应急响应过程

响应

事件类型判断

事件类型分为7类：大规模沦陷，挖矿病毒，勒索病毒，无文件落地，不死马，钓鱼应急响应，数据劫持

信息收集

流量，日志，可疑进程的内存，失陷系统镜像，恶意样本，客户资产收集，资产相关漏洞测试报告，防御设备日志

阻断

切断网络

阻断对内通信，阻断对外连接，但是情况也分多种：失陷后业务仍正常运行，失陷后业务受滞，失陷后业务停摆
例如:假设一个医院大规模失陷，但是业务正常运行，这时候可以选择切断部分不重要的主机去观察行为

阻断传播

传播包括：对内传播（感染），对外传播（外联）
对内传播：进程注入，第三方软件感染，服务传播
对外传播（外联）：挖矿行为，外联攻击，c2通信阻断传播应从：软件层面，流量层面，代码层面，网络层面。例如：排查软件被劫持，排查流量发现无文件落地，利用代码审计发现容器加载内存马，阻断网络发现通过服务传播的病毒

隔离核心条件

这是应急响应的最终目的，无论使用什么工具都必须保护被保护与沦陷方的隔离
隔离核心资产是为了三个原则：保护，避害，不损害
​

隔离受害主体/群体

隔离受害主体（群体）是为了保护第一现场，收集攻击者信息

分析

日志分析

日志注意的是：时间，动作，结果；这个行为什么时候开始，什么时候结束，是登录，退出，修改等，造成的结果是登录成功/失败，上传/下载了文件，执行了代码

流量分析

主要注意的是：状态码，交互过程，数据合理性
每一次交互的状态码，交互过程中是否符合该种协议的正确交互过程，每个字段的填充，每次流量的渲染是否则正常

恶意样本分析

样本主要的是：启动方式，伪装方式，作用，根据启动方式去选择沙箱或者分析工具；伪装方式判断是否加壳做免杀和打击方式；根据作用去判断受害范围

行为分析（进程，启动项）

从行为出发，还原攻击路径，推演攻击过程。
行为分析基于三大件分析，结合系统表现出来的情况做分析，例如：启动项，启动脚本，进程，内存等

还原攻击过程

从行为出发，还原攻击路径，推演攻击过程
行为分析分为三大件分析：启动项，启动脚本，进程，内存

清除

非对抗情况：
在不存在对抗的情况下，最极端的是全盘重装，稍次就是数据迁移后对系统盘重装。可以进行针对性的杀进程，删文件，杀软清除

# 对抗情况下：
顽固马和不死马存在，或者被持续攻击，这样的情况下，首选是在允许情况下打补丁，再恢复。找到攻击行为的源头，先补上漏洞再清除

杀进程

删文件

恢复受害体/群体

加固

有钱才是硬道理，打补丁，对系统进行限制（网络隔离，行为管理等），，升级防御设备，完善防御流程（防御设备的部署，人员的部署，规则库的升级）

打补丁

补足策略

开放设备

受害防御流程