win&linux 应急思路
应急响应概念:略(概念什么的就没什么好说的了)
应急响应事件分类:
应用层 | 主机层 | 网络层 | 数据层 |
---|---|---|---|
数据篡改 | 挖矿 | DDoS攻击 | 数据库泄漏 |
挂马 | 对外DDoS | CC攻击 | 内部人员 |
webshell | 勒索病毒 | 劫持 | …… |
导致应急事件的原因:
-
大型企业的业务模式多,对外暴露的服务也多,由于对外暴露服务多,导致被攻击的面也会扩大
-
黑产团伙每天都会利用秒杀型漏洞批量扫描全网IP
-
除了黑产,还可能遇到API
应急流程:
-
事件判断:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DDoS等
-
临时处置:给出客户临时处置建议,断网隔离,保护现场环境
-
信息收集分析:收集客户信息和中毒主机信息,包括样本、日志分析、进程分析、启动项分析、样本分析。
-
清理处置:直接杀掉进程,删除文件,打补丁,或是修复文件。
-
产出报告:整理并输出完整的安全事件报告。
应急前沟通:
-
现场现象是什么?如何发现的?(依据是什么?)
-
什么时候发现的?
-
目前是否有做物理隔离(断网)?
-
受害机器是哪几个?
-
受害服务器有几台?
-
最先发现的是哪台?
-
这台服务器对外有哪些服务?
-
这台服务器于其他机器是否处于同一个内网?
-
操作系统类型?是否有公网映射服务?远程管理方式?网络边界有没有流量监控设备?主机侧是否有EDR(终端安全与响应)等安全设备
应急要点一:
-
了解常见端口的攻击方法
应急要点二:
-
不要相信客户说的话(可以听,但不要太相信)
攻击者常利用的web漏洞
攻击平台 | 漏洞编号 |
---|---|
Weblogic | CVE-2017-3248 |
CVE-2017-10271 | |
CVE-2018-2628 | |
CVE-2018-2894 | |
Drupal | CVE-2018-7600 |
CVE-2018-7602 | |
Struts2 | CVE-2017-5638 |
CVE-2017-9805 | |
CVE-2018-11776 | |
ThinkPHP | ThinkPHPv5 GetShell |
Windows Server | 弱口令爆破 |
CVE-2018-0143 | |
PHPStudy | 弱口令爆破 |
PHPMyAdmin | 弱口令爆破 |
MySQL | 弱口令爆破 |
Spring Data Commons | CVE-2018-1273 |
Tomcat | 弱口令爆破 |
CVE-2017-12615 | |
MsSQL | 弱口令爆破 |
Jekins | CVE-2019-1003000 |
JBoss | CVE-2010-0738 |
CVE-2018-12149 |
攻击者常用的组件漏洞
应用 | 漏洞名 |
---|---|
Docker | Docker未授权漏洞 |
Nexus Repository | Nexus Repository Manager 3远程代码执行漏洞 |
ElasticSearch | ElasticSearch未授权漏洞 |
Hadoop Yarn | Hadoop Yarn REST API未授权漏洞 |
Kubernetes | Kubernetes API Server 未授权漏洞 |
Jenkins | Jenkins RCE(CVE-2019-1003000) |
Spark | Spark REST API 未授权漏洞 |
应急响应处置思路
应急响应时间线:
→外网扫描→漏洞利用→主机控制→横向渗透→找到webshell→确定攻击者IP→回溯攻击者操作→梳理整个攻击过程
实战攻击场景下的应急响应 - Web攻击事件
-
相关表现:页面被篡改、恶意推广、黑词黑页、webshell
-
相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容、拖库、内网沦陷等
-
排查要点:能否多个环境下复现异常现象;确定相关资产是否存在;恶意文件是否确实存在于服务器上
-
操作要点:备份文件,webshell后门查杀;web日志分析;web中间件缓存处理;web中间件配置检查;重启web中间件;服务器后门检查
-
防护措施:加固相关web应用,修改相关系统的所有用户密码
实战攻击场景下的应急响应 - 链路劫持
-
相关表现:区域性服务不可用或返回异常内容
-
相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容等
-
排查要点:能否多个环境下复现异常现象;确定相关资产是否存在;恶意文件是否确实存在于服务器上
-
操作要点:跨地区、运营商进行测试,确定受影响的范围;再能复现的环境中判断是DNS劫持还是HTTP劫持
-
防护措施:重要业务部署https
实战攻击场景下的应急响应 - 代理隧道
-
相关表现:持续性或者间断性外连行为,通常为tcp协议;对内我多个主机有访问行为
-
相关危害:作为跳板机攻击其他内网资产
-
排查要点:确定存在代理隧道的跳板机,通常为某时间段内集中访问内网多种资源的机器;判断隧道类型
-
防护措施:完善内网acl,服务器按业务需要通过白名单策略访问外网
实战攻击场景下的应急响应 - 替换系统命令(常见于Linux)
-
相关表现:无明显表现
-
相关危害:将后门、木马持久化在系统中;窃取账号、密码等重要凭证
-
排查要点:使用包管理自带的包校验功能验证文件完整性;分析恶意文件行为,确定影响面
-
操作要点:使用静态链接的busybox;重新安装被替换的包
-
检查命令:rpm -Va(debian) ; dpkg --verify(ubuntu)
实战攻击场景下的应急响应 - 内核态rootkit
-
相关表现:无明显表现
-
相关危害:将后门、木马持久化在系统中;隐藏文件、进程等信息
-
排查要点:确定是否存在无法使用常规命令查看文件、进程
-
操作要点:使用tyton内核态rootkit检测工具检测;检查/etc/modules/是否有未知的内核模块
实战攻击场景下的应急响应 - 计划任务
-
相关表现:特定时间间隔触发木马、后门、网络链接、DNS请求、篡改页面等行为
-
相关危害:将后门、木马持久化在系统中;周期性篡改页面、拉取数据等
-
排查要点:判断是否存在周期性出现的异常现象,检查/var/spool/cron/crontabs/ , /etc/cron.*等常用计划任务配置文件
-
操作要点:停止计划任务服务后再操作;注意辨别利用\r回车符的障眼法小技巧
实战攻击场景下的应急响应 - 远控木马
-
相关表现:有持续或间断性的对外网络链接或DNS请求等通信行为
-
相关危害:窃取系统资料、作为跳板进一步攻击内网其他机器
-
排查要点:关注tcp、udp、icmp等一切网络行为,检查注册表、服务、开机目录、计划任务等一系列常见的持久化点
-
操作要点:检查网络连接,以及IDS设备上的异常远控告警