应急响应(二)
应急响应(二)
三.工具
待总结
四.场景
1、勒索病毒网络安全应急响应
1、常见勒索病毒
WannaCry勒索病毒、GlobeImposter勒索病毒、Crysis/Dharma勒索病毒、GandCrab勒索病毒、Satan勒索病毒、Sacrab勒索病毒、Matrix勒索病毒、Stop勒索病毒、Paradise勒索病毒
2、常规处置方法
隔离被感染的服务器、主机
防止勒索病毒通过网络继续感染其它服务器、主机,防止攻击者通过感染的服务器/主机继续操纵其它设备
措施:
物理隔离:断网、断电,关闭服务器/主机的无线网络、蓝牙连接等,禁用网卡,并拔掉服务器/主机上的外部存储设备;
访问控制:对访问网络资源的权限进行严格控制和认证,加策略和修改登录密码;
排查业务系统
检查核心业务系统和备份系统,确定感染范围。
确定勒索病毒种类,进行溯源分析
从加密的磁盘中寻找勒索信息,再通过勒索病毒处置工具查看是否可以解密;
溯源分析:查看服务器/主机上的日志和样本,可疑文件,工具进行日志和样本分析;
恢复数据和业务
备份数据恢复业务
磁盘数据恢复
第三方方安全公司
后续防护建议
服务器终端防护
强密码、杀毒软件、打补丁、开启日志收集;
网络防护与安全监测
内网安全域合理划分,限制横向移动范围;
应用系统防护及数据备份
加固、备份、预案;
3、错误处置方法
不要再中毒服务器/主机上插U盘、硬盘等移动存储设备:勒索病毒会对服务器/主机上的所有文件加密;
不要用网上的解密工具反复读/写磁盘中的文件,可能降低数据正确恢复的概率,也可能破坏原始文件;
4、工具
被攻击之后,确定勒索病毒种类,判断能否解密
奇安信勒索病毒搜索引擎:lesuobingdu.qianxin.com
360安全卫士勒索病毒搜索引擎:lesuobingdu.360.cn
5、勒索病毒应急思路
了解事态现状、系统架构、感染时间、确定感染面;
对已中招服务器/主机下线隔离;
未中招做好防护:关闭端口加固、补丁等等
对服务器/主机进行检查:
系统排查
账户排查
Windows
打开本地用户与组:lusrmgr.msc
查看所有用户:wmic useraccount get name,sid
Linux
cat /etc/passwd :查看所有用户信息
awk -F: ‘{if($3==0)print KaTeX parse error: Expected ‘EOF’, got ‘}’ at position 2: 1}̲’ /etc/passwd :…”:可查看能够登录的账户
进程排查
Windows
tasklist或任务管理器
Linux
网络连接:netstat -ano
任务计划:
服务:
启动项:
文件排查:
补丁排查:
日志排查
系统日志
安全日志
安全日志是否有暴力破解记录,异常ip地址登录记录,溯源,定位攻击的突破口;
网络流量排查
清除加固
对服务器/主机进行抑制和恢复:对恶意账号、进程、任务计划、启动项、服务等进行清理,删除恶意样本、打补丁、强密码、安装杀毒软件、部署流量检测设备。
6、如何判断遭遇勒索病毒攻击?
业务系统无法访问;
文件后缀被篡改;
勒索信展示;
桌面上有新的文本文件;
7、了解勒索病毒的加密时间
推断攻击者执行勒索程序的时间轴,方便后续进行溯源。
Windows
通过文件修改日期初步判断(要综合判断,因为攻击者可能伪造时间)
Linux
stat:可查看Access访问、Modify内容修改、Change属性改变三个时间
2、挖矿木马网络安全应急响应
1、挖矿木马:利用计算机的算力挖掘数字货币。
2、常见挖矿木马:WannaMine、Mykings(隐匿者)、Bulehero、8220Miner、匿影、DDG、h2Miner、MinerGuard、Kworkerds、Watchdogs。
3、挖矿木马的传播方法
漏洞传播
弱密码暴力破解传播
僵尸网络
无文件攻击方法
网页挂马
软件供应链攻击
社交软件、邮箱
4、挖矿木马利用漏洞
弱密码
未授权访问
命令执行
…
5、常规处置方法
隔离被感染的服务器/主机
防止攻击者以当前服务器/主机为跳板对统一局域网内的其它机器进行漏洞扫描和利用,禁用非业务端口、服务、配置ACL白名单,非重要业务系统建议下线隔离,再排查。
如何确认挖矿
进程排查
木马清除
阻断矿池地址连接
清除挖矿定时任务、启动项等
定位挖矿木马文件,删除
挖矿木马防范
挖矿木马僵尸网络防范
避免使用弱密码
打补丁
服务器定期维护
网页/客户端挖矿木马防范
浏览网页时,主页CPU、GPU使用率
避免访问高危网站
避免下载来路不明的软件
6、应急思路
判断挖矿木马
CPU使用率、系统卡顿、部分服务无法正常运行等现象;
通过服务器性能监测设备查看服务器性能;
挖矿木马会与矿池建立连接,通过安全检测类设备告警判断;
判断挖矿木马挖矿时间
查看木马文件创建时间;
查看任务计划创建时间;
查看矿池地址,通过安全类检测设备;
判断挖矿木马传播范围
挖矿木马会与矿池建立连接,通过安全类监测设备监测;
了解网络部署环境
网络架构、主机数据、系统类型、相关安全设备
系统排查
Windows
用户排查:攻击者为了在系统中实现持久化驻留,
net user
lusrmgr.msc可查看隐藏用户
查注册表:攻击者可能会克隆正常用户名来隐藏自己
网络连接
netstat -ano |find “445”
进程排查
tasklist
任务管理器
工具
任务计划
打开计算机管理——系统工具——任务计划程序——任务计划程序库:可查看任务计划的名称、状态、触发器等信息;
命令行输入schtasks:可获取任务计划信息,要求是本地Administrator组的成员;
在PowerShell下输入get-scheduledtask 可查看当前系统中所有任务计划信息,包括路径、名称、状态等详细信息。
服务排查
services.msc
Linux
用户排查
cat /etc/passwd:查看系统中所有用户信息;
lastlog:查看系统中用户最后登录信息;
lastb:查看用户错误登录列表;
last:查看用户最近登录信息;
who:查看当前用户登录情况;
awk -F:‘length($2)==0 {print $1}’ /etc/shadow :查看是否存在空口令账户;
进程排查
ps aux
netstat -antp:可查看进程、端口、PID
ls -alh /proc/PID:查看对应可执行程序
top
lsof -p PID:查看对应PID对应的可执行程序
lsof -i:port:查看指定端口对应的程序
ll /proc/PID:可查看进程详细信息
任务计划排查
crontab -l:查看任务计划
日志排查
Windows
eventvwr:打开事件查看器,可看日志
位置:%SystemRoot%\System32\Winevt\Logs
应用程序日志:Application.evtx
安全性日志:Security.evtx
系统日志:System.evtx
常用检测事件id:
4728:把用户添加进安全全局组,如Administrator组
4797:试图查询账户是否存在空密码
4624:登录成功日志
4625:登录失败日志
4672:表示特权用户登陆成功会产生的日志,如Administrator
4648::其它登录情况
Linux
任务计划日志
crontab -l:查看当前任务计划有哪些,后门
ls /etc/cron*:
cat /var/log/cron:任务计划日志
ls /var/spool/mail
cat /var/spool/mail/root:
自启动日志