安全事件应急响应流程分析
在突发安全事件时的处理流程可以大致分为几个阶段:安全事件表现-->被害主机信息收集-->确认攻击类型-->事件追查-->修复
安全事件表现
安全事件表现即被害主机被攻击所导致的结果,可大致分为以下几个类型:
● 网站类型:网站被篡改,被挂黑链等
● 文件类型:被害主机文件被篡改,丢失或泄露等
● 系统类型:系统卡顿,cpu爆满,服务异常,服务器宕机等
● 流量类型:出现大量异常数据包,异常外部链接,网络卡顿等
被害主机信息收集
被害主机信息收集是为了了解被害主机的基本情况,以便更快地确定攻击手段及攻击链路。
● 对外服务情况
● 开放端口情况
● 系统版本
● 网络环境
● 历史漏洞情况
● 口令情况
● 安全设备情况
攻击类型
● WEB:漏洞攻击,流量攻击等
● 第三方:对系统安装的第三方软件进行的攻击
● 操作系统:针对操作系统的服务,如ssh、rdp等进行的攻击
事件追查
事件追查,根据本次安全事件的攻击类型选择最佳的追查方式
● 日志分析
● 后门分析
● 流量分析
● 脚本软件分析
● 模拟渗透方法等
修复
靶场示例
安全事件表现
● 此靶场前提为cpu占用率飙升,疑似被挖矿。
被害主机信息收集
● 主机由phpstudy开启web服务,使用了apache及mysql。
● 主机开启了3389端口,开启了远程桌面服务。
确定攻击类型
● D盾扫描网站根目录发现webshell(webshell文件名为shell.php)
● 查看远程桌面日志发现两次连接记录
事件追查
● 在apache日志中查找shell.php的访问日志,从而得到攻击者的IP的地址
● 发现攻击者曾登录过远程桌面
● 查看用户添加日志,发现异常用户添加行为,从而判断hack168为攻击者添加的账户
● 在用户hack168的文件夹中发下可疑exe文件,根据icon可知该文件由pyinstaller打包,可使用pyinstxtractor进行反编译(也可以先扔到沙箱里初步分析)
● 反编译后得到pyc文件
● 反编译pyc文件后得到源码,从而得知矿池地址
修复
● 根据攻击payload查询相关资料得知,此漏洞为emlog v2.2.0后台插件上传漏洞,建议被攻击者升级emlog至最新版。
总结
靶机环境较为简单,真实应急响应可能更为复杂,但思路相似。
作者
吴培帅
华清信安
精彩回顾
1
2
