总字符数: 27.68K
代码: 9.10K, 文本: 7.71K
预计阅读时间: 1.22 小时
什么是应急响应
应急响应
应急响应(Incident Response/Emergency Response):
通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施
计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障(这里的系统包括主机范畴内的问题,也包括网络范畴内的问题)、组织内部或外部的人、计算机病毒或蠕虫等
应急处置
启动应急响应计划后,应立即采取相关措施抑制信息安全事件影响,避免造成更大损失.
在确定有效控制了信息安全事件影响后,开始实施恢复操作.
恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施.信息安全应急响应计划规范GB/T 24363-2009
应急响应生命周期(PDCERF)
检测
预防为主
微观
- 帮助服务对象建立安全政策
- 帮助服务对象按照安全政策配置安全设备和软件 扫描,风险分析,打补丁 如有条件且得到许可,建立监控设施
宏观
- 建立协作体系和应急制度
- 建立信息沟通渠道和通报机制
- 电话、即时通讯、email
- 如有条件,建立数据汇总分析的体系和能力 有关法律法规的制定
制定应急响应计划
- 应急经费筹集
- 人力资源
- 指挥调度人员、协作人员
- 技术人员、专家
- 设备、系统和服务提供商
- 硬件设备准备
- 数据保护设备(磁盘、SAN)、冗余设备 (网络链路、网络设备、关键计算机设备
- 软件工具准备
- 备份软件、日志处理软件
- 系统软件、应急启动盘
- 病毒、恶意软件查杀软件
- 现场备份
- 业务连续性保障
- 系统容灾、搭建临时业务系统
准备
微观(负责具体网络的CERT)-确定事件性质和处理人
- 确定事件的责任人:指定一个责任人全权处理,事件,给予必要的资源
- 确定事件的性质: 误会?玩笑?还是恶意的攻击/入侵? 影响的严重程度, 预计采用什么样的专用资源来修复?
宏观(负责总体网络的CERT)
- 通过汇总,确定是否发生了全网的大规模事件
- 确定应急等级,以决定启动哪一级应急方案
事故的标志(征兆和预兆)
- Web服务器崩溃
- 用户抱怨主机连接网络速度过慢
- 子邮件管理员可以看到大批的反弹电子邮件与可疑内容
- 网络管理员通告了一个不寻常的偏离典型的网络流量流向
来源
- 网络和主机IDS 、防病毒软件、文件完整性检查软件、系统、网络、蜜罐日志
- 公开可利用的信息、第三方监视服务
确认事故
- 确认网络和系统轮廓: 分析事故的最好技术方法之一
- 理解正常的行为: 基于处理事故的良好准备
- 使用集中的日志管理并创建日志保留策略
- 执行事件关联
- 保持所有主机时钟同步
- 维护和使用信息知识库: 分析事故时的快速参考
- 使用互联网搜索引擎进行研究
- 运行包嗅探器以搜集更多的数据
- 过滤数据
- 经验是不可替代的
- 建立诊断矩阵
- 寻求帮助
诊断矩阵实例
| 征兆 | 拒绝服务 | 恶意代码 | 非授权访问 | 不正确使用 |
|---|---|---|---|---|
| 文件,关键,访问尝试 | 低 | 中 | 高 | 低 |
| 文件,不适当的内容 | 低 | 中 | 低 | 高 |
| 主机崩溃 | 中 | 中 | 中 | 低 |
| 端口扫码,输入的, 不正常的 | 高 | 低 | 中 | 低 |
| 端口扫码,输出的, 不正常的 | 低 | 高 | 中 | 低 |
| 利用带宽高 | 高 | 中 | 低 | 中 |
| 利用电子邮件 | 中 | 高 | 中 | 中 |
遏制
即时采取的行动
微观
- 防止进一步的损失,确定后果
- 初步分析,重点是确定适当的封锁方法
- 咨询安全政策
- 确定进一步操作的风险
- 损失最小化(最快最简单的方式恢复系统的基本功能,例如备机启动)
- 可列出若干选项,讲明各自的风险,由服务对象选择
宏观
- 确保封锁方法对各网业务影响最小
- 通过协调争取各网一致行动,实施隔离
- 汇总数据,估算损失和隔离效果
建议组织机构为几类主要的事故建立单独的遏制策略
其标准包括:
- 潜在的破坏和资源的窃取
- 证据保留的需要
- 服务可用性(例如:网络连接,提供给外部当事方的服务)
- 实施战略需要的时间和资源
- 战略的有效性(例如:部分遏制事故,完全遏制事故)
