奇安信应急响应基础

#应急响应是什么

腾讯就发生过相关的安全事件，腾讯那个微信可以直接获取注册的用户可以获取个人隐私注册的手机号，这种网络安全事件是很频繁的。

那我们应急响应到底是什么，当我们的客户遭受一些病毒的一些攻击包括，病毒传毒，网络攻击，黑客入侵。遭受这些的时候导致这个网络受损，业务中断，网络瘫痪啊这些信息，以及包括客户的数据遭到窃取，当对企业的服务造成直接或间接的影响时，那我们应急响应专家就应该做出相对应安全分析的服务，对这个入侵事件的原因进行分析，业务损失的评估，针对分析出来的安全事件，提供整体性的安全架构建议，包括溯源黑客的整个攻击链来减少攻击。

处理攻击大概分为这四大类

第一类是应用类，第一个是数据篡改，比如说客服的网站或者核心数据被篡改，第二个，挂马，一个网站被挂了一个挂马，比如说我们用百度去访问一个官网的时候，百度会对这个官网有一个标记

，这个网站不可信或者遭受到了网站的攻击的啊，这个就是被挂马了。第三个客户的业务网被黑客上传了一个webshell也是应用层的

第二类是主机层，比如我们经常处理的挖矿，第二个对外ddos，我们的主机遭受的黑客的攻击，可能我们远程控制的受控端会访问一个指令，访问某一个指定的网站，主机号或者端口，如果这种是大量成批的话就可能对外ddos，第三个是勒索病毒，最近是很常见。

第三类是网络层，第一个是ddos，主机端往外发送ddos攻击，对外发送ddos是作为这个受控端对外发放，而网络层是作为受害主机遭受ddos攻击，第二个是cc攻击，就是我们常说的对网站服务器的cc攻击，第三个是劫持，劫持是在数据链路层面对数据进行一个劫持，劫持和数据篡改是有本质上的区别的，只是在现象上体现出来的是比较相似的。

第四类是在数据层，第一个是信息泄露，近些年来大数据的流行起来，如果说数据库不做妥善处理的话，很可能会被拓库然后拿到暗网上面去售卖，第二个内部人员·，公司的内部人员对外提供一些相应的便捷，在暗网上卖给黑客组织，然后自己的公司遭受到攻击这也是。

#应急响应的原因

从基础的层面上来讲，因为黑产的利益链。从技术上来讲，一些大型的网站对外开发的业务也多，被攻击的层面也多，然后一些业务员的安全意识薄弱，所以被攻击的概率增加。还有一些黑产团伙利用工具，每天都批量的去扫像反序列化低技术高风险的秒杀姓的漏洞，去抓肉机，去植入勒索软件。还有一些在一些安全软件会看到apt攻击告警，这种也是很常见的，我们在政府单位或者高校里面最容易碰到。

#应急响应之伤

尴尬/乌龙事件   有的安全事件的现场被破坏（案列有一个客户说自己网站被破坏了到场的时候他把网站按照备份复原了，现场什么都没有留下），没有打开日志（我们安全员要去从日志里面分析利用的什么漏洞去攻击），缺少日志巡逻，（案列一个客户的网站21年去防护18年就已经被上传shell了），弱口令之伤（一些比较不好的运维他们都有一个密码本的，通用的口令，口令复用的习惯，有一些客户他知道有哪个漏洞就是修不了，然后又被入侵），安全设备当摆设（有报警，但是没有人去看去分析），缺少安全运营人员，资产管理混乱（案列我们去问一些客户，他的那个ip是通的，有没有对外做映射，还有客户说ip没有开发3389，但是让运维人员私自映射出去了，造成了攻击）缺乏对安全你事件的跟踪和响应能力（比如一些高危漏洞是频发的，假如我们用的java然后用到了shell的组件就要去关注shell的组件，它有哪些高危漏洞，及时的响应跟踪），管理制度包括多人持有重要管理权限，造成了数据的外漏，安全设备是有限的（攻击和防御都是在增长的，有时候安全设备会发现不了吗牟哥攻击）。

