应急响应:值得记录的三个实战案例.
网络安全的应急响应是指对已经发生或可能发生的网络安全事件进行快速、高效地应对和处理的措施。它是一个组织为了应对各种网络安全事件(例如网络攻击、病毒传播、数据泄露等)所做的准备以及在事件发生后所采取的措施。网络安全应急响应的目标是在安全事件发生时,及时发现、分析、处置和恢复,以保障组织的业务连续性和资产安全。
目录:
某台勒索病毒和挖矿木马应急响应.
项目描述:在驻场的时候发现设备攻击别的内网设备,然后我就立马断开了连接,我通过排查 再次发现有1台主机中了勒索病毒。10台设备中了挖矿病毒.
现场处理:当时国庆节在驻场的时候下午发现我们那边的设备攻击别的客户的内网设备【主要是他们二个内网是连接的】,然后我就立马断开了他们之前的连接,然后再通过排查 再次发现有1台主机中了勒索病毒【进行了断网处理】。10台设备中了挖矿病毒.
确定攻击源头:然后我们就进行排查在态感上发现的是一台内网服务器去扫描别的客户内网主机,当时就登录那台服务器,查看一下日志 发现3389端口爆破的痕迹,但是这个爆破的IP是一个内网设备的IP地址,是防火墙的IP地址,当时就上防火墙上查看【因为这个防火墙是运维那边进行管理的】。然后在防火墙上发现了大量的外网用户去访问和爆破这台内网服务器,但是这个内网服务器是不对外开放的,问运维 运维一直说没有,然后我们就查看了策略发现了,这台服务器确定对外开放了。然后还映射出去网外变成了另外一个IP地址,同时也开放了3389端口,因为这台服务器去到外网的时候,你去访问他,里面还有xx【xx123】设备的信息,因为3389端口的登录密码就是xx123【xx123】,所以我们就确定了攻击的源头。【我们就关闭了3389端口的映射】
确定攻击手段:就是在查日志的时候发现,是进行 3389端口 爆破然后成功登录,到成功登录后 也是添加了一个新的账号密码,再添加到管理员组中的一个信息,利用添加的新账号进行横向渗透,然后再植入的挖矿木马和勒索病毒。【是因为在新的账号中是发现了大量的横向工具和爆破字典】
攻击溯源:使用 top 发现有文件进程占用大量 CPU 资源,使用 find / -name “文件名” 定位挖矿文件的路径,查看文件上传的时间,查看了一下日志【srcure】 爆破 SSH 成功并登录【因为他这个爆破也是通过防火墙进行进来的】,记录了一下这个时间,再去防火墙看查看日志,根据时间就发现了攻击者的IP地址。【是哪个IP地址上传的木马】【最后是江西的IP地址.】
挖矿木马处理:使用 top 发现有文件进程占用大量 CPU 资源,使用 find / -name “文件名” 定位挖矿文件的路径,再列出文件 的最后修改时间从新到旧 ls -lat ,在进行定时任务的排查 crontab【砍特】 -l,系统服务排查。【结束进程 kill -9 PID】【删除文件:rm -rf 文件】【删除进程】【删除服务】
处理勒索病毒:有 1 台中勒索病毒,然后我们对断网的那台进行取样分析后缀 backupdecoder,上传后缀名和文件样本 发现目前无法解密,再进行算法分析后 发现也是无法解密,进行重装系统.
某司项目上发现被植入后门木马和勒索病毒.
项目描述:【当时这个网站是个边缘资产,当时开发那边新开了一个端口进行一个调试 调试完没有关闭,然后这个调试端口的流量没有加到WAF这边来】
现在处理:一开始发现设备显示有一台主机中了勒索病毒,然后我进行定位排查这台主机确定中了勒索病毒,当时防止病毒的扩散,就进行现场处理进行断网.