- 解决方案的期限(例如:紧急事故工作区需在4 小时内清除,临时工作区需在两周内清除,永久的解决方案)。
根除
长期的补救措施
微观
- 详细分析,确定原因,定义征兆
- 分析漏洞
- 加强防范
- 消除原因
- 修改安全政策
宏观
- 加强宣传,公布危害性和解决办法,呼吁用户解决终端的问题;
- 加强检测工作,发现和清理行业与重点部门的问题
恢复
微观
- 被攻击的系统恢复正常的工作状态
- 作一个新的备份
- 把所有安全上的变更作备份
- 服务重新上线
- 持续监控
宏观
- 持续汇总分析,了解各网的运行情况
- 根据各网的运行情况判断隔离措施的有效性
- 通过汇总分析的结果判断仍然受影响的终端的规模
- 发现重要用户及时通报解决
- 适当的时候解除封锁措施
跟踪
跟踪
- 关注系统恢复以后的安全状况,特别是曾经出问题的地方
- 建立跟踪文档,规范记录跟踪结果
- 对响应效果给出评估
- 对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动
- 事件的归档与统计
- 处理人、时间和时段、地点
- 工作量、事件的类型、对事件的处置情况
- 代价、细节
应急响应思路流程
1、收集信息
在赶往出事地点的路上以及还没有接触到具体业务时,要提前向客户询问清楚事件情况,如发现时间以及大致发生时间、事件造成的破坏、受害主机情况(如系统、版本、内外网)、客户的具体处置要求
应急响应信息收集表
| 项目 | 描述 |
|---|---|
| 发生时间 | 大致发生的时间段 |
| 感染主机数 | 感染了多数台主机 |
| 受害主机情况 | 什么系统、版本、小程序、Web还是OA、内网还是外网 |
| 补丁情况 | 打了哪些补丁,是否存在补丁漏打 |
| 中毒现象 | 勒索/挖矿/DoS/僵尸网络/后门/木马 |
| 客户名称 | 什么区域的什么客户 |
| 帐号密码 | 确认是否有弱密码 |
| 对外开发端口 | 对外开发了哪些端口 |
| 开启的服务 | 开启了哪些服务 |
| 操作系统版本 | 操作系统版本信息 |
| 客户需求 | 确认客户具体需求 |
2、事件预定性
在初步了解情况后先做一个事件性质预判,判断下这个事件是个什么事件,是勒索还是挖矿还是其他事件。然后根据事件发生时间划定一个时间范围,重点排查这个时间段内的情况,从影响范围中确认一个排查范围。
3、取证分析
取证并非毫无头绪的,病毒本身必然有网络行为,内存必然有其二进制代码,它要么是单独的进程模块,要么是进程的dll/so模块,通常,为了保活,它极可能还有自己的启动项、网络心跳包。
可以归结为如下4点要素:流量、内存、模块、启动项。
流量分析可以使用Wireshark,主要分析下当前主机访问了哪些域名、URL、服务,或者有哪些外网IP在访问本地主机的哪些端口、服务和目录,又使用了何种协议等等。
取证注意事项
保护
1 | 保证数据的安全性:制作磁盘映像——不在原始磁盘上操作 |
提取
1 | 优先提取易消失的证据:内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存等 |
分析
1 | 证据在什么地方:日志、删除的文件、临时文件、缓存 |
4、定向分析
二次定性后,我们基本已经真正掌握了事件情况,这时就可以进行各种分析,对各种情况利用各种工具快速分析
响应流程
事件发生
运维监控人员、客服审核人员等发现问题,向上通报。
事件确认
收集事件信息、分析网络活动相关程序,日志和数据,判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等。
事件响应
各部门通力合作,处理安全问题,具体解决问题,避免存在漏洞未修补、后门未清除等残留问题。
事件关闭
处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。
分析方向
应急分类
网站入侵应急:网站瘫痪、网页篡改、页面挂马、撞库、横向移动
主机入侵应急:木马病毒、后门攻击、异常登录、系统异常、RDP爆破、SSH爆破、主机漏洞
病毒木马:远控、后门、勒索软件
信息泄露:刷库、数据库弱口令
网络流量:频繁发包、批量请求、DDos攻击
文件分析
基于变化的分析
1
2
3日期
文件增改
最近使用文件源码分析
1
2检查源码改动
查杀WebShell等后门系统日志分析
应用日志分析
1
2
