“应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
应急响应的方式:
现场应急响应:通常是要到客户突发现场进行应急处置。需注意相关操作必须获得用户授权,并对操作过程进行记录。
远程应急响应:远程通过电话、邮件等方式指导用户进行应急处置。
应急响应的流程:
1.准备阶段2.检测阶段3.抑制阶段5.根除阶段6.恢复阶段7.跟踪总结
准备阶段:
主要包括:事件发生的背景、响应人员的确定、事件响应策略、相关负责人联系方式、应急响应相关授权、应急响应工具包、应急响应手册等。
检测阶段:
主要包括:事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。
抑制阶段:
主要包括:物理遏制、网络遏制、主机遏制、应用遏制等。常见手段:断网、降权、网络封堵等。
根除阶段:
主要包括:分析查明危害的方式、整理解决办法、可从系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查等入手排查。
恢复阶段:
主要包括:将出现问题的业务恢复正常、系统恢复、网络恢复、用户恢复、数据恢复以及重新部署。常见手段:系统重装、补丁加固、网络恢复、密码重置、木马清除等。
跟踪总结:
主要包括:调查事件原因,输出应急响应报告,提供安全建议、加强安全教育、避免同类事件再次发生。
注意点:
一、多和客户进行交流,询问运维人员及其他人员在事件发生后所做的操作是什么;
二、询问客户部署有哪些安全设备有哪些,安全设备能够帮助应急人员少走很多弯路;
三、遇到特殊操作,需获得客户授权,经用户授权后再进行处置;
四、整个处置过程中,发现的异常问题及时上报并截图留存处置细节(最好带有时间戳);
五、整个处置过程中遇到的恶意病毒样本需要在桌面等位置建立相关文件夹,把恶意文件存放在桌面上,以便后续取出分析。
应急响应事件分类:
WEB:网页挂马、主页篡改、Webshell等
系统:木马病毒、远控后门、勒索软件等
网络:DDOS、DNS劫持、ARP欺骗等
应急响应事件处理方法:
入侵排查:Windows入侵排查、Linux入侵排查、Webshell查杀、清除后门等
日志分析:Windows日志分析、Linux日志分析、Web日志分析、Mysql日志分析等
入侵排查详细方法:
Windows入侵排查:
1.检查系统账号安全(新增账号、弱口令、隐藏账号、账号登录时间)
2.检查启动项、计划任务、服务
3.检查异常的进程和端口
4.检查系统相关信息(系统版本及补丁、可疑目录与文件)
5.自动查杀(安全软件)
6.日志分析(系统日志、Web访问日志、中间件日志)
7.工具(病毒分析:火绒剑、PCHunter等病毒查杀:卡巴斯基、大蜘蛛、火绒剑、360等Webshell查杀:D盾_web查杀、河马webshell查杀、深信服网站后门检测等在线病毒扫描:腾讯哈勃分析系统等)
Linux入侵排查:
1.账号安全(用户信息文件etc/passwd、影子文件、用户权限、远程账号信息、可疑账号)
2.历史命令(.bash_history histroy)
3.检查异常端口(查看下pid所对应的进程文件路径netstat -antlp|more)
4.检查异常进程(ps命令ps aux | grep pid)
5.检查开机启动项(查看运行级别命令 runlevel、查看系统默认的级别、查看开机启动的配置文件)
6.检查定时任务(恶意脚本等)
7.检查服务(查看自启服务、查看已安装服务)
8.检查异常文件(查看敏感目录、查看可疑文件)
9.检查系统日志(查看日志配置情况)
10.工具(Rootkit查杀、病毒查杀Clamav、河马webshell查杀、RPM cheek检查rpm包)
常见的webshell工具:
D盾_Web查杀:
下载地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip
百度WEBDIR+:
在线查杀地址:https://scanner.baidu.com/
河马:
官方网站:https://www.shellpub.com/
CloudWalker(牧云):
在线查杀demo:https://webshellchop.chaitin.cn/
github项目地址:https://github.com/chaitin/cloudwalker
来源:freebuf.com 2021-03-12 14:00:59 by: 可乐kele
请登录后发表评论
注册