一、前言
這是我自己對于應急響應歸納出來的方法論,一個籠統的、抽象的概念,包含思路和方法。
二、常見應急響應流程
這是博主自己的經驗總結出來的應急響應流程,也是親自去應急時的流程。
三、響應
這里不討論應急響應人員能不能到現場,只討論通用場景。
(1)判斷事件類型
事件類型分為7類:大規模淪陷、挖礦病毒、勒索病毒、無文件落地、不死(頑固)馬、釣魚應急響應、數據劫持。【后續會細講】
去應急肯定會收到通知:ga的通報、客戶自己發現的情況、現場安服發現的問題。根據這些情報先判斷出需要出應急的是什么事件類型。但是要記住“情報是帶有失真率和主觀性的,并且以上場景很多情況下并不會單獨出現。”最后還是需要應急人員自己靠經驗與客觀事實去判斷。
(2)保持第一現場
第一現場包含:第一發現人、第一情報、失陷主體/群體、主體/群體行為、失陷環境。
這個“保持”是指在盡可能實現的情況下去保留。因為誰被打穿了都會慌,一慌都會推卸責任(包括我自己),或者消滅痕跡,這無疑是幫助了攻擊者實現滲透的最后一步。
這個“第一”是指最先發現情況的人,就是這個人所說的情況。發現的被攻陷的主體,最好是用鏡像把系統和流量先扒拉下來。時間越延遲,這個“第一”事實的失真率越高,所以要安服和應急人員做好配合。
(3)信息收集
這一步與滲透測試的第一步信息收集無異,即使前面兩個高度失真,這一步仍可以讓整個響應起死回生,但是這一步沒做好將會影響后續所有操作。
信息收集主要是做:流量、日志、可疑進程的內存、失陷系統鏡像、惡意樣本、客戶資產收集、資產相關漏洞測試報告、防御設備的日志。【請注意:確認有索取這些信息的權限】
四、阻斷
所謂阻斷只有三步:關站、關服務、拔網線。
(1)切斷網絡
情況分很多種:失陷后業務仍正常運行、失陷后業務受滯、失陷后業務停擺。不同的情況,網絡切斷因地制宜。
切斷網絡的目的:觀察病毒行為、觀察流量特征、阻斷對內通信、阻斷對外連接。
舉個例子:一個醫院大規模失陷,但是業務正常運作,這時候可以選擇切斷部分不重要的主機去觀察行為。
(2)阻斷傳播
傳播包括:對內傳播(感染)、對外傳播(外聯)
對內傳播(感染):進程注入/遷移、第三方軟件感染、服務傳播(ftp/ssh爆破等)
對外傳播(外聯):挖礦行為、外聯攻擊、c2通信
阻斷傳播應從:軟件層面、流量層面、代碼層面、網絡層面。例如:排查軟件被劫持、排查流量發現無文件落地、利用代碼審計發現容器加載內存碼、阻斷網絡發現通過服務傳播的病毒。
(3)隔離核心資產/隔離受害主體(群體)
這一步是應急響應的最終目的,無論實施過程如何、無論使用什么工具都必須保證被保護方與淪陷方的隔離。
隔離核心資產是為了做到三個原則:保護、避害、不損害。
隔離受害主體(群體)是為了保護第一現場、收集攻擊者信息等。
五、分析
分析是前提是提煉,提煉出關鍵信息分析。而提煉的前提是熟悉,了解攻擊手法,紅藍同源。
(1)日志、流量、樣本分析
分析三大件:日志、流量、樣本。
日志主要注意的是:時間、動作、結果;這個行為什么時候開始、什么時候結束,這個動作是登陸、退出、修改等、造成的結果是登陸成功/失敗、上傳/下載了文件、執行了代碼等。
流量主要注意的是:狀態碼、交互過程、數據合理性;每一次交互的狀態碼,交互過程中是否符合該種協議的正確交互過程,每個字段的填充、每次流量的渲染是否正常。
樣本主要注意的是:啟動方式、偽裝方式、作用;根據啟動方式去選擇沙箱或者分析工具;偽裝方式判斷是否加殼做免殺和打擊方式;根據作用去判斷受害人范圍。
粗略的分為靜態和動態,日志屬于靜態信息需要應急人員清晰分辨出日志表達的內容和快速篩選出可疑的點。流量和樣本屬于動態信息,應急人員需要擁有一定的滲透能力去分辨交互行為。
(2)行為分析&還原攻擊過程
從行為出發,還原攻擊路徑,推演攻擊過程。
行為分析基于三大件分析,結合系統表現出來的情況做分析,例如:啟動項、啟動腳本、進程、內存等。
還原攻擊過程需要對攻擊大致的情況有一個綜合判斷,可以理解為——威脅模型建立(SDL),必須具備滲透能力,再此基礎上放入沙箱重新復現攻擊過程,對后續的步驟提供幫助。
六、清除
我們要做得與滲透無異——“做好清除,藏好自己”。
(1)非對抗情況下
在不存在對抗的情況下,最極端就是全盤重裝,其次就是數據遷移后對系統盤重裝。在普通情況下,我們可以進行針對性的殺進程、刪文件、殺軟件。
(2)存在對抗的情況下
對抗情況就是:頑固馬與不死馬存在,或者被持續攻擊(apt)。
這樣的情況下,首先是在允許的情況下打補丁,再恢復。找到攻擊行為的源頭,先補上漏洞再清除。
【點擊查看學習資料】
七、加固
加錢才是硬道理。
加固沒啥好講的,打補丁、對系統進行限制(網絡隔離、行為管理等)、升級防御設備、完善防御流程(防御設備的部署、人員的部署、規則庫的升級)
八、應急響應常見場景
這是我的應急經驗大致歸納出的場景,現實情況下場景會復合,這里只是對單個場景做思路。
【所有單獨場景的分析將會在該系列的第二篇展開,此處只放圖片】
九、大規模淪陷
- 遠控肉雞
潛伏遠控
外聯攻擊
外聯請求/下載
- 蠕蟲感染
漏洞傳播
第三方軟件傳播
- 網絡癱瘓
主機托管
服務器宕機
網絡風暴
網絡設備過載
- 主機癱瘓
挖礦癱瘓
勒索癱瘓
服務癱瘓
- 勒索主機
單—軟件傳播勒索
主機癱瘓勒索
- ddos攻擊
暴力請求ddos利用漏洞ddos
- CC攻擊
十、挖礦病毒
十一、勒索病毒
十二、無文件落地
惡意文件
- pdf文件、rtf文件
- 文本擴展功能,eg:宏
- 文本捆綁數據,eg.shellcode/數據流
注入
- 內存注入、駐留
- 進程注入、駐留
白加黑
- wmi等
- regsrv32.exe、rundll32.exe等
- win白名單軟件簽名
惡意腳本
- powershell
- vbs/hta
- js
- so文件劫持
十三、頑固不死馬
十四、釣魚應急
十五、數據劫持
- 數據庫劫持
- 元里劫持
總結
1.應急響應的最終目標是保護客戶的核心資產,所有行為必須圍繞:保護、避害、不損害來進行。
2.在現在愈加復雜的攻擊下,上述的常見場景一般會出現復合情況,需要應急人員根據經驗去進行。
3.應急人員應有自己的方法論,對不同攻擊的威脅進行建模,擁有威脅情報分析能力,結合工具的輔助進行現場響應與遠程支撐。
4.工具和排查點大同小異,提升方法在于應急人員的是否熟悉該種攻擊,利用特征和行為去排查更節省時間。
5.紅藍同源,應急響應屬于藍隊,但必須具備一定的滲透能力。
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。