Hvv前的新坑,送给各位想要一鸣惊人的蓝队小师傅们。
这篇只是个开篇,不会很长,主要先做个引子,大致聊一聊思路和方法。
先把必查项给大家列一列,这些是up主的一些经验,如有错漏欢迎大家补充。
- 应急响应必查项:
1.日志(各种日志,访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等)
2.计划任务(老生常谈)
3.注册表(推荐用工具吧,手工排查冗长且效率低下)
4.端口(查正在占用的异常端口)
5.进程(也是老生常谈,up会单独写一篇关于进程排查的,把白进程和可疑进程都给大家列出来)
6.历史命令(主要针对linux,有时候一个cd都能暴露很多信息,所以最好设置自动备份history)
7.远程连接记录(不用说了吧?Windows 3389有些装了向日葵todesk的一样看连接记录,linux 就ssh)
8.可疑文件排查(主要排查有没有黑客工具的存在,mimikatz、fscan等,出现了说明可能已经被横向;也包括一些其他可疑文件排查。)
以上为简单列出来给大家参考的必查项,之后的帖子会单独细致讲解的,接下来给大家讲的是处置的流程:
一、隔离or not?
取决于客户系统的重要性,是否支持隔离,业务中断是否产生极大影响,和客户商量后视情况而定,毕竟不是每一台服务器都可以说拔网线就拔网线。
如果无法进行隔离,那就需要根据受攻击类型来判断下一步,如果是中了马的,单独把木马隔离出来,一般杀软都可以实现的没有例外(要是连杀软都没有装就直接当堂教育客户吧,这么重要的业务连个杀软都没有?!),linux的话看看有没有edr,有的话也可以在服务器端进行远程杀毒隔离开,这一步是隔离就不扯这么多了。
二、定位攻击?
正常来说能给你打进去的无非就是中马、rce、sql注入等几种手段,而未能在攻击实施阶段就发现并阻断攻击,需要应急响应,说明大概率已经中了大马了,产生了反连流量了,这一步最最主要的事情就是把马子找出来,也就是进行定位,无edr联动的情况下态势感知不一定能获取到木马具体路径(在操作系统中的路径),这时候就要通过一系列手段(后边会单独出篇细说)进行寻找,并确认木马类型,是否为冰蝎、哥斯拉马,webshell or内存马,或者exe等,先进行定性。
三、主机排查
这里就是大家熟知的一些操作了,各种排查,请参考上面的的应急响应排查项,不单独赘述。这里一定要结合现场的安全设备进行判断,尽可能利用好安全设备的记录才能提高效率,尤其是记录型设备,日志审计、全流量分析等。
四、横向感染否?
攻击者为了扩大战果或者提权、维权等需要传入工具进行一些操作,这些工具的出现也是能判断是否出现了横向攻击,比如fscan可能会在目录生成扫描结果文件xxx.txt,针对对应工具特征去寻找蛛丝马迹。
- 总结
开篇嘛,较为简短,先浅浅开个头给师傅们看看,有些思路,其中的过程和必查项都是up自己在实践中用过、面试中答过的,经得起考研,仅供大家参考,欢迎师傅们补充。