应急响应
应急响应
应急响应流程
应急准备
监测与预警
应急处置
总结改进
应急响应基础
windows基础和日志分析
常见操作系统
在实际项目中,主要为server版
Windows 2000
Windows Server 2003 -- 对应桌面版Windows XP
Windows Server 2008 -- 对应桌面版Windows Vista
Windows Server 2008R2 -- 对应桌面版Windows 7
Windows Server 2012R2,Windows Server 2019 -- 对应桌面版Windows 8.1-10
个人电脑主要为windows XP、windows 7、windows 10使用较多。
Windows Server使用基础
文件管理
常用操作:
- 查看隐藏文件
- 查找指定日期修改文件
- 临时目录、自启动目录、最近访问文件
常用命令:dir、forfiles(找被修改的文件)、attrib(设置文件权限)、copy、move、del
关键目录:
%UserProfile%\Recent(最近访问文件)
C:\Windows\fonts(执行目录)
C:\Windows\Prefetch
C:\Windows\temp(临时目录)
C:\Users{指定用户}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(启动目录)
进程管理
常见需求:
- 查看运行进程
- 查看进程路径
- 结束指定进程
常用命令:taskmgr(任务管理器)、tasklist(查看进程)、taskkill()、find、wmic(管理进程、用户)、msinfo32(系统信息)
服务管理
常见需求:
- 启动、停止服务
- 查看服务运行参数
- 删除指定服务
常见命令:services.msc(服务)、net、sc、msinfo32
用户管理
常见需求:
- 查看和修改系统中账户
- 删除指定账户
- 克隆账号核查和清理(替换F信息)
常见命令:net user、compmgmt.msc、regedit(注册表编辑器)
注册表管理
注册表中自启动常用检查项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
\Documents and Settings<用户名字>\「开始」菜单\程序\启动
\Documents and Settings\All Users\「开始」菜单\程序\启动
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注册表中服务相关检查项:
HKLM\SYSTEM\CurrentControlSet\Services
注册表中账户相关检查项:
HKEY_LOCAL_MACHINE\SAM\SAM
映像劫持检查项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
Windows审计日志介绍
查看日志:计算机管理-事件查看器
Windows审核策略:组策略编辑器 (gpedit.msc)
Get-WinEvent(日志筛选)
windows 应急响应常见日志 ID
| 事件 ID(新版本) | 事件 ID(旧版本) | 事件描述 |
|---|---|---|
| 4624 | 528,540 | 账号登录成功 |
| 4625 | 529-537,539 | 账号登录失败 |
| 4634 | 538 | 账号注销 |
| 4648 | 552 | 使用显式凭据进行登录尝试 |
| 4719 | 612 | 系统审核策略已更改 |
| 4964 | 不适用 | 一个特殊的组已被分配到一个新的登录 |
| 1102 | 517 | 审核日志已清除。这可能与潜在的攻击有关。 |
| 4720 | 624 | 已创建用户帐户 |
| 4722 | 626 | 已启用用户帐户 |
| 4723 | 627 | 试图更改帐户的密码 |
| 4725 | 629 | 用户帐户被禁用 |
| 4728 | 632 | 用户已添加到特权全局组 |
| 4732 | 636 | 用户已添加到特权本地组 |
| 4756 | 660 | 用户已添加到特权通用组 |
| 4738 | 642 | 更改了用户帐户 |
| 4740 | 644 | 用户帐户被锁定 |
| 4767 | 671 | 用户帐户已解锁 |
| 4725 | 639 | 特权本地组已修改 |
| 4737 | 641 | 修改了特权全局组 |
| 4755 | 659 | 修改了特权通用组 |
| 4772 | 672 | Kerberos 身份验证票证请求失败 |
| 4777 | 不适用 | 域控制器无法验证帐户的凭据 |
| 4782 | 不适用 | 访问帐户的密码哈希 |
| 4616 | 520 | 系统时间已更改 |
| 4657 | 567 | 注册表值已更改 |
| 4697 | 601 | 试图安装服务 |
| 4698,4699,4700,4701,4702 | 602 | 与正在创建、修改、删除、启用或禁用的 Windows计划任务相关的事件 |
| 4946 | 不适用 | 规则已添加到 Windows 防火墙例外列表 |
| 4947 | 不适用 | Windows 防火墙例外列表中的规则已修改 |
| 4950 | 不适用 | Windows 防火墙中的设置已更改 |
| 4954 | 不适用 | Windows 防火墙的组策略设置已更改 |
