网络安全应急响应
网络应急响应是指针对已经发生的安全事件进行监控、分析、协调、处理、保护资产安全。遇到突发网络安全事件时做到有序应对、妥善处理。
也就是有个流程需要执行。
第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,比如发现事件发生后,系统备份、异常检测、后门检测、清除异常或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
常见的网络安全事件
1、勒索软件
2、挖矿软件
3、Webshell
4、网页篡改
5、DDos测试
6、数据泄露
7、流量劫持
应急响应事件的级别
一般分为,特别重大、重大、较大、一般
PDCERF(6阶段)
常见的6个阶段为
1、准备阶段
2、检测阶段
3、抑制阶段
4、根除阶段
5、恢复阶段
6、总结阶段
每个安全公司都有自己的方法模版。一般我们套用即可
下面我们分析下中毒的服务器。
打开虚拟机
先打开资源管理器,看下有哪个进程是需要关闭的
有时间会占用cpu90%的资源使用
查看进程选项
没有发现异常
查看用户
没有发现异常
下面我们使用工具进行分析。
使用PCHunter32.exe进行查看
网络连接
在windows下temp目录有一个logon的文件
自启动项目
定位到启动文件
这个xmrig文件应该是一个挖矿文件
至于是不是可以将文件上传到微步在线
发现这个是挖矿程序
计划任务
一般都是数据库进行备份才需要使用
这个图上是异常情况
查杀软件,发现有很多后门的软件
有一个隐藏的账号信息
来源于C2
后续根据时间地点,行为做出报告
简单的报告
完整的安全报告
1、带有标题、事件概述
2、处置流程和方法。最好有现场操作记录
3、事件的总结与建议
经过这次分析,我们总结如下:
1、进行前期的检测
2、查看服务器的进程、服务、启动项、日志、网络流量、服务账号、目录文件、计划任务等
3、有时候手工查找较难,容易出错,配合工具查看
4、进行中期的响应
5、阻断IP地址,删除挖矿软件程序,删除webshell网站文件,删除恶意的启动项和计划任务,修复系统及网站的漏洞、增加系统及网站安全策略、使用安全产品等。
6、进行后期响应
7、恢复业务、事件的总结通报、运维人员的安全培训、安全加固方案、定期的应急响应方案