确定源头:然后根据勒索病毒主机的日志进行分析和设备的信息确定了【3389端口进行爆破进来的,因为这个爆破数据很少】,但是攻击的IP地址是一个内网的IP地址,当时运维说这个IP地址是一台很老的测试机,一般是不用使用的。然后就上机排查这台主机的日志和网络连接,网络连接里面有一个异常的连接就是一个服务器的IP地址,而且这台服务器还是边缘资产,然后我们再上服务器中进行排查网络连接,发现这台服务器确定有一个恶意IP地址进行连接的,是国外的IP地址,然后我们再进行文件定位【PC 憨特】【netstat -ano -P tcp】,然后再看见文件的时间,是什么时候上传上来的,再去查看了Web的日志【Nginx】,进行定位这个木马文件,哪个IP地址有访问过,确定了攻击的IP地址。
确定攻击的手段:在查看Web日志时,发现了命令执行的痕迹,就是写入一句话木马的代码,然后根据URL信息进行验证,发现是通过Web命令执行进行攻击,然后上传一句话木马,成功连接。然后再上传别的后门木马进行权限提升。
木马处理:查看异常连接,查看文件位置,关闭进程,查看服务,查看注册表,查看有没有新添加的账号【PC憨特】【火绒剑】
处理勒索病毒:有 1 台中勒索病毒,然后我们对断网的那台进行取样分析后缀,上传后缀名和文件样本 发现目前无法解密,再进行算法分析发现无法解密,建议进行重装系统.
总结:黑客利用边缘资产的Web命令执行漏洞,进行植入后门木马,再进行横向移动,向第二台主机植入木马 维持权限,然后向第三台主机上传勒索病毒.
某政钓鱼网站应急响应.
项目描述:发现内网一台主机发送大量的扫描和攻击包,进行排查网络连接发现有一个异常的网络连接【木马】,网络连接的IP地址是内网的其他IP地址,再对那台主机进行排查发现有一个木马的连接.【是国外的】【外网没有对这个进行一个攻击和扫描的痕迹】【就想到可能被钓鱼了】【进行排查邮件发现确定是被钓鱼还是个OA的一个升级的程序】
现场发现:在监控的时候发现 态势感知 有大量的异常数据,有一台主机正在发送大量数据包的扫描和爆破,当时第一时间和运维确定是不是正在内网扫描测试,运维说没有的。
确定攻击源头:然后我们就对这台主机排查,在排查日志和网络连接的时候,发现了有一点爆破的信息 但是不多【这个是因为他的密码就是admin123,弱密码,所以不多的原因】,再排查是看见了这个IP地址登录成功和添加账密码的的痕迹【日志成功:4624】【失败:4625】【交互登录登录是10】,是我们那边的内网地址【当时就在想可能被横向攻击】。
被横向攻击:所以就定位这台主机 进行上机排查,排查日志的时候没有发现爆破等痕迹,但是在网络连接里面有 异常的IP地址正在连接,当时上微步查看了一下是恶意IP地址。所以这个就是一个木马,然后进行文件定位【netstat -ano -P tcp】,发现是一个OA系统的升级程序,当时确定运维没有对内网主机的OA程序进行升级,再加上设备上没有外网对这台主机进行扫描和攻击的痕迹。当时就想到可能被钓鱼了,就查看了一下这个主机的邮箱发现了OA系统的一个升级包,然后放到微步沙箱运行检测,确定是远程木马,所以是工作人员点击了这个OA升级包,然后被后植入木马,然后进行横向攻击到另一台主机上刚好那台主机是弱口令,再利用这台主机进行向内网其他主机进行攻击.
木马处理:对这个木马文件进行关闭进程,排查启动项和服务发现没有添加,但是在排查有没有被添加账号的时候,在注册表中发现了一个隐藏账号,因为隐藏的账号有一个美元符号,一般直接在管理用户中是没有显示隐藏账号的,只有在注册表中才能查看,所以对注册表中的隐藏账号进行删除.【“HKEY_LOCAL_MACHINE/SAM/SAM/Domains域/Account账户/Users用户/Names名称】
应急实战操作手册:
应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】
应急响应:勒索病毒-实战 案例二.【Windows 系统 排查和解密】
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
