应急响应

流程

收集信息：收集客户信息和中毒主机信息，包括样本。

判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS等等。

深入分析：日志分析、进程分析、启动项分析、样本分析。

清理处置：直接杀掉进程，删除文件，打补丁，抑或是修复文件。

产出报告：整理并输出完整的安全事件报告。

准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结

准备：准备阶段需要及时和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述，初步判定事件响应策略，携带应急响应工具包前往客户现场。

检测：检测阶段确认入侵事件是否发生，如真发生了入侵事件，评估造成的危害、范围以及发展的速度，事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。

抑制：采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。

根除：通过事件分析查明事件危害的方式，并且给出清除危害的解决方案。

恢复：把受影响系统、设备、软件和应用服务还原到正常的工作状态。

总结：在业务系统恢复后，需要整理一份详细的事件总结报告，包括事件发生及各部门介入处理的时间线，事件可能造成的损失，为客户提供安全加固优化建议。

工具

流量分析工具：常用的流量分析工具是TCPView、Fiddler Burpsuite Wireshark ，也可以使用科来网络分析工具，Linux下对tcpdump比较熟悉的，也可以使用tcpdump。

进程分析工具：能对进程相关联信息进行分析的工具，主要是ProcessHacker和PC Hunter等。

启动项分析工具：主要是AutoRuns工具，便于定位病毒启动项。

专杀工具：有些流行病毒家族，通常对杀软有抑制性，或者本身有感染性，需要专杀工具去查杀和修复正常文件。

辅助工具：WinHex、文件Hash工具、Everything搜索工具、Unlocker文件解锁工具等。

内存扫描工具：主要是MemScanner。

日志

日志类型

Windows系统日志：Windows系统自带的审计日志、操作日志、故障日志。

Linux系统日志：Linux系统自带的审计日志、操作日志、故障日志。

应用日志：包括但不限于Web应用等众多繁杂的日志。

Windows系统日志

日志路径：C:\Windows\System32\winevt\Logs

必看日志：Security.evtx、System.evtx、Application.evtx

安全日志事件ID

• 4624 成功登录
• 4625 失败登录
• 4776 成功/失败的账户认证
• 4720 创建用户
• 4672 特殊权限用户登录
• 4648 显式凭证登录

Linux系统日志

日志路径：/var/log

必看日志：secure、history、message

主机疑似遭到入侵，要看哪里的日志

系统登录日志
服务访问日志
网站日志
数据库日志

常见病毒分类

勒索病毒：能对用户文件进行加密的病毒。

挖矿病毒：消耗用户CPU、GPU资源，进行大量运算，获取加密货币的病毒。

蠕虫：自动复制自身的副本到其它主机的病毒。

木马：隐蔽性强，多用于监控用户行为或盗取用户数据的病毒。

感染型病毒：能将自身恶意代码插入正常文件的病毒。

脚本病毒：使用脚本编写的病毒。

宏病毒：宏是微软公司为其Office软件包设计的一个特殊功能，由于其功能强大，使得黑客可以通过精心构造的宏代码来实现恶意操作，这些代码就叫做宏病毒。宏病毒常以垃圾邮件的方式对用户进行攻击，因为伪造的Office文档不容易引起用户的怀疑，所以当用户毫无防备的打开Office文档并启用宏之后，宏病毒便开始了运行，对用户主机进行恶意操作。

僵尸网络病毒：能形成大型的一对多，多对多控制的远程控制病毒。

后门：在主机上开放端口允许远程非授权访问。

清理挖矿木马

1. 及时隔离主机
2. 阻断异常网络通信
3. 清除计划任务
4. 清除启动项 隐藏用户
5. 清除预加载so
6. 清除SSH公钥
7. 清除挖矿木马
8. 风险排查、安全加固

勒索病毒应急处置

1）首先就是物理断网、隔离主机，然后判断勒索病毒存活，可以通过创建几个.exe .txt空白文件看是否会被加密判断存活
2）排查业务系统，了解勒索病毒加密时间、中招范围以及影响程度
3）可以根据预留文件、预留邮箱判断出攻击团伙，对后续的溯源也有很大的帮助
4）分析勒索程序，获取ip、域名相关信息，上传至威胁情报中心查询
5）可以将勒索程序上传到一些勒索病毒搜索引擎，比如360、深信服，看能不能进行解密

网络安全事件应急响应

1. 断网：条件允许时优先断网，防止黑客进一步操作或删除痕迹
2. 取证：通过分析登录日志、网站日志、服务日志寻找黑客ip，查看黑客进行的操作
3. 备份：备份服务器文件，对比入侵前后产生变化的文件
4. 查漏：通过上述步骤寻找业务薄弱点，修补漏洞
5. 杀毒：清除黑客留下的后门、webshell、管理账号
6. 溯源：通过黑客ip地址，入侵手段等
7. 记录：归档、预防

误报怎么处理

1、导出安全日志进行分析
2、内网中的威胁情报告警和主机失陷告警重点查看
3、特殊告警类型重点查看
4、优化告警规则 白名单
5、及时更新威胁情报
1）来自外网的误报说明安全设备需要进行策略升级，不需要处置。
2）如果是来自内网的误报可以和负责人协商一下看能不能解决，有必要的话添加白名单处理。

如何判断是否真实告警

1、通过请求包和响应包判断

2、溯源外部攻击IP 查看是否为恶意IP

首先看ip是内网ip还是外网ip
1）如果是内网ip，并且有明显的恶意请求，比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题，因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句，这一类属于误报
2）如果是外网ip，根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码，然后响应包返回了相应的内容，这一类是属于恶意攻击。

内存马的原理&判断和清除

原理：

其原理是先由客户端发起一个web请求，中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作，内存马利用请求过程在内存中修改已有的组件或者动态注册一个新的组件，插入恶意的shellcode达到持久化的控制服务器。

判断方式：

先判断是通过什么方法注入的内存马，可以先查看 web 日志是否有可疑的 web 访问日志，如果是 filter 或者 listener 类型就会有大量 url 请求路径相同参数不同的，或者页面不存在但是返回 200 的，查看是否有类似哥斯拉、冰蝎相同的 url 请求，哥斯拉和冰蝎的内存马注入流量特征与普通 webshell 的流量特征基本吻合。通过查找返回 200 的 url 路径对比web 目录下是否真实存在文件，如不存在大概率为内存马。如在 web 日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的 error.log 日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在 java 代码执行漏洞以及是否存在过 webshell，排查框架漏洞，反序列化漏洞

清除方式：

1.利用条件竞争把shell内容改写或者清除比较好用

2.重启服务

3.提前占用他的目录名