#为什么需要我们

客服缺乏一些应对安全事件的基本能力，

#我们应急响应的目的是什么

1.阻断黑客对这个安全事件的攻击，首先要防御，拔网线。

2.我们需要对这次安全事件进行还原，及时找到安全事件的根源，然后做出相应的补救措施。

加入被黑客攻击之后

1.我们一个先去判断这次安全事件是否攻击成功

2.成功入侵了就做阻断，把网线，禁用网卡

3.找到黑的第一个入口点，就是从哪里进来的，如果有恶意的脚本，尽量还要给他提取出来的。

4.之后帮助客户梳理出来完整的攻击过程路线，再给客服提供一个完整的漏洞修复建议和方案。

#应急响应的流程

事件判断：判断是哪一类的安全事件，安全的显示是不同的

临时处置：给客户一些临时处置的建议，拔掉网线不要关机，然后保护好现场黑河入侵第一样子是什么样子的。

手机信息：收集客户的主机信息是Linux还是Windows，然后黑盒有没有留下样本，主机上有没有留下其它的软件，这个事件什么时候发生的，现场里面有什么产品啊，病毒库什么版本，普通的pc还是服务器，服务器用来做什么；日志分析也没有开启，进程分析，我们要通过要素（日志，进程，启动项，模块，内存，流量，样本）我们要趋利避害，我们自己的工具不能有病毒，然后挖掘出来的样本要加密压缩好再发到群里面，避免有人误点中毒。

清理处置：我们找到一些样本，而已进程要做清楚工作，就要删除黑客留下的文件，禁止掉恶意的进程，根据黑客进入的过程打补丁或者修复

安全报告：最终产出一个安全报告，

#应急响应前的沟通

1.现场现象是什么?如何发现的?(依据是什么) ?
2.什么时候发现的?
3.目前是否有做物理隔离 (断网) ?
4.受害机器是哪个?
5.受害服务有几台?(1台/N台)
6.最先发现是哪台?
7.这台服务器对外有哪些服务?
8.这台服务器于其他机器是否处于同一个内网?
9.操作系统类型?是否有公网映射业务? 远程管理方式? 网络边界有没有流量监控设备?主机侧是否有EDR等安全设备

#应急响应要点一：了解一些常见端口的攻击手法，客户什么都不知道，只能我自己去查，什么端口都开发，所以我们要知道。

应急响应要点二：不要过于相信客服说的话，一般情况下客户都不知道自己开发了什么，一定要眼见为实，只能作为参考。

#攻击者常利用的web漏洞

 这里整理了一些常攻击的平台爆出过的漏洞，如果遇到客户用的这种组件，就可以重点去关注这些漏洞，因为这些是是高危漏洞，可能会有工具去扫描这些漏洞。

#攻击者常利用的组件漏洞

 组件相关的漏洞，现在一些客户在云的基础上使用了虚拟化的技术，可能会用到docker这种虚拟化的技术，那么在docker里面就有相应组件的的漏洞。

#应急响应处置思路

第一步就是信息收集，首先攻击者肯定会从外网中做打点，会用通用的漏洞扫描器，awvs，外部扫描，外部目录的一些扫描，御剑这种主动性的扫描工具，被动型是找不到我们又不去跟他们链接；进行外网扫描做信息收集。

扫面完之后他肯定会知道我们的业务系统用的什么组件，有什么漏洞，他会利用一些高危漏洞但序列化，命令执行等等进行攻击。

之后攻击完之后肯定要控制我们的主机，如果是外部应用的话他会上传一个webshell上去，命令执行需要去反弹shell，这里就会用到CobaltStrike，Metasploit等工具上传上去主机会建立链接，如果他拿的到低权限用户，还需要上传提权工具，会在我们机器上留下痕迹，

控制外网的主机要去内网横向的渗透，过程中会上传代理工具，扫描我们内网，利用内网主机作为跳板搭载的服务，之后再在内网手机信息重复一下这套流程，利用内网漏洞拿下很多机器。

他肯定会留下一些痕迹的，上传的工具，通过这些扫描杀毒工具，找到这些webshell，就可以确定攻击者ip地址，为什么I（外部访问有web日志，前提是客户不关闭web日志），通过日志可以确定攻击者的ip地址，ip攻击访问的所有记录拉出来吗，回溯攻击者的过程；最后梳理攻击者的操作，分析攻击过程，就找到攻击者从那个入口点打进来的。

据实分析，合理猜测，积极和客户沟通他知道同时又不能过于相信客户。

#实战场景下应急影响-web攻击事件

他通常都通过web来进行攻击的，所以我们的web也会相应的报警，他也会有相关表现

出现这些之后我们应该先确定事件是否真实，多环境溯源一下攻击场景，因为也有可能是链路上被篡改了，运营商dns那块做了异常动作，我们可以让其他省份的同时都去访问一下网页看是不是一样的情况，都是就是web服务遭到入侵，如果是只一个设备，那是遭到了链路劫持出现的。