| 5025 | 不适用 | Windows 防火墙服务已停止 |
| 5031 | 不适用 | Windows 防火墙阻止应用程序接受传入流量 |
| 5152,5153 | 不适用 | 网络数据包被 Windows 筛选平台阻止 |
| 5155 | 不适用 | Windows 筛选平台阻止应用程序或服务侦听端口 |
| 5157 | 不适用 | Windows 筛选平台阻止了连接 |
| 5447 | 不适用 | 更改了 Windows 过滤平台过滤器 |
Windows常见持久化
- 常用软件劫持和利用
- 账户克隆和修改
- 驱动级、内核级后门
- 自启动、服务、计划任务
- webshell免杀和隐藏
- 动态链接库劫持
- 临时目录
- 注册表
linux基础和日志分析
常见思路:
看异常
- 明确事件类型
- 获取告警详情
查进程
- 反弹shell
- 异常资源占用
- 临时目录执行
查文件
- 用户相关
- 自启动
- 计划任务
- 鉴权、认证
日志文件
- 安全日志
- 运用日志
- 操作记录
重点关注目录和文件
配置相关:/etc/、/etc/Id.so.preload
日志相关:
临时目录:
自启动:/etc/rc.local、/etc/rc*.d、/etc/init.d、/usr/lib/systemd/system/、/etc/systemd/system、~/.bashrc、/var/spool/cron、/etc/cromn*
操作记录:.bash_history
认证相关:.ssh、/etc/pam.d/、/etc/ssh
进程相关:/proc/
隐藏目录和文件:...或.开头
必备命令:find、grep、awk、chattr、sort、ls、lsof
查看用户密码修改日期:chage
查看资源占用:top
查看一天内关键目录变动的文件:
find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime 0
/etc/passwd:如果为/bin/bash即为可登录状态
linux常见日志
常用命令:w、last -i(登录成功)、lastb -i(登录失败)、last log、grep Accept /var/log/secure 、crontab -i
系统日志
| 日志文件 | 说 明 |
|---|---|
| /var/log/cron | 记录与系统定时任务相关的曰志 |
| /var/log/cups/ | 记录打印信息的曰志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信总。也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/btmp | 记录错误登陆的日志。这个文件是二进制文件,不能直接用Vi查看,而要使用lastb命令查看。命令如下: [root@localhost log]#lastb root tty1 Tue Jun 4 22:38 - 22:38 (00:00) #有人在6月4 日 22:38便用root用户在本地终端 1 登陆错误 |
| /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的曰志。这个文件也是二进制文件.不能直接用Vi 查看。而要使用lastlog命令查看 |
| /var/Iog/mailog | 记录邮件信息的曰志 |
| /var/log/messages | 它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息。I/O 错误、网络错误和其他系统错误都会记录到此文件中。其他信息,比如某个人的身份切换为 root,已经用户自定义安装软件的日志,也会在这里列出。 |
| /var/log/secure | 记录验证和授权方面的倍息,只要涉及账户和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/wtmp | 永久记录所有用户的登陆、注销信息,同时记录系统的后动、重启、关机事件。同样,这个文件也是二进制文件.不能直接用Vi查看,而要使用last命令查看 |
| /var/tun/ulmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件不能直接用Vi查看,而要使用w、who、users等命令查看 |
服务日志
| 日志文件 | 说明 |
|---|---|
| /var/log/httpd/ | RPM包安装的apache取务的默认日志目录 |
| /var/log/mail/ | RPM包安装的邮件服务的额外日志因录 |
| /var/log/samba/ | RPM色安装的Samba服务的日志目录 |
| /var/log/sssd/ | 守护进程安全服务目录 |
常见web中间件和日志分析
整体思路
查配置
-
明确各组件(服务)协同关系
- 负载均衡
- 反向代理 -
确认日志格式、路径、记录字段
- 本地存储
- 集中化日志管理
- 网络流量日志
- 日志时间和当地时间是否一致
分析日志文件
-
请求路径
- 对应WEB文件
- 处理程序映射(拦截器)
-
请求方法
- 快速区分WEB扫描和实际利用
- 重点关注POST、HEAD请求
-
状态码
- 20x
- 50x
-
来源ip
- 哪些ip请求了敏感路径、文件?
- 请求该文件前访问过哪些路径?
- 结合web业务,web请求路径对应什么操作(业务)?
