在日常/非日常的工作中我们经常会接收到某某客户的应急响应,不得不说每次应急事件的花样都不同,这样也就导致了一些初入安全行业工作的朋友,那么今天就由我来将一些在应急响应中需要注意的事项和应对方法。
首先我们要了解一下应急响应的流程:
0x1准备阶段
询问/沟通-到达客户现场后的第一个流程是和客户沟通,我们需要知道本次事件的背景,然后询问本次受灾的程度,最后询问客户是否已经做过哪些措施;
信息收集-当我们知道本次受灾的详情后就可以大体知道受灾目标为哪些,知道了受灾目标后可以开始收集病毒样本/Webshell,和最为重要的日志,其中所需日志可以根据当前应急类型来进行收集;如果是一次网站入侵事件,则需要收集Web中间件/容器的日志、应用系统本身日志、操作系统日志;
初步判断-经过以上信息,我们大致可以判断出本次应急的事件类型,然后对症下药;
0x2 抑制阶段
抑制是应急响应中最为简单的,当然也得需要格外细心。
抑制分为多重,通常我们采用针对性较安全的方式,例如物理隔离、网络隔离、应用隔离;
物理隔离-与生产环境直接脱离,硬件拆除;
网络隔离-与生产环境进行断网操作,包括局域网,让其成为一个光杆司令;
应用隔离-当受灾面积较小的时候,可以采用单独隔离当前应用系统,也可以对应用系统进行降权处理;
0x3 根除阶段
通过0x2阶段,我们通常可以阻断攻击者/病毒的二次攻击和传播,那么接下来的就是进行踢出攻击者/根除病毒。
Web入侵-通常先对系统口令进行修改,然后对Webshell进行清理,紧接着对服务器子账号/影子账号、进程/计划任务/注册表/服务/可疑端口进行清理;
勒索病毒-首先查杀主程序,解决掉主程序后我们就可以进入到恢复阶段;
挖矿病毒-首先进行查杀主程序,可以先看看占用资源最多的进程,基本上就是它没跑了;
CC&DDOS-这类的攻击成本是最低的,同时也是门槛最低的,但是解决起来比较麻烦,通常我们采用封禁攻击ip、清洗流量、限制可疑访问和临时追加宽带来缓解;
对于病毒的查杀这里推荐360安全卫士:http://weishi.360.cn/
0x4 恢复阶段
通过以上,攻击行为已经处理的差不多了,接下来就是比较重要的恢复阶段。
数据恢复-将我们攻击者恶意修改的内容进行恢复,常见如用户、口令、文件;
系统恢复-勒索类的在这里比较特殊,如果在已知库里未发现解密方法,那就要对样本进行分析然后进行解密恢复;其他类型相对简单,常见的如补丁加固、进程/服务/计划任务/注册表恢复、系统密码;
网络恢复-解除我们之前的访问频率、端口限制和流量的限制即可,如果接入云清洗的,恢复解析即可;
有些个人/公司对于勒索病毒分析能力不是很强的,推荐使用360公司出品的勒索病毒专杀/恢复工具:https://lesuobingdu.360.cn/
0x5 溯源阶段
关于溯源,包含了溯源到攻击者,同时也含有溯源到攻击入口的意思。
Web攻击者-一般我们可以通过web容器/中间件和系统的登陆日志可查出,配合威胁情报即可定位到虚拟身份;
病毒传播者-可以对病毒进行反编译,也可以查看病毒对外的网络链接,然后根据威胁情报进行锁定攻击者;
攻击入口-是指寻找到攻击者如何打入到内部/如何攻破系统的,查看应用日志和中间件日志即可;
关于病毒分析,推荐使用360安全大脑沙箱云https://ata.360.cn
0x6 跟踪/总结
这是应急响应的最后一项,当做到这一步就意味着本次应急响应事件即将结束,我们做的好不好或者哪里有不足,可以在本阶段进行体现出来。
跟踪事件-经过我们的处理后,短期内是否会第二次发生同样的事件;
整改合规-对于本次的事件整改是否合规了进行跟进;
总结事件-输出本次应急响应报告,提供修复建议、加强安全意识、避免同类事件再次发生。
0x7 应急响应中需注意的事
1.一定要多和客户沟通,尤其是运维和对方技术负责人,这样我们就可以快速的了解到客户做了哪些操作,同时也会方便我们进行信息收集;
2.善于利用客户的安全设备,有些客户会有很多安全设备,要充分利用;
3.遇到拿不准的问题要和同事/领导/客户进行沟通,不要擅自做危险操作;
4.平时多提升自己的技术,当自己充分了解的攻击手段后,做应急那不是手到擒来;
5.记得多截图,并且要截取完整,方便输出报告以及解决不必要的麻烦
0x8常用的工具以及技巧:
Linux应急响应日志篇-https://forum.90sec.com/t/topic/400
360安全卫士-http://weishi.360.cn
360云沙箱-https://ata.360.cn
360网络空间测绘-https://quake.360.cn/
360威胁情报中心-https://ti.360.cn/
360勒索专杀和恢复- https://lesuobingdu.360.cn
Webshell查杀-D盾、护卫神、安全狗
动态域名:3322.org、8866.org、9966.org、ddns.net、7766.org、ddnsking.com等
微步在线- https://x.threatbook.cn/
VirusTotal-https://www.virustotal.com/gui/
评论 (0)