网络安全事件应急响应

简介: 应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。

应急响应

流程

收集信息:收集客户信息和中毒主机信息,包括样本。

判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。

深入分析:日志分析、进程分析、启动项分析、样本分析。

清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。

产出报告:整理并输出完整的安全事件报告。

准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结

准备:准备阶段需要及时和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述,初步判定事件响应策略,携带应急响应工具包前往客户现场。

检测:检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。

抑制:采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。

根除:通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

恢复:把受影响系统、设备、软件和应用服务还原到正常的工作状态。

总结:在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失,为客户提供安全加固优化建议。

工具

流量分析工具:常用的流量分析工具是TCPView、Fiddler Burpsuite Wireshark ,也可以使用科来网络分析工具,Linux下对tcpdump比较熟悉的,也可以使用tcpdump。

进程分析工具:能对进程相关联信息进行分析的工具,主要是ProcessHacker和PC Hunter等。

启动项分析工具:主要是AutoRuns工具,便于定位病毒启动项。

专杀工具:有些流行病毒家族,通常对杀软有抑制性,或者本身有感染性,需要专杀工具去查杀和修复正常文件。

辅助工具:WinHex、文件Hash工具、Everything搜索工具、Unlocker文件解锁工具等。

内存扫描工具:主要是MemScanner。

日志

日志类型

Windows系统日志:Windows系统自带的审计日志、操作日志、故障日志。

Linux系统日志:Linux系统自带的审计日志、操作日志、故障日志。

应用日志:包括但不限于Web应用等众多繁杂的日志。

Windows系统日志

日志路径:C:\Windows\System32\winevt\Logs

必看日志:Security.evtx、System.evtx、Application.evtx

安全日志事件ID

  • 4624 成功登录
  • 4625 失败登录
  • 4776 成功/失败的账户认证
  • 4720 创建用户
  • 4672 特殊权限用户登录
  • 4648 显式凭证登录

Linux系统日志

日志路径:/var/log

必看日志:secure、history、message

主机疑似遭到入侵,要看哪里的日志

系统登录日志
服务访问日志
网站日志
数据库日志

常见病毒分类

勒索病毒:能对用户文件进行加密的病毒。

挖矿病毒:消耗用户CPU、GPU资源,进行大量运算,获取加密货币的病毒。

蠕虫:自动复制自身的副本到其它主机的病毒。

木马:隐蔽性强,多用于监控用户行为或盗取用户数据的病毒。

感染型病毒:能将自身恶意代码插入正常文件的病毒。

脚本病毒:使用脚本编写的病毒。

宏病毒:宏是微软公司为其Office软件包设计的一个特殊功能,由于其功能强大,使得黑客可以通过精心构造的宏代码来实现恶意操作,这些代码就叫做宏病毒。宏病毒常以垃圾邮件的方式对用户进行攻击,因为伪造的Office文档不容易引起用户的怀疑,所以当用户毫无防备的打开Office文档并启用宏之后,宏病毒便开始了运行,对用户主机进行恶意操作。

僵尸网络病毒:能形成大型的一对多,多对多控制的远程控制病毒。

后门:在主机上开放端口允许远程非授权访问。

清理挖矿木马

  1. 及时隔离主机
  2. 阻断异常网络通信
  3. 清除计划任务
  4. 清除启动项 隐藏用户
  5. 清除预加载so
  6. 清除SSH公钥
  7. 清除挖矿木马
  8. 风险排查、安全加固

勒索病毒应急处置

1)首先就是物理断网、隔离主机,然后判断勒索病毒存活,可以通过创建几个.exe .txt空白文件看是否会被加密判断存活
2)排查业务系统,了解勒索病毒加密时间、中招范围以及影响程度
3)可以根据预留文件、预留邮箱判断出攻击团伙,对后续的溯源也有很大的帮助
4)分析勒索程序,获取ip、域名相关信息,上传至威胁情报中心查询
5)可以将勒索程序上传到一些勒索病毒搜索引擎,比如360、深信服,看能不能进行解密

网络安全事件应急响应

  1. 断网:条件允许时优先断网,防止黑客进一步操作或删除痕迹
  2. 取证:通过分析登录日志、网站日志、服务日志寻找黑客ip,查看黑客进行的操作
  3. 备份:备份服务器文件,对比入侵前后产生变化的文件
  4. 查漏:通过上述步骤寻找业务薄弱点,修补漏洞
  5. 杀毒:清除黑客留下的后门、webshell、管理账号
  6. 溯源:通过黑客ip地址,入侵手段等
  7. 记录:归档、预防

误报怎么处理

1、导出安全日志进行分析
2、内网中的威胁情报告警和主机失陷告警重点查看
3、特殊告警类型重点查看
4、优化告警规则 白名单
5、及时更新威胁情报
1)来自外网的误报说明安全设备需要进行策略升级,不需要处置。
2)如果是来自内网的误报可以和负责人协商一下看能不能解决,有必要的话添加白名单处理。

