紧急响应-从理论到实战
发布时间:2023-03-06 14:31:13 所属栏目:安全 来源:
导读:第一章:了解应急响应
也因此作为一名网络安全从业人员,对于网络安全知识产权我们并不陌生,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系
也因此作为一名网络安全从业人员,对于网络安全知识产权我们并不陌生,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系
|
第一章:了解应急响应 也因此作为一名网络安全从业人员,对于网络安全知识产权我们并不陌生,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统连续、可靠、正常运行,网络服务不中断。面对各种新奇怪异的病毒和不计其数的安全漏洞,建立科学合理有效的高等院校网络安全事件应急体系并使网络教育安全性不断完善,已成为信息化社会发展的必然需要。 至此,网络安全应急响应就呼之欲出了,网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 第二章:应急响应流程 对于初学者来说,首先我们应该知道我们如何来应对一次真正的应急响应工作,通过全流程来进行学习更有利于我们快速上手。 一、响应: (1)事件类型判断: 分析 分析的前提是提炼,提炼出关键信息分析。而提炼的前提是熟悉,了解攻击手法。 (1)日志、流量、样本分析 分析三大件:日志、流量、样本。 日志主要注意的是:时间、动作、结果;这个行为什么时候开始、什么时候结束,这个动作是登陆、退出、修改等、造成的结果是登陆成功/失败、上传/下载了文件、执行了代码等。 流量主要注意的是:状态码、交互过程、数据合理性;每一次交互的状态码,交互过程中是否符合该种协议的正确交互过程,每个字段的填充、每次流量的渲染是否正常。 样本主要注意的是:启动方式、伪装方式、作用;根据启动方式去选择沙箱或者分析工具;伪装方式判断是否加壳做免杀和打击方式;根据作用去判断受害范围。 日志属于静态信息需要应急人员清晰分辨出日志表达的内容和快速筛选出可疑的点。流量和样本属于动态信息,应急人员需要拥有一定的渗透能力去分辨交互行为。 (2)行为分析&还原攻击过程 从行为出发,还原攻击路径,推演攻击过程。 行为分析基于三大件分析,结合系统表现出来的情况做分析,例如:启动项、启动脚本、进程、内存等。 还原攻击过程需要对攻击大致的情况有一个综合判断,且必须具备渗透能力,再此基础上放入沙箱重新复现攻击过程,对后续的步骤提供帮助。 ①下面是我整理出来的windows和linux应急响应的基本手工分析收集命令: 第一步:系统排查 1.windows系统 命令行中输入【msinfo32】命令--查看服务、驱动 命令行中输入【systeminfo】命令--简单查看系统版本/主机名 2.linux系统 命令行中输入【lscpu】命令,可查看 CPU 相关信息 命令行中输入【uname -a】命令,可查看当前操作系统信息 命令行中输入【cat /proc/version】命令,可查看当前操作系统版本信息 命令行中输入【lsmod】命令,可查看所有已载入系统的模块信息 第二步:启动项 1.windows系统 命令行中输入【msconfig】命令,可查看启动项的详细信息 2.linux系统 使用【cat /etc/init.d/rc.local】命令,可查看 init.d 文件夹下的 rc.local 文件内容。 使用【cat /etc/rc.local】命令,可查看 rc.local 文件内容。 使用【ls -alt /etc/init.d】命令,可查看 init.d 文件夹下所有文件的详细信息 第三步:任务计划 1.windows系统 终端输入【Get-ScheduledTask】命令,可查看当前系统中所有任务计划的信息 命令行中输入【schtasks】命令,可获取任务计划的信息 2.linux系统 命令行中输入【crontab -l】命令,可查看当前的任务计划 输入【ls /etc/cron*】命令查看 etc 目录下的所有任务计划文件 第四步:防火墙 1.windows系统 命令行中输入【netsh】命令进行查看。 