0x00 應急回應安全事件的分類
今天帶來一篇實戰的應急回應干貨分享!最清晰的思路,讓小白可以獨立支撐應急回應!
常見安全事件的分類
資料安全事件:資料泄露,資料破壞,資料篡改
應用安全事件:網站篡改,sql注入,xss攻擊等等
系統安全事件:口令破解,系統提權,木馬挖礦等
網路安全事件:DDOS,DNS劫持,ARP欺騙等
應急等級:Ⅰ級,Ⅱ級,Ⅲ級,Ⅳ級
預警等級:紅色預警,橙色預警,黃色預警,藍色預警
事件型別:特別重大,重大,較大,一般
0x01 應急回應準備流程:
回應前期:
1.準備階段:應急團隊建設,應急預案制定
2.檢測階段:找到問題根源,確認事件級別
回應中期:
3.抑制階段:快速回應事件,將損失最小化
4.根除階段:加強安全措施,徹底根除隱患
回應后期:
5.恢復階段:恢復業務系統,保持正常運作
6.總結階段:事件復盤總結,回應報告輸出
0x02 某企業挖礦病毒實戰應急回應
背景簡介:
某政企根據管理員反饋,業務運行緩慢,cpu長時間處于100%,嚴重影響業務運行,請求應急回應
1.行程分析:
cpu使用率百分百,發現可疑行程xmrig.exe
2.檔案分析:
定位可疑行程檔案目錄,c:/windows/temp下,發現可疑檔案
3.檔案檢測:
將檔案上傳到檢測平臺,檢測為病毒檔案程式
常見使用微步云沙箱實體:https://s.threatbook.cn/
推薦國外平臺virustotal實體:https://www.virustotal.com/gui/home/upload
4.服務分析:
檢查系統服務,發現例外服務SecurityCheck服務在系統啟動時運行 C:\WINDOWS\Temp目錄的logon.vbs腳本檔案, l分析該vbs腳本檔案,發現其運行了xmrig挖礦程式
5.檢查系統啟動項:
發現例外啟動項,通過啟動項檢查分析,系統啟動時同樣呼叫了C:\WINDOWS\Temp目 錄的logon.vbs腳本檔案
windows檢查啟動項:
6.計劃任務分析:
發現例外系統計劃任務,通過計劃任務分析,系統每隔5分鐘或在用戶登錄時運行C:\WINDOWS\Temp目 錄下的start.bat腳本檔案, l 分析此vbs腳本,其會對系統行程進行判斷,在沒有運行xmrig程式時啟動xmrig程式,
7.賬號分析:
通過分析系統賬號,發現存在例外隱藏賬號***$, 賬號名后帶有$符號,在dos命令列下使用net user不會在結果中顯示,一 般攻擊者利用該特點常用于隱藏后門,
8.事件查看器分析:
檢查系統事件,發現例外登錄事件,篩選系統登錄事件資訊,分析用戶成功或失敗登錄事件,初步確定入侵時間
9.網站檔案檢查查殺:
通過D盾等工具對網站目錄進行掃描,發現網站目錄存在多份木馬檔案,木馬存在時間由此判斷此網站系統被入侵時間已久,
10.日志事件分析:
發現sql注入等攻擊行為
11.應急回應實踐總結:
判斷結果服務器被暴力破解入侵,入侵者可能拿到資料庫權限等,下載執行木馬病毒,非法盈利,并且隱藏木馬配合其他啟動程式,對服務器進行了sql注入,檔案上傳等操作,最侄訓取資料庫資訊
0x03 應急回應報告寫法竅門:
安全報告建議采用5w1h方法來寫:
what why who where when how 即何事何故何人 何地何時何法,
0x04 應急回應工具箱:
威脅情報平臺:
微步威脅情報:https://x.threatbook.cn/
奇安信威脅情報:https://ti.qianxin.com/
綠盟威脅情報:https://nti.nsfocus.com/
360威脅情報:https://ti.360.cn/#/homepage
啟明星辰威脅情報:https://www.venuseye.com.cn/
勒索病毒解密平臺:
360:https://lesuobingdu.360.cn/
騰訊:https://guanjia.qq.com/pr/ls/
奇安信:https://lesuobingdu.qianxin.com/
啟明星辰:https://lesuo.venuseye.com.cn/
騰訊:https://habo.qq.com/tool/index
金山毒霸:http://www.duba.net/dbt/wannacry.html
火絨:http://bbs.huorong cn/forum-55-1.html
瑞星:http://it.rising.com.cn/fanglesuo/index.html
網站木馬查殺工具:
D盾,河馬,牧云(CloudWalker),Safedog…
系統排查工具:
windows:
火絨劍-①
ProcessMonitor
Process Explorer
PChunter
autoruns
safedog
logparser
logparser lizard
event log explorer
linux:
chkrootkit
rkhunter
clamav
safedog
自動化巡檢腳本
流量分析工具:
Wireshark ,Fiddler,科來…
交流學習:
博客:www.kxsy.work
CSND社區:告白熱
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/342023.html
標籤:其他
上一篇:路由重發布