攻防演练里,钓鱼再常见不过了。但在应急过程中,并非删除木马就大功告成,而是一场安全整体建设水平的大考,涉及产品技术、响应流程和安全意识等各个方面。
我们建议,完整的应急响应需从以下五步进行综合评分(每步100分,总分500)。
一、切断网络
第一时间切断失陷终端网络,是最快速、最有效的手段。可以利用EDR、防火墙、准入等设备进行网络隔离,也可手动断网。
考点解析
断网并不难,难的是快速检测钓鱼和定位失陷终端。
评分标准
0分
|
未发现钓鱼
|
40分
|
事后发现,断网不及时致严重后果
|
100分
|
准确定位并及时断网
|
二、分析样本及攻击行为
这一点至关重要,因为溯源和样本分析结果将直接指导接下来的所有处置行动,确保清理工作的彻底性。
(1)攻击溯源:基于EDR采集到的终端行为日志,全面还原样本执行过程,分析内容包括:
回连的C2地址
-
攻击者植入的持久化和驻留项
-
攻击者使用的后渗透工具
-
是否窃取凭据
-
是否发生横向移动尝试等
(2)获取样本:在重装系统之前,务必获取恶意样本文件。通过对样本进行逆向分析,可以提取关键的威胁情报,用于后续的Hunting(威胁狩猎,即主动在全网环境中寻找是否有其他潜在的中招机器)。
考点解析
能否准确捕捉所有恶意行为并进行串链,是决定溯源分析的关键;而获取样本则是后续进行排查更多机器的关键。
评分标准
0分
|
没溯源、没样本取证
|
30分
|
取证不完整有明显遗漏
|
60分
|
形成了完整投递、执行链条
|
≥90分
|
同时拿到样本进行Hunting
|
三、清理失陷终端和相关账号
根据分析结果,需要从以下三个方面进行处置。
(1)隔离、删除恶意工具,包括初始样本及释放的各类工具。
(2)彻底清理持久化和驻留项,例如开机启动项、计划任务、注册表等等。如果仅仅删除了病毒文件,这些后门可能会在下次开机时再次带入木马。
(3)管控相关工作账户,尤其是特权账户。除了修改账号密码、限制权限之外,还要排查相关系统日志,有没有异常登录或其他高危行为。
考点解析
只删除文件进程没清理驻留项,是常见的错误。但潜在失窃凭据的处置更容易被忽略,如果账户收敛做的不好,攻击者可以直接通过凭据登录对应系统,危害非常大。
评分标准
0分
|
不做清理
|
40分
|
只清理文件和进程
|
60分
|
彻底清除文件、进程和驻留项
|
≥90分
|
完成上述三步,并进行身份相关的清理
|
四、排查更多被钓鱼的终端
一台终端被钓鱼,意味着攻击者可能向许多员工投递了木马,需要立即在全网进行排查其他潜在中招的终端。排查动作包括:
(1)反查C2:提取回连C2,在NDR、SOC等平台上,反查回连同一C2的终端,但这种方法对于攻防演练中大量使用的域前置样本无效。
(2)反查Hash:提取样本Hash,用EDR、杀软全网扫描。
(3)邮件排查:针对企业邮箱钓鱼,可在邮件网关、邮件服务器上排查钓鱼邮件的收件人。
(4)IM排查:针对IM钓鱼,排查是否拉群或者投递更多人,确认是否还有其他员工下载运行了钓鱼文件。
该步骤如有发现,则重复一、二、三处置动作。
考点解析
想要排查更加细致、全面,就得把能用的方法都用上。
评分标准
0分
|
未排查
|
20分
|
仅依靠人工询问
|
60分
|
完成一项
|
≥90分
|
完成三项或更多
|
五、排查横向移动目标
如果处置的不及时,或者EDR已明确检测到横移,那么排查横移是非常重要的。
(1)从流量日志中梳理失陷终端访问了哪些主机,尤其要注意攻击告警或其他风险项。
(2)梳理攻击者潜在的横向渗透目标,尤其是集权系统,从NDR、EDR或者HIDS的告警中,排查这些目标是否有被攻击或者异常访问的痕迹。
考点解析
这一步骤在被钓鱼和钓鱼阻断间隔时间较大的时候,是非常有可能存在的,且这部分应急响应工作量巨大,本文不会拓展更多细节描述该部分,最好的办法是借助有效检测手段,在钓鱼投递或者执行初始就尽快阻断攻击。
评分标准
0分
|
未排查
|
60分
|
仅依靠单点数据进行排查
|
90分
|
进行了全面的排查
|
100分
|
及时阻断攻击未发生横移
|
那么五道题测试完,大家最后能得到多少分?
联系微步
扫码即刻沟通
体验满分应急响应
↓↓↓
· END ·