使用【netsh Firewall show state】命令,可显示当前防火墙的网络配置状态 2.linux系统 无 第五步:进程排查 1.windows系统 命令行中输入【tasklist】命令,可显示运行在计算机中的所有进程 输入【tasklist /svc】命令,可以显示每个进程和服务的对应情况 输入【tasklist /m】命令进行查询某些加载 DLL 的恶意进程 使用【netstat -ano | findstr "ESTABLISHED"】命令查看目前的网络连接,定位可疑的 ESTABLISHED 使用【tasklist | find "2856"】命令可查看具体的程序 使用【Get-Wmi ObjectWin32_Process | select Name, ProcessId, ParentProcessId, Path】命令中 Get-WmiObject Win32_Process 表示获取进程的所有信息 使用【wmic process get name,parentprocessid,processid /format:csv】命令,以 csv 格式来显示进程的名称、父进程 ID、进程 ID 2.linux系统 利用【ls -alt /proc/PID】命令,可查看其对应的可执行程序 使用【kill -9 PID】命令结束进程 第六步:服务排查 1.windows系统 输入【services.msc】命令,可打开【服务】窗口 2.linux系统 命令行中输入【chkconfig --list】命令,可以查看系统运行的服务 第七步:文件痕迹排查 1.windows系统 检查各个盘下的 temp(tmp)相关目录、浏览器的历史记录、下载文件和 cookie 信息 使用【forfiles /m *.exe /d +2020/2/12 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null】命令就是对 2020/2/12 后的exe 新建文件进行搜索。 2.linux系统 检查/tmp 目录和命令目录/usr/bin /usr/sbin 检查~/.ssh 及/etc/ssh 也经常作为一些后门配置的路径 使用命令【find / -ctime 0 -name "*.sh"】,可查找一天内新增的 sh 文件 第八步:日志排查 1.windows系统 使用【Get-WinEvent -FilterHashtable @{LogName='Security';ID='4625'}】命令, 也可获取安全性日志下事件 ID 为 4625 的所有日志信息 FullEventLogView 工具(绿色安装,方便使用) 2.linux系统 Linux 系统中的日志一般存放在目录“/var/log/”下 第九步:内存排查和流量分析 常用的提取工具有 Dumpit、Redline、RAM Capturer、FTK Imager 等--提取出的文件上传到 virustotal 平台并进行扫描判断 常用的内存分析工具有Redline/Volatility,举例wireshark 使用【ip.addr ==ip】命令,可对特定 IP 地址进行过滤 使用【ip.src==ip】命令,可对指定的源 IP 地址进行过滤 直接输入 HTTP、HTTPS、SMTP、ARP 等协议进行筛选 使用【top.port==端口号】或【udp.port==端口号】命令,可对端口进行过滤 使用【tcp contains strings】命令,可对数据包中的关键字进行检索 第十步:Linux 系统排查webshell find ./ -type f -name "*.jsp" |xargs grep "exec(" find ./ -type f -name "*.php" |xargs grep "eval(" find ./ -type f -name "*.asp" |xargs grep "execute(" find ./ -type f -name "*.aspx" |xargs grep "eval(" 搜索目录下适配当前应用的网页文件,查看内容是否有 Webshell 特征,很多木马和大马都带有典型的命令执行特征函数,如 exec()、eval()、execute()等 四、清除 我们要做的与渗透无异——“做好清除,藏好自己”。(1)非对抗情况下在不存在对抗的情况下,最极端就是全盘重装,稍次就是数据迁移后对系统盘重装。在普通情况下,我们可以进行针对性的杀进程、删文件、杀软清除。(2)存在对抗情况下对抗情况就是:顽固马与不死马存在,或者被持续攻击(apt)。 这样的情况下,首选是在允许情况下打补丁,再恢复。找到攻击行为的源头,先补上漏洞再清除。 五、加固 加固就是打补丁、对系统进行限制(网络隔离、行为管理等)、升级防御设备、完善防御流程(防御设备的部署、人员的部署、规则库的升级) 第三章:应急响应实战 在了解过应急响应的一些基本概念和指导手册,当然唯有实战操作才能让我们更快的掌握应急响应的基操。 (编辑:驾考网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