的信息,二进制文件,需要用lastlog查看内容;
cat /var/log/btmp:
查看所有失败登录信息,使用last命令 可查看btmp文件;
cat /var/log/maillog:
查看系统运行电子邮件服务器的日志信息;
cat ~/.bash_ history:
查看之前使用过的shelI命令。
3、挖矿木马清除
断开与矿池的连接
清除异常账户、进程、启动项、计划任务、网络连接等
定位挖矿木马位置并删除
全盘查杀并加固系统
总结以上挖矿木马的应急响应流程:
若计算机出现CPU使用率飙升、系统卡顿、部分服务无法正常运行,则判断可能中挖矿木马;
1、首先将可能中挖矿木马的计算机隔离;
2、随后查看计算机日志、进程、账号、服务、网络连接、启动项、计划任务是否有异常;
3、根据信息排查确定挖矿进程,断开与矿池的连接;
4、清除计算机上其它异常账号、进程、服务、网络连接、启动项、计划任务等;
5、分析攻击者植入挖矿木马的方式,全盘查杀并加固系统、修复漏洞。
建议:
可以去知攻善防实验室下载应急响应的靶机练手。
其它类型的应急响应这篇文章不做细致讲解,后续再另开一篇。
总结
勒索病毒和挖矿木马是应急响应里最常见到的两种类型,危害性和影响性也是最大。
在两者应急响应的排查过程中,都需要对日志、进程、服务、启动项、计划任务、网络连接等方面进行分析。
基本的排查思路也都是:
1、先隔离,避免其它主机受影响,把损失降到最小
2、根据组织架构排查其它受影响的主机,确定排查范围
3、对受害主机进行排查,主要是日志、进程、服务、网络连接、计划任务、启动项等
4、定位到突破点,分析攻击者利用何种方式入侵主机
5、清除攻击利用点,全盘扫描,加固修复
6、流程总结
1276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