猜想和验证
-
根据日志缩小可能的入侵途径
- 文件查阅
- 漏洞验证
- 事件触发
- WAF
- RASP
- 系统层文件防护
- 确认入侵途径
亡羊补牢
- 加固和缓解
- 日志留存
- 修改配置开启日志记录
- 日志集中存储和防篡改
- elastic
- splunk
Nginx配置和日志
直接查看nginx进程即可看到配置文件,一般在nginx目录或/etc/nginx下。
日志相关字段为access_log,特别留意proxy_pass(反向代理)和upstream相关配置。
Apache配置和日志
Apache默认配置文件名:httpd.conf
其中重点关注NameVirtualHost(虚拟主机配置),其包括了站点域名、监听端口、路径等关键信息。
日志一般由CustomLog指定。
查看配置文件时留意Include配置。
Tomcat配置和日志
Tomcat关键配置位于tomcat安装路径中conf目录下,重点关注server.xml监听端口、虚拟主机、日志、网站目录等关键信息均存放在该文件。
重点关注站点路径、监听端口、日志配置。日志配置关键字:AccessLogValve
日志默认开启,记录请求ip、请求时间、请求方法、请求路径、响应状态码、请求大小。
IIS配置和日志
在IIS管理器中点击日志选项,即可看到当前的日志配置和路径。
默认在C:\inetpub\logs\LogFiles一个站点一个文件夹,命令格式:W3SVC+站点ID。
若不修改时间,日志请求时间默认和北京时间相差8个小时。
总结
- apache、nginx等中间件,在排查时先明确入口配置文件,再查看其中包含文件。
- 微服务、jar包等形式执行可以使用nginx或负载日志,有网络流量日志的情况下使用集中的网络流量日志会更方便。
- 如果日志缺失,后续可考虑修改配置开启日志,集中化存储和管理日志,留存全流量日志(态势感知)。
- WEB中间件日志对于POST数据没有记录,如果需要精准分析请求,捕获payload等关键信息,则需要依靠网络流量日志。
- 学会查询和使用官方文档。
数据库日志分析
数据库审计介绍
什么是数据库审计?
数据库审计,就是对数据库的活动做跟踪记录,主要包括数据库连接,SQL语句执行,数据库对象访问等方面的跟踪记录。
常见需求:数据库账户、登录日志、操作日志
数据库审计方式
- 数据库内置功能或第三方插件。
- 镜像或探针。采集所有数据库的访问流量,并基于SQL语法、语义的解析技术,记录下数据库的所有访问和操作行为,例如访问数据的用户(IP、账号、时间),操作(增删改查),对象(表、字段)等。
不同审计方式对比
-
内置和插件形式:
审计需要占用CPU,因此需要综合平衡审计需求与性能之间的平衡性问题,以确定出最好的审计策略。
需要运维或dba配置对应审计策略。
审计日志可能被篡改。
-
镜像或探针
一般需要额外投入和购买。
使用比较简单明了
审计日志单独存储,不易丢失和篡改。
Oracle数据库审计
查询当前启用的数据库账户
select username, account_status from dba_users;
自带审计功能,可通过audit_trail参数开启使用。
通过输入以下命令可查看审计开启情况。
show parameter audit_trail;
select value from v$parameter where name = 'audit_trail';
show parameter audit_sys_operations;
返回值默认为DB,即为普通用户开启审计功能,若为none则为未开启状态。
审计策略
select * from dba_stmt_audit_opts;
Oracle会将审计和Trace跟踪结果存放到OS文件里,默认位置在:$ORACLE_BASE/admin/$ORACLE_SID/adump/或存储在数据库表里(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_trail查看),可使用show parameter audit查看相关设置。
强制审计的记录存放于操作系统的文件中,比如linux,其默认路径为:$ORACLE_BASE/admin/$ORACLE_SID/adump;对于windows,则写入事件查看器。
Sqlserver数据库审计
事件查看器中可查看日志
在安全性--登录名菜单下可看到存在的数据库账户。
在服务器属性中可查看安全配置。