如何判断是否真实告警

1、通过请求包和响应包判断

2、溯源外部攻击IP 查看是否为恶意IP

首先看ip是内网ip还是外网ip
1)如果是内网ip,并且有明显的恶意请求,比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题,因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句,这一类属于误报
2)如果是外网ip,根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码,然后响应包返回了相应的内容,这一类是属于恶意攻击。

内存马的原理&判断和清除

原理:

其原理是先由客户端发起一个web请求,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存马利用请求过程在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode达到持久化的控制服务器。

判断方式:

先判断是通过什么方法注入的内存马,可以先查看 web 日志是否有可疑的 web 访问日志,如果是 filter 或者 listener 类型就会有大量 url 请求路径相同参数不同的,或者页面不存在但是返回 200 的,查看是否有类似哥斯拉、冰蝎相同的 url 请求,哥斯拉和冰蝎的内存马注入流量特征与普通 webshell 的流量特征基本吻合。通过查找返回 200 的 url 路径对比web 目录下是否真实存在文件,如不存在大概率为内存马。如在 web 日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的 error.log 日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在 java 代码执行漏洞以及是否存在过 webshell,排查框架漏洞,反序列化漏洞

清除方式:

1.利用条件竞争把shell内容改写或者清除比较好用

2.重启服务

3.提前占用他的目录名

相关文章
|
5月前
|
运维 供应链 安全
构建网络环境的铜墙铁壁:从微软蓝屏事件反思系统安全与稳定性
【7月更文第22天】近期,一起由软件更新引发的“微软蓝屏”事件震撼全球,凸显了现代IT基础设施在面对意外挑战时的脆弱性。此事件不仅影响了数百万台设备,还波及航空、医疗、传媒等多个关键领域,造成了难以估量的经济损失和社会影响。面对这样的挑战,如何构建更为稳固和安全的网络环境,成为了全球IT行业共同面临的紧迫任务。
92 3
|
5月前
|
机器学习/深度学习 数据采集 监控
Python基于BP神经网络算法实现家用热水器用户行为分析与事件识别
Python基于BP神经网络算法实现家用热水器用户行为分析与事件识别
|
7月前
|
调度 iOS开发
网络事件触发自动登录
网络事件触发自动登录
50 2
|
7月前
|
存储 监控 安全
企业如何建立网络事件应急响应团队?
建立企业网络事件应急响应团队是应对勒索软件等威胁的关键。团队的迅速、高效行动能减轻攻击影响。首先,企业需决定是外包服务还是自建团队。外包通常更经济,适合多数公司,但大型或有复杂IT环境的企业可能选择内部团队。团队包括应急响应小组和技术支持监控团队,前者专注于安全事件处理,后者负责日常IT运维和安全监控。团队应包括安全分析工程师、IT工程师、恶意软件分析师、项目经理、公关和法律顾问等角色。此外,选择合适的工具(如SIEM、SOAR、XDR),制定行动手册、合规政策,创建报告模板,并进行定期训练和演练以确保团队的有效性。外包时,理解团队构成和运作方式依然重要。
143 1
|
7月前
|
安全 Linux Shell
记录一次网络安全应急响应溯源过程
网络安全应急响应是一种组织在发生网络安全事件时采取的行动,旨在迅速应对和缓解潜在的威胁,最大程度地减少损失并恢复正常的网络运行状态
203 0
|
7月前
|
安全 JavaScript 前端开发
第十六届山东省职业院校技能大赛中职组 “网络安全”赛项竞赛试题—B模块安全事件响应/网络安全数据取证/应用安全
该内容描述了一次网络安全演练,包括七个部分:Linux渗透提权、内存取证、页面信息发现、数字取证调查、网络安全应急响应、Python代码分析和逆向分析。参与者需在模拟环境中收集Flag值,涉及任务如获取服务器信息、提权、解析内存片段、分析网络数据包、处理代码漏洞、解码逆向操作等。每个部分都列出了若干具体任务,要求提取或生成特定信息作为Flag提交。
224 0
|
运维 Prometheus 监控
ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
本文主要介绍了ARMS 助力极氪提效服务应急响应,重点介绍整体方案中围绕“告警、接手”两项落地的“以事件为中心的告警全生命周期管理”解决方案。
444 14
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
1040 0
|
云安全 监控 安全
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践(1)
企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件:木马程序。”就不高速运转的脑神经,突然一阵抽搐……
3652 0
|
存储 监控 安全
安全应急响应的一些经验总结
本文讲的是安全应急响应的一些经验总结,在2016年,我尽可能的参与到了事件响应的工作中,并且我还花费了超过300小时的时间去作为今年很多安全事件或者数据泄露事件的顾问。这些工作中包括我目前正在进行的工作,协调事件受害者与事件响应人员的关系。
2379 0

热门文章

最新文章