3分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas
对每种攻击进行关键字匹配, e.g. select/alert/eval
异常请求,连续的404-目录扫描、302-暴力破解、500等md5sum检查常用命令二进制文件的哈希,检查是否被植入rootkit
进程分析
符合以下特征的进程
1
2
3
4CPU或内存资源占用长时间过高
没有签名验证信息
没有描述信息的进程
进程的路径不合法dump系统内存进行分析正在运行的进程
正在运行的服务
父进程和子进程
后台可执行文件的完整哈希
已安装的应用程序
运行着密钥或其他正在自动运行的持久化程序
计划任务
身份信息分析
- 本地以及域账号用户
- 异常的身份验证
- 非标准格式的用户名
日志分析
- 杀软检测记录
- 系统日志
- 中间件日志
网络分析
- 监听端口和相关服务
- 最近建立的网络连接
- RDP / VPN / SSH 等会话
- 防火墙配置
- DNS配置
- 路由配置
配置分析
- 查看配套的注册表信息检索,SAM文件
- 查看环境变量
- 查看Linux SE等配置
- 内核模块
木马排查实战流程
内存马查杀
visualvm适用于servlet或filter框架组件内存马(JDK1.8以上,bin文件下)自带
- arthas 适用于servlet或filter框架组件内存马是阿里巴巴开源的Java诊断工具
- copagent 适用于servlet,filter,listenter框架组件内存马
研判与溯源
分析流程
- 定位事件
- 设备告警
- 辅助设备
- 告警事件
- 应急响应
- 分析服务器以及相应服务开放的端口
- 21 3389 445 443 80 3306 8080
- 分析服务被攻击的方法
- OWASP TOP 10
- 爆破
- 欺骗
- 钓鱼
- 漏洞利用
- 分析日志
- 查找Webshell
- 分析网站数据库连接账号权限
- 分析网站容器权限
- 被提权了
- 查看补丁
- 查看账号连接情况(分析注册表如是否被克隆账号)
- 查看网络连接
- 分析进程
- 分析注册表启动程序
- 分析日志
- 分析一些提权工具
- 漏洞利用程序
- 执行对比命令
- mimakatz
- 报告整理
信息分析
用户画像绘制流程
案例
IP 反查域名
- 对 IP 进行威胁情报中心查询,IP 反查到域名
- 多个域名实时解析均为 129.226.xxx.xxx。发现该 ip 关联域名,访问获取到该人姓
- 访问域名
通过访问域名的历史快照获取关键信息 - 进一步搜索人名相关信息
获取 QQ 信息为 8888888,电话为 188888888,邮箱为 8888888@gmail.com。 通过手机号搜索微信,在视频号叫***,并与Github ID一致。
个人简介中热爱编程,QQ 为 8888888,QQ 为同一个,信息准确。 通过常用 id 为 88888888 搜索 github
重大信息安全事件报告表
| 重大信息安全事件报告表 | |
|---|---|
| 报告时间: x 年x 月x 日x 时x 分 | |
| 单位名称: | 报告人: |
| 联系电话: | 通讯地址: |
| 传真: | 电子邮件: |
| 发生重大信息安全事件的信息系统名称及用途: | |
| 负责部门: | 负责人: |
| 重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明): | |
| 初步判定的事故原因: | |
| 当前采取的措施: | |
| 本次重大信息安全事件的初步影响状况: | |
| 影响范围: | 严重程度: |
| 值班电话: | 传真: |
应急响应总结模板
| 信息安全事件应急响应结果报告表 | |
|---|---|
| 原事件报告时间: x 年x 月x 日x 时x 分 | |
| 备案编号: x 年x 月x 日x 第 x 号 | |
| 单位名称: | 报告人: |
| 联系电话: | 通讯地址: |
| 信息系统名称及用途: | |
| 已采用的安全措施: | |
| 信息安全事件的补充描述及最后判定的事故原因: | |
| 本次信息安全事件的初步影响状况: | |
| 事后结果: | 影响范围: |
| 严重程度: | |
| 本次信息安全事件的主要处理过程及结果: | |
| 针对此类信息安全事件应采取的保障信息系统安全的措施和建议: | |
| 报告人签名: |