默认启用日志记录功能,但是仅限失败的登录,该日志写入到windows事件查看器。(如果需要审计登录成功的日志,则需要修改审核配置)
MySQL数据库审计
可通过查看配置文件(my.ini),确认默认是否开启日志。
一般有错误日志、慢日志、全局日志。
全局日志查看配置
show global variables like '%general%';
Binlog会记录除select以外的语句。配置查看:
show variables like 'log_%';
MySQL设计工具Audit Plugin
show variables like 'plugin_dir';
show plugins;
show global status like '%audit%';
应急响应常用工具介绍
内存取证
- RamCapturer
- avml
- Volatility
文件检索
Everything(不能开web服务器)
流量分析
- wireshark
- tcpdump
进程分析
- sysinternals套件
- Procmon
- procexp
- procdump
- Autoruns
- Sysmon
- 火绒剑
- process hacker
恶意文件检测
- 杀毒软件
- yara
webshell查杀
- D盾
- 河马
在线查询
- 威胁情报
- 勒索查询
服务器防护
- 安全狗
- 云锁
- openrasp
常见事件应急响应思路和案例
网站入侵事件
常见web入侵手段
- 真实的WEB入侵事件往往想达到两个目的:文件管理+命令执行
- 常用漏洞:任意文件上传(写入)、sql注入(sql inject)、模板注入(SSTI)、远程命令(代码)执行。
- 常见特征:对站点会写入恶意文件(webshell)、针对单一路径存在较多的POST请求、异常外连、临时目录写入可执行文件、操作系统用户异常。
常见web事件影响
- web入侵在整个攻击链中只是入口权限获取的一种手段,可能导致网页篡改、服务层被提权远控、核心数据被窃取、重要系统被勒索、内网失陷、攻防演习出局、企业业务停摆等影响。
- 重要看面对攻击者的是什么群体、什么目的的攻击。
- 在做应急响应时随机应变,根据事件类型制定不同的策略,例如攻防演习类则主要侧重在入口漏洞排查、切断被控、回溯完整攻击链;针对真实黑客活动,则侧重在入口漏洞排查、影响面核查、影响缓解和消除、防护能力提升方面。
渗透
- 前期侦察
- 基础资源准备
- 初始权限获取
- 命令执行
- 持久化
- 权限提升
- 防御对抗
- 凭据获取
- 内部信息收集
- 横向移动
- 敏感数据获取
- 命令和控制
- 数据窃取外传
- 删库跑路
web入侵事件应急响应整体思路
- 什么时间发生了什么事情
- 什么情况(条件)会造成该事件
- 缩小范围
- 排查和验证
web入侵事件应急响应常见内容
- 确定入侵途径
- 中间件日志
- 服务器日志
- 网络流量日志
- 模拟渗透(针对无日志情况)
- 影响核查
- webshell后门
- 服务器后门
- 敏感数据窃取
- 横向移动
- 网页篡改和劫持
- 敲诈勒索
- 舆情
- 影响消除
- 清理后门
- 受影响主机处置
- 相关密码修改(非常重要)
- 数据库
- 控制台、后台
- 会员相关
- 敏感凭据
- 云相关的Access Key
- 认证信息
- 租户密码
- 服务器密码
- 篡改文件恢复
- 搜索引擎快照投诉下线
- 危机公关
- 整改加固
- 漏洞修复
- 权限最小化
- 中间件运行权限
- 网络策略
- 数据库权限
- 防护能力提升
- 防护设备
- 高危端口和服务处置
- 主机加固服务
- 防护策略调整
- 监控加审计
- 开启日志
- 调整审计策略
- 告警规则调整
web入侵应急响应思考
-
无完整日志情况下如何处理
模拟渗透
-
应急处置后如何验证是否有效
增加特殊目录文件监控,看看有无恶意篡改。
总结
- 针对已有线索和日志,反推攻击跳板,找到最终入口
- 留意时间、文件权限、异常行为
- web入侵事件排查处置基础:熟悉常见的渗透手段和应用漏洞
- 无日志困境下尝试从攻击视角去发现问题和隐患
- 不是每一次应急都有美好的结果
网页篡改(劫持)事件
什么是网页篡改(劫持)
网页篡改指的是黑客通过技术手段上传了webshell(网页木马)拿到控制权限后对网站的内容进行增删改查。除了常规的炫技或政治类动机外,网页篡改常常导致网页劫持事件。