我们已经确定了网站的现象情况下，攻击者已经拿下了网站服务器，我们就要去用一些webshell查杀工具去查杀，（市面上是有很多），（会有变形的webshell查不到）结合web日志去判断，

然后还一一些缓存的webshell我们就要通过关机，重启中间件处理。有恶意后门利用web的中间件配置达到目的，xxs就是会在里面加一个模块，然后利用模块触发恶意现象，检查完之后重启中间件。

处理机器上的后门。

防御措施：对web防护进行加固，修复他的漏洞，包括修改用户的所有密码。

#实战场景下应急影响-链路劫持

链路劫持不是发生在服务器上面，可能是使用者访问了某个网站链路出现了异常，导致了服务不可用或者链路上出现了恶意链接，

相关表现：会出现区域性的服务不可用或者访问异常，局限于区域

真正的危害和web攻击事件是比较相似的，要先判断是上面劫持（dns劫持，http劫持等等），dns劫持，使用域名解析的时候会返回一个错误的ip地址，http劫持去匹配特定的包，包里面的头进行抢答把我们用户的链路进行了劫持，还有一种是中间有个物理设备抢先发出去错误数据包，原本的数据包就被丢弃了。

http劫持和dns劫持的区别，我用dns解析的时候就会发现返回的并不是真实的ip地址，

防护措施：重要的业务部署https，https是经过加密的，

#实战场景下应急影响-代理隧道

攻击者拿下目标后肯定会代理一些隧道连接到目标内网里面，建立代理隧道机器的会时不时的往外链接，对境外的服务一些链接也可能是代理隧道

正向的隧道连接，会在web日志里面有一分钟访问千次的脚本文件的访问记录，脚本文件就可能时留下的代理文件。

相关危害：作为跳板机去危害其他资产，所以就根据这个点去排查，日志的高频访问，大量的异常链接，但是通过可以监控设备做好监控的。在去内网里面去看有没有主动对外发起的链接，有没有隧道行为。

防护措施：去判断某一些业务机器需不需要互联网的访问，需要的话就相应的设置白名单，完善内acl，防护策略，

#实战场景下应急影响-命令替换

相关表现没有明显的特征，

替换系统命令是一个常用的持久化的方法，黑客会替换常用的命令数据包，ls，去执行的时候就会触发反链黑客的cent地址。替换ssh的服务窃取账号密码，

操作要点：使用静态链接busybox，发现有替换的包就要彻底清除替换，重新安装的包。

#实战场景下应急影响-ld.so.preload动态链路劫持库

 排查要点：要去检查/etc/ld.so.preload的文件，动态链路库劫持是命令替换的延申，替换系统命令的时候就要动动态链接库，通常恶意脚本都是加载在动态链路库文件里面的，所以需要我们检查配置文件

防御措施：使用静态链路busybox，

#实战场景下应急影响-内核态rootkit

 没有明显现象。

我们执行标准输出结果的命令。，ls输出三个文件，ll输出四个文件，我们就能知道其中有一个文件是错的，内核态rootkit也能做到这种功能，还能隐藏进度，网络链接等等，

使用tyton这个内核态rootkit检测工具，

#实战场景下应急影响-计划任务

 排查要点：他是周期性的触发，有特定的时间去触发的，还有我们关闭掉一个进程，五分钟后他又自动运行了。我们可以把计划任务听了，关掉进程等一段时间之后看会不会在触发。

linux系统还会使用/r这种障眼法欺骗我们，我们cat就看不到进程但是vim里面还要。

#实战场景下应急影响-远控木马

 相关表现：持续性，周期性的网络连接，dns的或者udp的，

危害：可以长久地控制机器和窃取资料，作为跳板机进一步攻击内网其他机器，

排查：重点关注tcp。udp，imcp等一切网络行为，比较成熟的商业木马协议是支持多种的，检测，服务，开机目录，计划任务长久化的一些点，部署监控软件，可以来作为监控木马的特征，来作为分析的一个点，

#应急响应工作

有攻防经验，业务分析日志，安全加固，常见的安全漏洞，沟通能力，linux基础知识（日志分析，漏洞，攻防对抗点，ssh后门），Windows系统漏洞（1701漏洞打完之后web日志会留下多少点，日志分析，系统相关点的对抗，计划任务，启动项，逆向推理思维，我们都有渗透思路，但我们要把攻击者的思路反退出来，）