网络空间安全实训日志day11

一．应急响应实操

1.靶场1

通过shell文件获得shell密码

通过日志文件获得攻击者ip

通过账户管理找到攻击者隐藏账户

更改hack密码来登录hack账户

2.靶场2

用wireshark分析靶机的数据包获得第一个flag

通过mysql配置文件查询到mysql密码，后续登录到mysql查询flag

通过查history得到flag3

二．作业

1.总结应急响应流程

（1）预案

风险评估：全面识别可能面临的各类网络攻击分析每种攻击发生的可能性和潜在影响程度

确定应急响应目标：明确在应对网络攻击时期望达到的总体目标，例如减少财产损失、尽快恢复正常运营等

组建应急响应团队：明确各成员的职责和分工，包括指挥人员、技术专家等

制定应急响应策略：确定针对不同类型突发事件的基本应对策略和原则

规划资源需求：评估所需的人力、物力、财力等资源

制定培训和演练计划：规划针对应急响应团队成员的培训内容和演练方案，以提高应对能力

法律合规审查：确保预案符合相关法律法规和政策要求

（2）研判

收集信息：发现异常情况后立刻通过日志，事件响应等渠道收集信息便于分析情况

猜测意图：通过攻击行为猜测攻击者的攻击目的

判断威胁：综合分析攻击技术、工具、路径以及攻击目标，判断其威胁性大小

影响评估：综合评估攻击事件带来的影响和损失

响应处置：迅速制定适当的响应处置方式，包括立刻遏止攻击防止产生更大损失，制定后续取证计划，报警寻求帮助等。

（3）遏止

强制停止：如果发现攻击项目可以用kill等方式强制中断其运行以保护系统

断开网络：如果攻击依托网络进行或有传染性，我们可以断网将其隔离防止事态进一步恶化

用户禁用：禁止可疑用户的账户访问

持续监控：遏止后继续关注受影响系统和网络，以验证遏止的效果，并确保威胁确实得到了控制

修补漏洞：通过修复防火墙、打补丁、增加监控等方式修补安全防护漏洞

（4）取证

保持开机：有些数据和痕迹会在关机后消失所以要保持开机状态以获取易失性证据

选择工具：根据需要收集的证据类型，选择合适的取证工具

收集证据：通过查询系统日志，分析网络流量等方式获得信息

证据保存：用不易被攻击的方式保存证据比如u盘，并做好备份

（5）溯源

保留证据：确保事件相关的数据和证据被完整保留，为事件的后续分析提供数据支持

分析攻击路径：对收集的证据进行深入分析，重建事件发生过程，确定攻击者是如何进入系统并展开攻击的

确定攻击者身份：通过分析攻击工具、技术和行为模式，推断出攻击者的类型

事件时间线重建：通过梳理事件的所有时间节点，建立完整的事件时间线，以便了解攻击是如何逐步展开的，进而明确需要改进的防护措施

保存证据供未来使用；确保所有证据都妥善保存，以便在需要时进行进一步的分析或用于法律诉讼

（6）恢复

制定恢复计划：在恢复之前，应制定详细的恢复计划，明确恢复的顺序、步骤和所需的资源。恢复计划应根据事件的影响和优先级来安排，确保最关键的系统和服务优先恢复

清理与修复受感染的系统：对于受影响的系统，需要彻底清理和修复，以确保不会有任何残留的恶意软件或后门程序

恢复数据：可信的备份中恢复数据，验证恢复的数据是否准确无误，并测试系统的功能性

重新配置安全设置：在恢复过程中，应重新配置安全设置，以堵住已知的安全漏洞，并加强整体安全性

重新上线并通知相关方：恢复工作完成并验证后，可以逐步恢复系统和服务的正常上线。同时，向相关方（如用户、管理层和合作伙伴）通报恢复状态和事件的处理结果

2.总结应急响应措施及相关操作

（1）识别与确认

操作：

监控与报警：使用SIEM工具和其他安全监控工具实时监测系统和网络的活动。

初步评估：分析报警信息，确认事件的性质、范围和潜在影响。

事件报告：记录事件细节，并根据组织的应急预案向相关人员或团队报告。

（2） 遏止

操作：

短期遏止：立即采取措施，如断开网络连接、隔离受感染系统、阻断恶意流量。

长期遏止：在不影响业务的情况下，进行更深入的控制和修复工作，如修补漏洞、增强监控。

策略制定：根据事件的严重性和影响范围，制定适合的遏止策略。

（3） 清理与恢复

操作：

恶意软件清除：使用安全工具扫描并清除所有威胁，包括病毒、恶意软件和后门。

系统修复：修补漏洞、重装操作系统、更新安全配置，确保系统安全性。

数据恢复：从备份中恢复数据，确保其完整性和安全性。

功能验证：测试系统和应用的功能性，确保恢复后的系统正常运行。

（4） 溯源

操作：

证据收集：保存系统日志、网络流量、文件快照和内存镜像等证据。

攻击路径分析：重建攻击过程，确定入侵点、攻击方法和扩散路径。

威胁情报分析：分析攻击工具和行为模式，推断攻击者的身份或类型。

（5）事件后评估与改进

操作：

事件报告：编写详细的事件总结报告，记录所有响应步骤和发现。

流程优化：分析应急响应中的不足之处，提出改进建议。

培训与演练：基于事件经验，更新应急预案，开展员工培训和应急演练。

（6）通知与沟通

操作：

内部沟通：向组织内部的管理层和相关部门报告事件的进展和处理情况。

外部通知：必要时通知客户、合作伙伴和监管机构，解释事件的影响和恢复措施。

公众声明：如果事件影响广泛，发布公开声明以保持透明度和信任。