网页劫持是黑帽seo或黑产最喜欢的一种网页引流方式,此手法往往通过入侵政府、事业单位、协会社团、教育机构网站(权重高),修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。
网页劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等;表现形式可以是劫持跳转,也可以是劫持呈现的网页内容,目前被广泛应用于私服、菠菜等暴力行业。
处置流程
- 事件复现
- 搜索引擎劫持
- 修改referer
- 修改ua
- Js弹窗
- 特定地域IP访问
- 清空浏览器记录访问
- 反动、政治类
- 静态文件上传
- 关键图片覆盖(篡改)
- 关键文件篡改
- 搜索引擎劫持
- 事件分析
- 确定劫持手段
- DNS劫持
- 网站文件篡改
- 中间件配置修改
- ARP欺骗
- 服务器安全检查
- DNS解析核查
- 确定劫持手段
- 事件处置
- 网站入侵
- 参考web入侵事件处置
- DNS劫持
- 修改域名管理相关密码
- 选择大的域名注册商
- ARP欺骗
- 网关mac静态绑定
- ARP防火墙
- 快照、舆情
- 快照投诉
- 危机公关
- 网站入侵
常见劫持手段
- 局域网ARP挂马
- DNS记录篡改
- 网页插马
- 篡改网站文件
- js文件
- 站点源码
- jsp
- php
- asp
- html
- 全局文件
- web.config
- Global.asa
- .htaccess
- 页面污染
- 搜索页面缓存
- xss类漏洞利用
- ISP链路劫持
- 中间件模块修改
- IIS
- ISAPI筛选器(Filter)
- IIS模块(Modules)
- URL重写
- nginx
- 主程序修改
- 动态模块
- nginx主程序修改
- 配置文件修改
- nginx.conf
- nginx.conf下包含文件
- Lua扩展
- 主程序修改
- apache
- 主程序修改
- 配置文件篡改
- 恶意模块加载
- IIS
- DNS解析篡改
- 域名管理信息泄露
- 域名注册商被入侵
总结
-
网页篡改(劫持)事件大多时候伴随网站入侵产生,排查处置与网站入侵事件相似。
-
主机层面处置完成后记得进行相关快照、收录页的投诉下线。
-
DNS劫持如何处理和预防?
-
选择大的域名注册商
-
修改域名管理的相关密码
-
社工钓鱼事件
社工事件分类
什么是社会工程学
社会工程学是指对人进行心理操纵术,使其执行指定任务或泄露机密信息。
是一种以信息收集、欺诈或系统访问为目的的信任骗局。
事件分类
- 演习事件
- 套取关键应用密码
- 下发木马
- 黑客活动
- 套取关键应用密码
- 下发木马
- 电信诈骗
- 转账
- 金融相关密码
社工攻击常见途径
- 电子邮件
- QQ、微信等即时通讯工具
- 电话、短信
- 线下物理入侵
社工事件处置流程
- 事件确认和研判
- 是否误报
- 事件类型
- 对方目的
- 可造成的影响
- 全员预警
- 发生了什么事
- 如何核查
- 如何上报
- 如何处理
- 影响核查
- 恶意域名
- 回连IP
- 钓鱼页面
- 恶意附件(沙箱、云服务器执行)
- 影响消除
- 相关密码修改
- 后门清理
- 流量监测【流量日志、EDR防护(态势感知)、防火墙日志】
- 总结报告
- 关键时间节点
- 处置截图
- 证据留存(邮件导出为eml格式、关键样本加密压缩)
挖矿木马事件
什么是挖矿木马
网络安全中的“挖矿”
虚拟货币“挖矿”是指依据特定算法,通过运算去获得虚拟的加密数字货币,常见的有比特币、以太坊币、门罗币、EOS币等。
由于虚拟货币“挖矿”需要借助计算机高速运算,消耗大量资源,一些不法分子通过植入挖矿木马,控制受害者计算机进行虚拟货币“挖矿”。
相比其它网络黑产,挖矿木马获利非常直接、非常暴力,挖矿木马攻击事件呈爆发式增长。
挖矿病毒被植入主机后,利用主机的运算力进行挖矿,主要体现在CPU、GPU使用率高达90%以上,有大量对外进行网络连接的日志记录。
挖矿木马传播途径
- 中间件漏洞
- weblogic
- Jboss
- 已公开WEB漏洞
- thinkphp
- log4j
- spring
- jenkins
- 网页挂马
- 系统高危漏洞
- MS17-010
- 弱口令
- sqlserver
- SSH
- SMB、RDP
- telnet
- 未授权访问
- redis
- hadoop
- docker
挖矿木马特征
- 注册自启动服务
