前言
作为一个安全打工人,每次在摸鱼的时候,总会碰到一些突发情况,例如以下情况。
老板:那啥XX企业被打了,你去支撑一下吧,顺便出个报告。
老板:XX企业安全设备告警了,你去看一下,看能不能开拓一下市场,顺便出个报告。
我:???
回到正题,像上述影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的系统或业务在最短时间内恢复正常工作,并后续进一步查找入侵来源,还原入侵过程,同时输出文档及安全建议,这样才能接到项目(不,是为企业减少经济损失。)
应急思路及流程
那么问题又来了,应急前我们应该干嘛呢?应急时我们应该干嘛呢?应急后我们应该干嘛呢?
首先,我们应该有一个好的整体思路。
信息收集:收集到发生安全事件的资产设备,整理时间线,是否存在恶意文件样本,是什么操作系统等。
判断事件类型:判断是否为安全事件,是web入侵,还是系统入侵,还是网络攻击。
深入排查:通过分析日志、启动项、系统用户、进程、恶意文件等找寻入侵来源。
清除处置:杀掉恶意进程、文件,配合运维人员打好补丁
输出文档:分析整体流程,产出报告。
附一些简单的思维图:
网上也找了一些特别详细的导图链接,自取
应急排查工具集
在了解事件的基础情况后,使用一些好的排查工具能让我们快速定位到突破口,节省大量的时间。正所谓工欲善其事,必先利其器,下述推荐一些常用的排查工具。
网络分析排查工具
当我们需要查看传输的数据包时,可能会经常用到下述这些网络排查工具
Wireshark
一款常用的网络分析排查工具,可用来分析网络攻击等事件。如下图,wireshark看出来主机正在遭受arp攻击。
Tcpview
微软内置工具集,网络连接查看工具,体积小,效果比较直观。
Tcpdump
如果系统是linux的话,推荐使用tcpdump,比较轻量,也更方便。
常用命令:
https://www.jianshu.com/p/d9162722f189
进程分析排查工具
有时候有些进程无法直接通过简单的命令查询到,这个时候我们可以借助下述工具对恶意进程进行分析和排查。
PChunter
ProcessHacker
启动项分析工具
一般是为了方便定位病毒启动项,常用的工具为AutoRuns(win上使用)。