响应
事件类型判断
事件类型分为7类:大规模沦陷,挖矿病毒,勒索病毒,无文件落地,不死马,钓鱼应急响应,数据劫持
信息收集
流量,日志,可疑进程的内存,失陷系统镜像,恶意样本,客户资产收集,资产相关漏洞测试报告,防御设备日志
阻断
切断网络
阻断对内通信,阻断对外连接,但是情况也分多种:失陷后业务仍正常运行,失陷后业务受滞,失陷后业务停摆
例如:假设一个医院大规模失陷,但是业务正常运行,这时候可以选择切断部分不重要的主机去观察行为
阻断传播
传播包括:对内传播(感染),对外传播(外联)
对内传播:进程注入,第三方软件感染,服务传播
对外传播(外联):挖矿行为,外联攻击,c2通信阻断传播应从:软件层面,流量层面,代码层面,网络层面。例如:排查软件被劫持,排查流量发现无文件落地,利用代码审计发现容器加载内存马,阻断网络发现通过服务传播的病毒
隔离核心条件
这是应急响应的最终目的,无论使用什么工具都必须保护被保护与沦陷方的隔离
隔离核心资产是为了三个原则:保护,避害,不损害
隔离受害主体/群体
隔离受害主体(群体)是为了保护第一现场,收集攻击者信息
分析
日志分析
日志注意的是:时间,动作,结果;这个行为什么时候开始,什么时候结束,是登录,退出,修改等,造成的结果是登录成功/失败,上传/下载了文件,执行了代码
流量分析
主要注意的是:状态码,交互过程,数据合理性
每一次交互的状态码,交互过程中是否符合该种协议的正确交互过程,每个字段的填充,每次流量的渲染是否则正常
恶意样本分析
样本主要的是:启动方式,伪装方式,作用,根据启动方式去选择沙箱或者分析工具;伪装方式判断是否加壳做免杀和打击方式;根据作用去判断受害范围
行为分析(进程,启动项)
从行为出发,还原攻击路径,推演攻击过程。
行为分析基于三大件分析,结合系统表现出来的情况做分析,例如:启动项,启动脚本,进程,内存等
还原攻击过程
从行为出发,还原攻击路径,推演攻击过程
行为分析分为三大件分析:启动项,启动脚本,进程,内存
清除
非对抗情况:
在不存在对抗的情况下,最极端的是全盘重装,稍次就是数据迁移后对系统盘重装。可以进行针对性的杀进程,删文件,杀软清除
# 对抗情况下:
顽固马和不死马存在,或者被持续攻击,这样的情况下,首选是在允许情况下打补丁,再恢复。找到攻击行为的源头,先补上漏洞再清除
杀进程
删文件
恢复受害体/群体
加固
有钱才是硬道理,打补丁,对系统进行限制(网络隔离,行为管理等),,升级防御设备,完善防御流程(防御设备的部署,人员的部署,规则库的升级)
打补丁
补足策略
开放设备
受害防御流程