- 写开机自启动项
- 计划任务
- powershell、bash无文件执行
- 隐藏文件定时执行
- 后门账户
- 写入ssh公钥,免密登录
- 占地盘
- 删除同类文件
- 结束常见挖矿进程
- 特定端口封禁
- 关键文件锁定
- 常用运维程序篡改
- 进程隐藏
- /etc/Id.so.preload修改
- 修改程序
挖矿木马事件发现
- 资源利用率监测
- CPU
- GPU
- 流量监测
- 矿池ip
- 矿池域名
- 异常扫描
- 数据包特征
挖矿木马事件处置流程
- 确认是否误报
- 核查进程
- 资源占用监测
- 网络流量分析
- 告警详情分析
- 上网行为、浏览器记录
- 受害主机隔离
- 后门清理
- 结束进程
- 清理恶意文件
- 阻断通信
- 踢除常驻(服务、计划任务、自启动、恶意账号、SSH公钥)
- 感染途径核查
- 行为特征
- 威胁情报
- 感染主机开放服务
- 感染主机可被利用的高危漏洞
- 影响核查
- 网络日志
- 黑客工具扫描结果
- 整改加固,恢复上线
- 权限最小化
- 补丁更新
- 开启认证
- 口令策略
- 杀毒软件
常用工具
进程分析
- sysinternals套件
- Procmon
- procexp
- procdump
- Autoruns
- Sysmon
- 火绒剑
- process hacker
- busybox(linux)
在线查询
- 威胁情报
- 搜索引擎
勒索病毒事件
什么是勒索软件
勒索软件是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。
黑客利用勒索软件,通过加密用户数据、更改配置、窃取核心数据等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。
主要的勒索形式包括文件加密勒索、锁屏勒索、系统锁定勒索和数据泄露勒索等。
主要的传播方式包括钓鱼软件传播、网页挂马传播、漏洞传播、远程登录入侵传播、供应链传播和移动介质传播等。
传播途径
- 邮件
- 利用漏洞投递木马程序
- 弱口令
- 系统高危漏洞
- 应用高危漏洞
- 供应链
- 网页挂马
常见勒索类型
- 文件加密
- 磁盘加密
- 数据窃取
- 锁机、锁屏
常见表现
- 桌面壁纸被篡改
- 登录自动打开勒索信
- 文件后缀被修改、文件内容异常
- 数据库被删除,插入勒索信息
勒索趋势
- 蠕虫传播
- 批量勒索
- 定向投递
- 人工攻击
- 关键数据窃取
- 关键系统加密
处置流程
- 事件确认
- 告警信息核查确认
- 事态沟通
- 是否被加密
- 异常状态和信息
- 勒索信息
- 勒索类型
- 勒索程序样本
- 勒索文件后缀
- 勒索信
- 主机隔离
- 访问控制
- 断网
- 紧急关机
- 感染途径与影响面核查
- 上网日志
- 开放服务和日志
- 高危漏洞
- 系统日志
- 网络日志
- 文件加密时间
- 关键文件修改日期
- 异常账号新增时间
- 影响消除和加固
- 切断控制路径
- 漏洞修复
- 访问控制
- 补丁更新
- 杀毒软件安装与更新
- 高危端口屏蔽
- 完善备份恢复管理制度
- 恢复
- 重装系统
- 备份恢复
- 解密恢复
- 交赎金
- 公开解密工具
- 数据恢复工具
勒索病毒事件预防
- 信通院:勒索病毒安全防护手册
- 360:勒索病毒急救指南
- cert:勒索软件防范指南
- 奇安信:勒索病毒自救手册
数据泄露事件
什么是数据泄露
数据泄露指的是个人或组织的私有、机密信息被有意或无意地发布到危险环境中。
这类事件通常与黑客攻击、有组织犯罪、政治活动、国际竞争有关;也有因为员工疏忽、违规使用或处置存储介质导致的数据泄露。
常见的被泄露数据一般包括金融信息(如信用卡账户、银行信息)、个人健康数据、个人识别信息、商业机密与知识产权。
数据安全生命周期
- 采集
- 传输
- 存储(易发生数据泄露)
- 共享(易发生数据泄露)
- 使用(易发生数据泄露)
- 销毁
事件类型
- 主动泄露
- 获取利益
- 打击报复
- 被动泄露
- 安全意识薄弱
- 高危漏洞
- 越权访问
- 未授权访问
- 黑客定向入侵
- 爬虫收集
影响
- 经济损失
- 法律责任
应急响应流程
- 事件确认
- 情报途径
- 数据类型
- 数量
- 影响
- 是否加密
- 是否可消除
- 敏感程度
- 数据存储位置
- 泄露时间
- 访问途径
- 人员
- 账号
- 应用
- 诉求
- 查明原因、责任人
- 影响缓解和消除
