一���、服務(wù)流程
溝通確認(rèn)安全事件
在與客戶第一次溝通時(shí)����,應(yīng)及時(shí)提醒客戶對受害機(jī)器及時(shí)進(jìn)行斷網(wǎng)隔離操作�。已知的安全事件包括但不限于如下:
1. 惡意代碼威脅,即僵尸網(wǎng)絡(luò)����、惡意木馬、蠕蟲病毒�����、勒索病毒等惡意代碼導(dǎo)致的安全事件
2. 高級持續(xù)性威脅(APT)攻擊事件,即具有潛伏性�、隱蔽性、目的性�����、持續(xù)性等特點(diǎn)的安全事件
3. 非法入侵事件�����,包括但不限于業(yè)務(wù)系統(tǒng)受到入侵致使數(shù)據(jù)泄露��、丟失等���;外網(wǎng)網(wǎng)站被入侵�,導(dǎo)致網(wǎng)站被惡意篡改植入暗鏈或出現(xiàn)其他非法的宣傳標(biāo)語�;服務(wù)器被入侵導(dǎo)致受到勒索攻擊等安全事件
4. 漏洞事件,即0day公布�;在野漏洞發(fā)現(xiàn);已知漏洞被發(fā)現(xiàn)受到通報(bào)等安全事件
5. 數(shù)據(jù)泄露事件�����,即重要數(shù)據(jù)因受到了入侵導(dǎo)致的泄露;應(yīng)用配置不當(dāng)導(dǎo)致的泄露���;員工誤操作導(dǎo)致的泄露;內(nèi)鬼泄露等安全事件
6. 分布式拒絕服務(wù)攻擊(DDOS)事件����,即網(wǎng)站受到了各類DOS攻擊,包括但不限于CC攻擊��、洪水攻擊�����、流量放大攻擊等安全事件
7. 流量劫持���,DNS劫持���、HTTP劫持
8. 其他歸于網(wǎng)絡(luò)安全的事件
注意事項(xiàng):一定要親自確認(rèn),切不可盲目相信他人所述�����。
確認(rèn)后����,應(yīng)盡量收集與本次安全事件相關(guān)的信息�����,例如什麼時(shí)候發(fā)現(xiàn)的攻擊����,之前有無出現(xiàn)過安全事件等�。
在確認(rèn)安全事件后明確應(yīng)急目的:
1. 病毒、后門清除工作
2. 協(xié)助業(yè)務(wù)系統(tǒng)安全的恢復(fù)上線
3. 攻擊溯源工作���。(僅溯源至攻擊者的攻擊切入點(diǎn))
現(xiàn)場保護(hù)
在與客戶溝通時(shí)��,應(yīng)提醒客戶注意保護(hù)現(xiàn)場�,千萬不要直接重裝系統(tǒng)�,以方便后續(xù)的溯源工作及可能存在的電子取證工作。在處置受害機(jī)器時(shí)����,應(yīng)盡量保持受害機(jī)器的原樣,如虛擬機(jī)處置時(shí)����,可以讓客戶進(jìn)行快照存儲(chǔ)���。
了解客戶網(wǎng)絡(luò)狀況
對客戶的網(wǎng)絡(luò)拓?fù)鋺?yīng)盡早進(jìn)行了解,特別是網(wǎng)絡(luò)的進(jìn)出口�����、負(fù)載均衡�����、防火墻��、DNS服務(wù)器�����。
確定事件影響 確定工作方向 確立工作目標(biāo)
明確現(xiàn)場工作任務(wù)歸屬
無論現(xiàn)場的環(huán)境����,主導(dǎo)本次安全事件��,合理分配現(xiàn)場工作為應(yīng)急人員的必備技能��。
對現(xiàn)場的可能存在的工作應(yīng)具備清晰的認(rèn)知。通常會(huì)存在以下工作內(nèi)容:病毒分析處置����、業(yè)務(wù)恢復(fù)、安全加固����、溯源分析、臨時(shí)需求處置��、產(chǎn)品對接與使用�、應(yīng)急指揮與協(xié)調(diào)。
二�����、技術(shù)部分
1. 系統(tǒng)
1.1 Windows
1.1.1 熟悉現(xiàn)場環(huán)境
對受害機(jī)器進(jìn)行了解��,分析可能存在的共同弱點(diǎn)���,進(jìn)而提供溯源思路���。
如:是否存在弱口令(例如3389、FTP���、中間件��、數(shù)據(jù)庫)
是否存在對外映射的端口����,或WEB應(yīng)用等
1.1.2 賬號(hào)安全風(fēng)險(xiǎn)分析
查看當(dāng)前已登錄的賬號(hào)
query user
使用logoff ID 命令注銷已登錄用戶,當(dāng)可疑賬號(hào)處于登錄狀態(tài)時(shí)����,也可以使用mimikatz抓取密碼。
查看用戶目錄 是否存在新建用戶目錄
C:\Documents and Settings
C:\Users
查看對應(yīng)用戶的desktop與download目錄下是否存在異常文件
查看是否存在可疑賬號(hào)�、新增賬號(hào)(注意Guest用戶是否開啟)
Win+R輸入lusrmgr.msc net user username查看詳細(xì)
查看是否存在隱藏賬號(hào)���、克隆賬號(hào)
運(yùn)行 — regedit.exe查看注冊表
或使用工具PC hunter與D盾進(jìn)行排查
建立隱藏用戶參考鏈接:
http://www.uyaoqi.cn/news/qt/283.htm
1.1.3 日志風(fēng)險(xiǎn)分析
Win+R 輸入 eventvwr.msc
打開事件查看器��,注意日志事件是否存在缺失現(xiàn)象(日志出現(xiàn)斷點(diǎn)或發(fā)現(xiàn)存在清除痕跡)�����。
日志事件查看器本身支持篩選功能����。也可以導(dǎo)出為CSV 或者TXT使用Excel或者Notepad進(jìn)行分析
使用微軟Log Parser進(jìn)行分析(Log ParserUI封裝了語句gui界面)
