基本概念
网络安全应急响应
指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程
事件分类
恶意程序事件
计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件
网络攻击事件
拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件
信息破坏事件
信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件
信息内容安全事件
违反宪法和法律、行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点、出现一定规模炒作的信息安全事件、其他信息安全事件
设备设施故障
软硬件自身故障、外围保障设置故障、人为破坏事故、其他设备设施故障
其他信息安全事件
应急响应方法学 PDCERF
准备 preparation
即在事情真正发生前为事件响应做好准备
检测 detection
以适当的方法确认在系统,网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动、现象
抑制 containment
限制攻击、破坏所波及的范围
根除 eradication
找出事件的根溯并彻底根除,以避免攻击者再次使用相同手段攻击系统,引发安全事件
恢复 recovery
目标是把所有被攻破的系统或者网络设备还原到正常的任务状态
跟踪 follow-up
回顾并整合应急响应事件过程的相关信息
安全事件分类
网络攻击事件
安全扫描器攻击、暴力破解攻击、系统漏洞攻击、WEB漏洞攻击
WEB恶意代码事件
Webshell后门、网页挂马、网页暗链
拒绝服务事件
拒绝服务攻击:通过大流量DDOS或CC攻击目标,使目标服务器无法提供正常服务
恶意程序事件(Windows/Linux)
病毒/蠕虫、远控木马、僵尸网络程序、挖矿程序
事件处理流程
事件处理
清理系统中存在木马、病毒、恶意代码程序
清理WEB站点中存在的木马、暗链、挂马页面
恢复被黑客篡改的系统配置,删除黑客创建的后门账号
删除异常系统服务、清理异常进程
恢复正常业务服务
原因分析
从网络流量、系统日志、WEB日志记录、应用日志、数据库日志、安全产品数据等,分析黑客入侵手法
调查造成安全事件的原因,确定安全事件的威胁和破坏程度
提交报告
结束跟踪
应急响应基本流程
信息收集
收集客户信息和中毒主机信息,包括样本
判断类型
判断是否是安全事件,何种安全事件,勒索、挖矿、断网、Dos等等
深入分析
日志分析、进程分析、启动项分析、样本分析
清理处置
直接杀掉进程,删除文件,打补丁。抑制或修复文件
产出报告
整理并输出完整的安全事件报告
应急响应工具
流量分析工具
常用的流量分析工具wireshark、TCPView、科来网络分析工具
Linux下对tcpdump比较熟悉
进程分析工具
能对进程相关联信息进行分析的工具,主要是processHacker和PC Hunter等
启动项分析工具
主要是AutoRuns工具,便于定位病毒启动项
专杀工具
有些流行病毒家族,通常对杀软有抑制性,或者本身有感染性,需要专杀工具去查杀和修复正常文件
辅助工具
文件Hash工具、Everthing搜索工具、Unlocker文件解锁工具等
内存扫描工具
MemScanner
系统日志以及日志分析
Windows系统日志
Windows系统自带的审计日志、操作日志、故障日志
日志路径:C:\Windows\System32\winevt\Logs
必看日志:Security.evtx、System.evtx、Application.evtx
Linux系统日志
Linux系统自带的审计日志、操作日志、故障日志
日志路径:/var/log
必看日志:secure、history
应用日志
包括但不限于Web应用等众多繁杂的日志
威胁情报
威胁情报的元素
域名、URL、IP、文件Hash、文件路径、文件名、数字签名、备案信息、排名信息
获取源
常见病毒
勒索病毒
对用户文件进行加密的病毒
挖矿病毒
消耗用户CPU、GPU资源,进行大量运算,获取加密货币的病毒
蠕虫
自动复制自身的副本到其他主机的病毒
木马
隐蔽性强,多用于监控用户行为或盗取用户数据的病毒
感染性病毒
能将自身恶意代码插入正常文件的病毒