- 事件上报
- 主管单位
- 上级部门、集团公司
- 受影响用户
- 确定排查范围
- 人员
- 终端
- 服务器
- 事件排查
- 主机日志
- 应用日志
- 安全设备日志
- 网络日志
- 证据固定和留存
- 影响缓解和消除
- 统一公告
- 相关信息修改
- 加固、脱敏
总结
- 数据泄露更多的因素来自于内部
- 数据泄露发生后往往会产生不可逆影响,在预防和加固方面更侧重信息脱敏、泄露途径溯源
- 证据固定和留存
SIEM平台与事件研判
实战环境下安全防守介绍
- 监测发现
- 攻击来源
- 攻击手段
- 分析研判
- 攻击结果
- 涉及范围
- 事件类型
- 应急处置
- 抑制
- 根除
- 缓解
- 通报预警
- 准确性
- 有效性
- 协同联动
- 单位内部
- 企业内
- 行业内
- 监管单位、主管部门
- 追踪溯源
- 人员
- 设备
常见安全事件分析研判思路
威胁监测常见手段
- 网络层
- WAF
- IDS
- IPS
- 防火墙
- 态势感知
- 沙箱
- 主机层面
- HIDS(主机入侵检测)
- EDR(终端检测与响应)
- 运用层
- RASP(运行时防护)
- 运用日志
分析研判
- 正常业务请求触发,误报
- 修改规则
- 临时加白
- 修改web程序
- 尝试攻击行为(攻击者溯源)
- 针对性攻击
- 批量扫描
- 攻击成功事件(事件上报)
- 普通病毒事件
- 黑客攻击行为
常见事件类型
- 信息收集类
- 端口扫描(内网特别关注)
- 连接敏感端口
- 短时间触发不同端口连接
- 网络扫描
- AWVS
- nmap
- 端口扫描(内网特别关注)
- 攻击利用类
- 常见web漏洞(流量特征)(依据请求和响应,进一步判定)
- 命令执行
- 反序列化
- 文件上传
- 暴力破解(内网特别关注)(请求频率)
- FTP
- 数据库
- 远程管理
- 未授权访问
- webshell工具(流量特征)(依据请求和响应,进一步判定)
- 菜刀
- 冰蝎
- ........
- 敏感目录文件新增、修改(主机层面监测)
- 系统账户修改(主机层面监测)
- 异常文件、进程(主机层面监测)
- 常见web漏洞(流量特征)(依据请求和响应,进一步判定)
- 恶意软件类[流量特征、外连域名(IP)](威胁情报平台+对应主机核查、特别留意内部DNS服务器)
- 挖矿木马
- 远控木马
- 流氓软件
- APT
攻击者溯源与反制介绍
什么是蜜罐
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为。
所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。
蜜罐常用一些技术手段来对攻击者做溯源定位。
蜜罐技术
- 欺骗
- 监控
- 处置
基本需求
- 网络控制
- 行为捕获
- 行为分析
- 内网
- 攻击来源
- 攻击原因
- 外网
- 谁在攻击
- 采用何种手段
- 攻击操作
- 0day捕获
- 内网
目的
- 溯源反制
- IP
- 浏览器类型
- 社交信息
- 内部网络风险感知
- 安全设备协同联动
蜜罐分类
- 低交互
- 模拟操作系统和网络服务
- 容易部署
- 低风险
- 收集的信息有限
- 中交互
- 提供了更多的交互功能
- 可记录更复杂的攻击手段
- 对真正的操作系统各种行为(服务)的模拟
- 高交互
- 提供真实的操作系统和网络服务
- 部署和维护复杂
- 风险较高
- 能够获得更多的黑客攻击信息
蜜罐溯源反制常见手段
- WEB反制
- jsonp漏洞(跨域资源访问)
- 诱导下载执行
- xss跨站漏洞
- 恶意诱饵文件
- office漏洞
- 宏病毒
- vpn客户端
- 运维工具
- 程序漏洞利用
- 扫描器
- webshell管理工具
- 远控工具
- mysql协议利用
- 浏览器漏洞
注意事项
- 外网蜜罐防篡改
- 网络隔离
- 高交互?低交互?(内网倾向于低交互)
- 监管报备
总结
- 根据需求选择合适的交互等级、部署环境、仿真环境。
- 成功的溯源反制需要精心准备和设计。
- 外部网络部署蜜罐需要注意防篡改,并进行报备。
内存马查杀
漏洞趋势
任意文件上传、系统命令执行、代码执行——》模板注入、反序列化
防护情况
裸奔——》防火墙、WAF、IDS——》HIDS、EDR、态势感知、RASP
webshell发展
大马——》一句话木马——》网页版客户端——》中国菜刀——》蚁剑——》冰蝎——》哥斯拉——》魔改、自研