運(yùn)行 — %UserProfile%\Recent���,分析最近打開可疑文件����,或根據(jù)最近修改時(shí)間進(jìn)行排查
查看U盤使用痕跡,對比各時(shí)間點(diǎn)�,排查可疑使用記錄
//*注意采集日志時(shí),應(yīng)注意日志是否存在時(shí)間斷點(diǎn)���、或部分日志丟失情況
1.1.4 病毒風(fēng)險(xiǎn)排查
使用360殺毒離線版��,并下載最新病毒庫下載地址:http://sd.#/download_center.html
使用其他殺軟��,并注意客戶現(xiàn)場是否存在友商產(chǎn)品�。
1.1.5 異常風(fēng)險(xiǎn)分析
1.1.5.1端口狀態(tài)
cmd命令
netstat -ano
netstat -ano | findstr “port”查看端口對應(yīng)的活動(dòng)連接
tasklit | findstr “PID” 查看相應(yīng)PID的進(jìn)程
TCP端口狀態(tài)說明
http://www.uyaoqi.cn/news/qt/284.htm
工具使用
PC Hunter�、D盾
1.1.5.2進(jìn)程
運(yùn)行 — msinfo32 –軟件環(huán)境–正在運(yùn)行任務(wù),查看詳細(xì)
運(yùn)行 — taskmgr 任務(wù)管理器進(jìn)行查看��,可由進(jìn)程打開相應(yīng)文件位置�,及相應(yīng)服務(wù)。
排查可疑進(jìn)程及子進(jìn)程(多涉及感染型病毒)
觀察內(nèi)容包括:
沒有簽名驗(yàn)證信息的進(jìn)程
沒有描述信息的進(jìn)程
屬主異常的進(jìn)程
路徑不合法的進(jìn)程
CPU或內(nèi)存資源 長時(shí)間或過高占用的進(jìn)程
存在異���;顒(dòng)連接的進(jìn)程
工具使用:
PC Hunter���、D盾�����、Process Explorer�����、Process Hacker���、Autoruns
1.1.5.3啟動(dòng)項(xiàng)
注意當(dāng)前系統(tǒng)時(shí)間是否有問題,病毒可能存在篡改系統(tǒng)時(shí)間�,或利用系統(tǒng)時(shí)間異常的可能性。
單擊–開始–所有程序–啟動(dòng)
輸入命令查看啟動(dòng)項(xiàng)wmic startup list full
運(yùn)行 – 輸入msconfig查看是否存在可疑的啟動(dòng)項(xiàng)目
打開注冊表���,查看是否存在可疑開機(jī)啟動(dòng)項(xiàng)��,特別注意如下三個(gè)注冊表項(xiàng):
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
運(yùn)行 — gpedit.msc組策略中查看啟動(dòng)
工具使用:
Autoruns、PC Hunter�、360安全衛(wèi)士
1.1.5.4計(jì)劃任務(wù)
控制面板 — 管理工具 — 任務(wù)計(jì)劃程序
或運(yùn)行 — taskschd.msc
通過命令查看計(jì)劃任務(wù)schtasks /query /fo table /v
或者注冊表下手動(dòng)排查(其使用了XML格式,若出現(xiàn)特殊字符�,可導(dǎo)致打開報(bào)錯(cuò))
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tree
運(yùn)行 — 管理員運(yùn)行cmd — at 檢查計(jì)算機(jī)與網(wǎng)絡(luò)上其他計(jì)算機(jī)之間的會(huì)話或者計(jì)劃任務(wù),如有確認(rèn)是否為正常連接���。
1.1.5.5系統(tǒng)服務(wù)
運(yùn)行 — services.msc 注意服務(wù)狀態(tài)和啟動(dòng)類型�����,檢查是否存在可疑服務(wù)���。
運(yùn)行 — taskmgr 任務(wù)管理器內(nèi)查看服務(wù)
工具使用:
PC Hunter
1.1.6 系統(tǒng)風(fēng)險(xiǎn)分析
1.1.6.1 系統(tǒng)后門排查
對當(dāng)前操作系統(tǒng)版本����、操作系統(tǒng)補(bǔ)丁�、應(yīng)用版本進(jìn)行確認(rèn),分析可能存在的威脅因素�。
如“永恒之藍(lán)”漏洞未打補(bǔ)丁,是否存在利用痕跡����。
IIS低版本漏洞。
檢查方法:
1. 運(yùn)行 — systeminfo查看系統(tǒng)信息
2. Shift后門排查使用OD 分析C:\WINDOWS\system32\dllcache\sethc.exe
3. 對于一些windows常見的持久化痕跡基本都很明顯
1.1.6.2 敏感目錄排查
可能存在問題的敏感目錄
%WINDIR%
%WINDIR%\system32%TEMP%
%LOCALAPPDATA%
%APPDATA%各盤下的tmp緩存目錄�,例如C:\Windows\Temp
1.1.7 綜合分析得出結(jié)論
1. 系統(tǒng)漏洞直接造成的入侵事件。如“永恒之藍(lán)”�����、弱口令
2. 系統(tǒng)漏洞間接造成的入侵事件��。如WebShell后�,本地提權(quán)�。
3. 應(yīng)用漏洞直接或間接造成的入侵事件�。如Struts 2遠(yuǎn)程命令執(zhí)行、WebLogic弱口令或遠(yuǎn)程代碼執(zhí)行��、IIS PUT上傳漏洞�、FTP弱口令或溢出攻擊等。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
