一、应急响应
应急响应的流程如下:
1)首先判断服务器资产、影响范围以及严重程度,确认有没有必要将被攻击的服务器下线隔离,然后根据服务器的失陷时间和态势感知的告警,判断是由什么漏洞进来的
2)其次就是取证排查阶段,如果是web漏洞,就是查看web日志,根据失陷时间节点往上排查是否上传webshell;再查看后门是否有恶意的命令执行、文件上传。如果有恶意的文件比如说.exe,可以放到一些微步社区平台分析;如果是webshell的话,可以用d盾、河马进行查杀
3)接下来可以通过其他主机查看是否有相同的攻击迹象,然后排查是否有可疑的进程、端口、自启动项,可以用火绒剑查看有没有异常外联
4)然后就是进行攻击路径的还原,可以通过对日志、流量进行分析、确定他的攻击路径,然后判断出他的漏洞点并切断他的攻击路径
5)此时可以再观察一段时间,看有没有流量反连、有没有内存马
6)后面可以根据样本分析到的ip地址进行信息收集,进行常规的溯源,查看是否有个人id泄漏、社交平台搜索其个人信息、利用蜜罐系统反制等手段绘制攻击者画像
7)若无则尝试是否能够打进其服务器,比如说常见的cs反制,可以爆破攻击者cs服务器密码,或者利用cs漏洞拿到攻击者服务器权限,进一步获取攻击者信息
二、挖矿病毒应急
1)首先执行top命令,查看CPU占用情况(或者可以尝试使用htop,个人感觉比top好用)
2)查找恶意文件样本,并确定程序的运行时间
3)首先获取恶意域名(微步在线、360威胁情报中心…获取),从而根据域名确定木马类型
4)处理异常进程并删除恶意文件,最后排查是否有可疑的计划任务、自启动任务
三、勒索病毒应急
1)首先就是物理断网、隔离主机,然后判断勒索病毒存活,可以通过创建几个.exe .txt空白文件看是否会被加密判断存活
2)排查业务系统,了解勒索病毒加密时间、中招范围以及影响程度
3)可以根据预留文件、预留邮箱判断出攻击团伙,对后续的溯源也有很大的帮助
4)分析勒索程序,获取ip、域名相关信息,上传至威胁情报中心查询
5)可以将勒索程序上传到一些勒索病毒搜索引擎,比如360、深信服,看能不能进行解密
四、钓鱼邮件应急
1)首先将受害主机进行断网,有安全设备的话可以对资产主机进行病毒查杀
2)分析邮件报文,看指纹信息(什么发送工具平台)、看发送IP地址(服务器IP或攻击IP)、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)、可能存在个人的ID昵称用户名(利用社工的技术手段进行画像)
3)上机排查,执行netstat命令,然后就是定位查找后门文件位置。
五、webshell排查
1)首先排查工具方面D盾、河马,手工方面可以对比未上传webshell前的备份文件,可以对比他的MD5值
2)然后就是通过查看webshell的创建时间判断他攻击的时间范围
3)对web日志进行分析,查找攻击路径和失陷原因。
4)进行漏洞分析,主要分析是什么漏洞导致的webshell攻击
5)最后进行漏洞复现
六、内存马应急
1)进程分析,通过查看系统中所有的进程信息,包括进程名称、pid、所属用户、内存占用等,可以尝试发现异常进程并排除其中是否存在内存马,
2)系统日志分析:通过分析系统日志文件,可以查看系统启动、服务开启、网络连接等活动,以了解是否有可疑的行为发生内存分析工具:使用专业的内存分析工具,例如 Volatility Framework可以在内存中查找潜在的内存马代码或痕迹,并进行初步分析和定位
3)网络监测工具:通过网络监测工具,例Wireshark、Tcpdump等,可以捕获网络流量,了解是否有可疑的网络请求或通信行为,进步定位内存马的来源和命令控制中心
4)安全软件扫描:利用杀毒软件和安全扫描工具,例如卡巴斯基对系统进行全面的扫描和查杀,清楚可能存在的内存马
扫一扫
739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
