“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
勒索病毒应急流程
1、隔离受感染的系统:第一步需要尽快隔离主机、停止相关文件共享、邮件等服务,防止病毒进一步传播。
2、病毒存活判断:可以创建.txt .xlsx文件看看文件是否加密,判断病毒是否存活,评估数据是否已经被加密或损坏
3、内网关联威胁资产进行终端排查、日志分析
掌握勒索病毒影响的范围、影响程度并分析时间线
根据最后一次可信备份的时间找出未受感染的数据备份,恢复数据
4、通过勒索文件名、邮件、文件后缀等信息,配合威胁情报中心查询
5、清除病毒,留存样本,查看是否有解密方式,恢复主机
1、通过top命令查看CPU占用
2、根据进程定位恶意文件,通过沙箱分析恶意url和域名
3、根据判断的信息中指恶意进程
4、排查启动项、计划任务、ssh公钥、用户目录,日志并进行清理挖矿程序
5、定时监控系统资源使用情况,及时发现并处理异常情况
钓鱼事件的应急流程
1、隔离受感染的主机,断网避免进一步传播
2、对感染的主机进行全面扫描,清除发现的恶意软件或查杀
3、对钓鱼内容进一步分析
查看发送用户信息(邮箱、url地址、ip地址)
排查收件用户,确定影响范围
对附件样本、跳转地址分析
4、更改电子邮件、OA账号、媒体社交等账号密码
5、加强员工的安全教育和意识,提高对其他钓鱼攻击的识别和防范能力
DDoS的应对措施
1、确认遭受DDoS攻击,通过检测网络流量、服务器负载判断
2、确定来源IP并进行封禁(涉及端口、连接数、链接次数、超时、禁止时间)
3、流量重定向:将流量重定向抗D设备或云服务,以分散和吸引攻击流量,减轻对目标系统的影响
4、提高系统和网络的容错能力和负载均衡能力,以抵御DDoS攻击。
数据泄露的应急流程
1、确定数据泄露的范围和类型,评估风险和优先级,对事件定性,评判是否需要上报监管
时间节点
内部泄漏还是外部泄露
泄漏人员、泄露源
泄漏的数据量和敏感程度
主动泄露还是被动泄漏
2、停止数据泄漏,采取措施保护受影响的数据
3、对涉嫌泄露数据的员工进行调查,以确定数据泄露的细节和原因。
4、若非主动泄漏,进入常规应急流程,排查流量、入侵检测类设备日志、终端日志
5、做好安全事件记录措施,按照法规留存日志不少于六个月
Web攻击的应急流程
被植入webshell
1、隔离系统
2、通过D盾、河马等工具进行webshell查杀,对可以文件隔离
3、分析webshell,对攻击路径溯源分析
4、系统排查,后门、用户、计划任务等持计划驻留行为清理
5、web日志分析,判断事件发生时间、行为,并进行复现
6、清理并加固
常见攻击流量特征
1、Shiro攻击流量特征:Shiro550可通过key值进行流量解密,Shiro_attack-2.2工具中,若命令执行成功,响应包前后会有多个$$符号;注入内存马请求包存在密码p:pass1234及路径path:/favicondemo.ico,响应包若存在->|Success|<-则注入成功
2、Fastjson攻击流量特征:@type字段指定要加载的类,常见的带有ladp、rmi协议地址
3、log4j流量:数据包中带有{字段,例如:${jndi:ldap://jsaoif.dnslog.cn}
4、sqlmap流量特征:user-agent带有sqlmap字段,payload模板特征
5、webshell管理工具的流量特征:菜刀请求体中存在固定数值“z0=”开头;蚁剑参数名大多以“_0x.....=”形式;冰蝎4.*版本的webshell中存在“e45e329feb5d925b”字段。
举个通过流量排查的例子:
下载对应的pacp流量包进行分析,过滤并定位到请求,看到提交了个GET请求
追踪此TCP流
上述常见安全攻击的应急流程,总体的需要遵循5W1H
• What:了解面临什么攻击,攻击的表现形式和量级
• When:了解什么时候产生的攻击事件
• Who:了解谁触发了攻击,内部人员还是外部人员
• Where:了解什么攻击什么位置产生,是否暴露在互联网
• Why:了解为何会产生攻击行为,攻击可能造成的影响
• How:根据了解初步研判事件等级
