type
status
date
slug
summary
tags
category
icon
password
0x00 应急响应安全事件的分类
今天带来一篇实战的应急响应干货分享!最清晰的思路,让小白可以独立支撑应急响应!
常见安全事件的分类数据安全事件:数据泄露,数据破坏,数据篡改应用安全事件:网站篡改,sql注入,xss攻击等等系统安全事件:口令破解,系统提权,木马挖矿等网络安全事件:DDOS,DNS劫持,ARP欺骗等应急等级:Ⅰ级,Ⅱ级,Ⅲ级,Ⅳ级预警等级:红色预警,橙色预警,黄色预警,蓝色预警事件类型:特别重大,重大,较大,一般
0x01 应急响应准备流程:
响应前期:
1.准备阶段:应急团队建设,应急预案制定
2.检测阶段:找到问题根源,确认事件级别
响应中期:
3.抑制阶段:快速响应事件,将损失最小化
4.根除阶段:加强安全措施,彻底根除隐患
响应后期:
5.恢复阶段:恢复业务系统,保持正常运作
6.总结阶段:事件复盘总结,响应报告输出
0x02 某企业挖矿病毒实战应急响应
背景简介:
某政企根据管理员反馈,业务运行缓慢,cpu长时间处于100%,严重影响业务运行,请求应急响应
1.进程分析:
cpu使用率百分百,发现可疑进程xmrig.exe
2.文件分析:
定位可疑进程文件目录,c:/windows/temp下,发现可疑文件
3.文件检测:
将文件上传到检测平台,检测为病毒文件程序
常见使用微步云沙箱实例:https://s.threatbook.cn/
推荐国外平台virustotal实例:https://www.virustotal.com/gui/home/upload
4.服务分析:
检查系统服务,发现异常服务SecurityCheck服务在系统启动时运行 C:\WINDOWS\Temp目录的logon.vbs脚本文件。 l分析该vbs脚本文件,发现其运行了xmrig挖矿程序
5.检查系统启动项:
发现异常启动项,通过启动项检查分析,系统启动时同样调用了C:\WINDOWS\Temp目 录的logon.vbs脚本文件
windows检查启动项:
6.计划任务分析:
发现异常系统计划任务,通过计划任务分析,系统每隔5分钟或在用户登录时运行C:\WINDOWS\Temp目 录下的start.bat脚本文件。 l 分析此vbs脚本,其会对系统进程进行判断,在没有运行xmrig程序时启动xmrig程序。
7.账号分析:
通过分析系统账号,发现存在异常隐藏账号
***$。 账号名后带有$符号,在dos命令行下使用net user不会在结果中显示。一 般攻击者利用该特点常用于隐藏后门。
8.事件查看器分析:
检查系统事件,发现异常登录事件,筛选系统登录事件信息,分析用户成功或失败登录事件。初步确定入侵时间
9.网站文件检查查杀:
通过D盾等工具对网站目录进行扫描,发现网站目录存在多份木马文件,木马存在时间由此判断此网站系统被入侵时间已久。
10.日志事件分析:
发现sql注入等攻击行为
11.应急响应实践总结:
判断结果服务器被暴力破解入侵,入侵者可能拿到数据库权限等,下载执行木马病毒,非法盈利,并且隐藏木马配合其他启动程序,对服务器进行了sql注入,文件上传等操作,最终获取数据库信息
0x03 应急响应报告写法窍门:
安全报告建议采用5w1h方法来写:what why who where when how 即何事何故何人 何地何时何法。
0x04 应急响应工具箱:
威胁情报平台:
微步威胁情报:https://x.threatbook.cn/
奇安信威胁情报:https://ti.qianxin.com/
绿盟威胁情报:https://nti.nsfocus.com/
360威胁情报:https://ti.360.cn/#/homepage
启明星辰威胁情报:https://www.venuseye.com.cn/
勒索病毒解密平台:
网站木马查杀工具:
D盾,河马,牧云(CloudWalker),Safedog........
系统排查工具:
windows:
火绒剑-①
ProcessMonitor
Process Explorer
PChunter
autoruns
safedog
logparser
logparser lizard
event log explorer
linux:
chkrootkit
rkhunter
clamav
safedog
自动化巡检脚本
流量分析工具:
Wireshark ,Fiddler,科来........
交流学习:CSND社区:告白热
相关文章