脚本病毒
使用脚本编写的病毒
宏病毒
宏是微软公式为期office软件包设计的一个特殊功能,由于其功能强大,使得黑客可以通过精心构造的宏代码来实现恶意操作,这些代码称之为宏病毒
宏病毒常常以垃圾邮件的方式对用户进行工具,因为伪造的office文档不容易引起用户的怀疑,所以当用户毫无防备的打开office文档后,宏病毒便开始了运行,对用户主机进行恶意操作
僵尸网络病毒
形成大型的一对多,多对对控制的远程控制病毒
后门
在主机上开放端口运行远程非授权访问
漏洞与补丁
漏洞
漏洞是指在一个系统中存在的弱点或缺陷
漏洞的产生:系统设计时的缺陷或编码时产生的错误
后果:黑客的侵入及病毒的驻留,数据丢失和篡改、隐私泄露,系统被控制并作为其他主机系统的跳板等等
解决方法:打补丁
补丁
针对软件系统在使用过程中暴露的问题而发布修补漏洞的小程序
Windows应急响应
事件来源
服务器/终端异常现象
CPU/内存飙升
流量异常
文件被加密/勒索
杀毒软件报毒
服务器/PC 蓝屏
主机远程连接掉线
服务器卡顿
运维问题&安全问题区分不清
字体乱码、AC数据中心占用内存高
不同平台直接网络连接问题
AC僵尸网络
C&C服务器通信
扫描、挖矿等
从未知分类站点下载可执行文件
流量特征符合木马行为
内网主机失陷
C&C通信
扫描、挖矿等
永恒之蓝
监管部门通报
常见Windows应急工具
进程分析
process hacker
PCHunter
PowerTool
火绒剑
processdump
进程监控
processMonitor
filemon
regmon
火绒剑
启动项分析
autoruns
PowerTool
流量分析
科来网络分析
wireshark
ctpview
内存分析
dumpit
volatility
memscanner
病毒查杀
僵尸网络查杀工具
专杀工具及脚本
文件查杀
各类PC防护工具
日志分析
logparser
lastactivityview
fastIR
辅助工具
文件hash计算工具
unlocker
辅助站点
virscan
腾讯哈勃 https://habo.qq.com
virustotal https://virustotal.com
微步在线 https://s.threatbook.cn
深信服威胁情报中心 https://sec.sangfor.com.cn/analysis-platform
奇安信威胁情报中心 https://ti.qianxin.com
闭环工具
Linux应急响应
Linux事件来源
Linux一般都作为服务器,从黑客目的看一般就分为两类:利益或者破坏
利益:当前主要是挖矿病毒和挂黑链之类
破坏:发动dos攻击,或者异常流量,如gates,XnoteDDOS病毒等
CPU/内存飙升
top -c 查看服务CPU和内存的使用情况
ps aux | grep 进程名 查看PID对应的进程
服务器卡顿
异常流量
异常网络连接
服务器无法登陆
Linux应急工具
webshell查杀
河马webshell查杀 http://www.shellpub.com
深信服网站后门检测工具 http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz
病毒/Rootkit查杀
chkrootkit http://www.chkrootkit.org
rkhunter http://rkhunter.sourceforge.net
Clamav http://www.clamav.net/download.html
综合查杀工具
悬镜 http://www.xmirror.cn/page/prodon
通常Linux下恶意程序处置,全靠人工解决
排查思路
系统信息
查看当前登陆账号信息 who
查看系统信息 uname -a
网络行为分析
lsof -i -PnR 查看网络通信情况,是否存在异常连接,并结合威胁情报分析
netstat 列出网络相关信息
iptables 屏蔽网络IP
arp -a 查看arp记录是否正常
使用pid所对应的进程文件路径
可疑进程分析
pa -auxps -ef 查看进程
top -c 查看进程
lsof -p pid查看进程所打开的端口及文件
检查/etc/inetd.conf文件,输出的信息就是这台机器所开启的远程服务
检查隐藏进程
启动项排查
查看Linux开机启动程序