web权限维持手段变化
直接写文件——》文件隐藏、文件时间伪造——》ngnix模块、apache模块、iis模块——》框架、语言等特性利用,内存加载,中间件特性利用
内存马
内存马又名无文件马,主要特征:无文件落地
主要借助开发框架、语言特性、中间件特性动态注册,根据特定的标识执行特定命令或代码。
利用内存webshell技术,可绕过webshell文件特征识别、网页防篡改、目录监控等防护手段。
主要利用反序列化等命令执行类漏洞进行内存马注入,也可以上传脚本文件进行内存马注入。
JAVA、.net内存马使用比较广泛。
在JAVA WEB中常利用中间件三大组件:Listener、Filter、Servlet来进行内存马利用。
服务端收到客户端请求后,处理顺序是Listener——》Filter——》Servlet
以tomcat为例,利用java代码,把恶意的listener或者filter类写入tomcat内存中。在tomcat处理请求时,请求会被listener和filter处理,通过指定条件,触发我们写入的恶意类来处理请求,达到不在磁盘写入文件执行指定代码的目的。
常见内存马
- java内存马生成工具:java-memshell-generator
- 冰蝎webshell管理工具注入内存马
- 哥斯拉注入内存马
- 漏洞利用工具注入内存马
内存马查杀常用工具
- arthas
- 河马webshell查杀
- dumpclass
- ExtremeDumper
内存马查杀整体思路
- 查看访问日志、中间件、全流量日志
- 使用工具自动化检测
- 使用工具手动分析
查看类(classloader),加载类(sc *.Filter、sc *.Servlet),dump下来分析(jad反编译)
小结
反序列化漏洞关注Templateslmpl和bcel执行任意代码。
com.sun.org.apache.xalan.internal.xsltc.trax.Templateslmpl$TransletClassLoader
com.sun.org.apache.bcel.internal.util.ClassLoader
留意memshell、Godzilla、behind字样
Arthas常用:
classloader
sc *.Filter
sc *.Servlet
常见失陷告警分析与核查
外部单位通报事件检测原理
- 流量探针
- 威胁情报
- 爬虫
- 漏洞扫描+人工测试
- 攻防演习
外部单位通报事件常见类型
- 僵木蠕:主要基于流量检测,根据IOC情报触发
- 暗链、黑链:爬虫抓取(搜索引擎关键字检测、查看源码)
- 网页篡改:网站监测、公开情报
- web、应用程序漏洞:漏洞扫描、渗透测试
- 演习事件:攻防演习
核查处置思路
僵木蠕事件
僵木蠕主要依据网络流量,在做分析时先做2个事件:
- 获取详情,查看判定依据,找到其中的域名或IP。
- 定位被下发的疑似失陷IP归属。
对于很多企业,IP初次溯源可能是防火墙、路由器等网络出口设备、还有较大几率为DNS服务器。
针对公关上网出口、DNS服务器,需要做流量镜像后针对目标IP或域名进行抓包分析,找到实际客户端IP后再进一步上级排查。
必备:wireshark、SysinternalsSuite。
注意:DNS服务器向公网开放,可能被外部IP请求,导致触发。
暗链、黑链
暗链、黑链:是黑帽SEO的作弊手法之一,其目的就是利用高权重网站外链来提升自身站点排名。一般是添加为友情链接,普通访客不可见,但是搜索引擎蜘蛛可爬取到。(看网页源码)
常见植入方式:通过网站漏洞,获得网站控制权限后修改网页。也可能通过FTP弱口令等问题直接进行修改上传。
特殊情况:域名到期抢注。
之前的链接中域名到期后,对方由于业务原因,不再续费使用,被灰产注册利用,开设违规站点。
网页篡改
这里主要指造成舆情、涉政、涉恐类网页篡改。
一般为公开漏洞未修补,被无差别批量攻击后利用。
特点:核查简单,难以溯源,影响难以消除。
web、应用程序漏洞
来源:漏洞扫描、人工渗透测试。
必备操作:
- 漏洞验证,判断是否误报。
- 核查漏洞是否被恶意利用过。
- 编写整改报告,涵盖排查结论、排查过程、影响评估、处置和加固措施、加固验证。
演习事件
演习事件一般有较为完善的漏洞报告。
拿到通报内容后,先确认以下信息:
- 攻击入口资产
- 利用漏洞
- 完整攻击路径
处置要点
- 切断控制路径
- 遗留后门清理
- 漏洞修补
- 监测回溯
- 整改报告