/etc/init.d/etc/xinetd.d
查看rc.local文件 /etc/init.d/rc.local /etc/rc.local
init.d 目录中存放这各个服务的启动脚本
计划任务排查
重点关注一下目录中是否存在恶意脚本
/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.dail/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/*
/etc/anacrontab
服务排查
查看网络服务 cat /etc/services
文件检查
用户组
其他项排查
Linux账号检查: less /etc/passwd 查看是否有新增用户
Linux日志
日志默认存放位置 /var/log
WEB应急响应
应急场景
黑链、网页篡改、网站劫持事件
webshell事件
监管单位通报事件
黑帽SEO-黑链
SEO-搜索引擎优化
利用搜索引擎的规则提高网站在有关搜索引擎内的自然排名
SEO目的
搜索引擎结果页前10 (SERP < 10)
SEO帽子
白帽SEO:遵循搜索引擎指南的网络推广技术
黑帽SEO:不遵循任何准则的网络推广技术
黑帽SEO关注内容
攻击者、搜索引擎、目标站点
攻击方式:整站劫持、特定页面劫持
常见黑链现象
搜索引擎语法检测黑链植入
常见黑链判断工具
archive、domaintools、netcraft、webmaster-toolkit、SeoQuake SEO extension
黑链排查思路
复现黑链存在的现象(搜索引擎复现、多地域访问、终端及服务器抓包)
确认页面劫持的节点
根据节点劫持的位置判断是否是有权限范围内可操作
若在操作权限内,根据被篡改的情况恢复数据或配置
威胁关注点
终端服务器DNS配置
本地DNS服务器
域名提供商的账号是否泄露
运营商劫持
CDN服务器是否被污染
服务器端被篡改
搜索引擎快照污染
Webshell事件
Webshell的创建修改时间一般较网站汇总的其他可执行脚本比较新(当然这个事件可以修改,但大部分情况下攻击者并不修改),可以根据这一特性进行查看
Windows中可以对目录进行排序查看
Linux下可以使用find命令查找
例如:
find /var/www/hmtl/ -mtime -5 -print 查找目录中5天内修改过的文件
find /var/www/html/ -mtime +5 -print 查找目录中5天前修改过的文件
find /var/www/html/ -mmin -5 -print 查找目录中5分钟以内修改过的文件
如果可以确定webshell的攻击事件,也可以通过某个时间段的WEB日志进行查找,webshell操作时一般通过POST的方式,攻击者很多是夜间攻击,可以根据这两条特点,统计多次POST操作的页面,并进行确认
Web入侵方法
web由于其灵活性,入侵方式较多,以下为主要入侵途径:
通过web脚本或框架的漏洞获取webshell
通过获取cms的后台账号密码并登陆
通过数据库开放的端口作为入侵口,爆破或猜解进入
通过web脚本或框架漏洞获取敏感信息权限或数据
Web日志分析思路
在对Web日志进行安全分析时,可按照两种思路展开
第一种
首先确定受到攻击、入侵的时间范围,以此为线索,查找时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击工程
第二种
一般攻击者在入侵网站后,会上传一个后门文件,以方便自己以后访问,故可以以此该文件为线索来展开分析
Web日志记录
Nginx日志
日志位置:/var/log/nginx
Apache日志
日志位置:/etc/httpd/conf/httpd.cpnf
/var/mylogs/access.log为客户日志的路径
IIS日志
日志位置:%systemroot%\system32\LogFiles\W3SVC
日志的命名方式为exYYMMDD.log
Tomcat日志
日志位置 分为两类
第一类是运行中的日志,主要记录运行的一些信息,尤其是一些异常错误日志信息
第二类是访问日志信息,记录访问的时间,IP,访问的资料等相关信息
Tomcat日志位置通过${cataloglina}/conf/server.xml配置类判断
WEBShell查杀
webshell一种可以在web服务器上执行服务器脚本且具备后门性质的脚本