8.14. 应急响应

8.14.1. 响应流程

8.14.1.1. 事件发生

运维监控人员、客服审核人员等发现问题,向上通报。

8.14.1.2. 事件确认

收集事件信息、分析网络活动相关程序,日志和数据,判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等。

8.14.1.3. 事件响应

各部门通力合作,处理安全问题,具体解决问题,避免存在漏洞未修补、后门未清除等残留问题。

8.14.1.4. 事件关闭

处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。

8.14.2. 事件分类

  • 病毒、木马、蠕虫事件

  • Web服务器入侵事件

  • 第三方服务入侵事件

  • 系统入侵事件
    • 利用Windows漏洞攻击操作系统

  • 网络攻击事件
    • DDoS / ARP欺骗 / DNS劫持等

8.14.3. 分析方向

8.14.3.1. 文件分析

  • 基于变化的分析
    • 日期

    • 文件增改

    • 最近使用文件

  • 源码分析
    • 检查源码改动

    • 查杀WebShell等后门

  • 系统日志分析

  • 应用日志分析
    • 分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas

    • 对每种攻击进行关键字匹配,e.g. select/alert/eval

    • 异常请求,连续的404或者500

  • md5sum 检查常用命令二进制文件的哈希,检查是否被植入rootkit

8.14.3.2. 进程分析

  • 符合以下特征的进程
    • CPU或内存资源占用长时间过高

    • 没有签名验证信息

    • 没有描述信息的进程

    • 进程的路径不合法

  • dump系统内存进行分析

  • 正在运行的进程

  • 正在运行的服务

  • 父进程和子进程

  • 后台可执行文件的完整哈希

  • 已安装的应用程序

  • 运行着密钥或其他正在自动运行的持久化程序

  • 计划任务

8.14.3.3. 身份信息分析

  • 本地以及域账号用户

  • 异常的身份验证

  • 非标准格式的用户名

8.14.3.4. 日志分析

  • 杀软检测记录

8.14.3.5. 网络分析

  • 防火墙配置

  • DNS配置

  • 路由配置

  • 监听端口和相关服务

  • 最近建立的网络连接

  • RDP / VPN / SSH 等会话

8.14.3.6. 配置分析

  • 查看Linux SE等配置

  • 查看环境变量

  • 查看配套的注册表信息检索,SAM文件

  • 内核模块

8.14.4. Linux应急响应

8.14.4.1. 文件分析

  • 最近使用文件
    • find / -ctime -2

    • C:\Documents and Settings\Administrator\Recent

    • C:\Documents and Settings\Default User\Recent

    • %UserProfile%\Recent

  • 系统日志分析
    • /var/log/

  • 重点分析位置
    • /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录

    • /var/run/utmp 有关当前登录用户的信息记录

    • /var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。

    • /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。

    • /var/log/cron 与定时任务相关的日志信息

    • /var/log/message 系统启动后的信息和错误日志

    • /var/log/apache2/access.log apache access log

    • /etc/passwd 用户列表

    • /etc/init.d/ 开机启动项

    • /etc/cron* 定时任务

    • /tmp 临时目录

    • ~/.ssh

8.14.4.2. 用户分析

  • /etc/shadow 密码登陆相关信息

  • uptime 查看用户登陆时间

  • /etc/sudoers sudo用户列表

8.14.4.3. 进程分析

  • netstat -ano 查看是否打开了可疑端口

  • w 命令,查看用户及其进程

  • 分析开机自启程序/脚本
    • /etc/init.d

    • ~/.bashrc

  • 查看计划或定时任务
    • crontab -l

  • netstat -an / lsof 查看进程端口占用

8.14.5. Windows应急响应

8.14.5.1. 文件分析

  • 最近使用文件
    • C:\Documents and Settings\Administrator\Recent

    • C:\Documents and Settings\Default User\Recent

    • %UserProfile%\Recent

  • 系统日志分析
    • 事件查看器 eventvwr.msc

8.14.5.2. 用户分析

  • 查看是否有新增用户

  • 查看服务器是否有弱口令

  • 查看管理员对应键值

  • lusrmgr.msc 查看账户变化

  • net user 列出当前登录账户

  • wmic UserAccount get 列出当前系统所有账户

8.14.5.3. 进程分析

  • netstat -ano 查看是否打开了可疑端口

  • tasklist 查看是否有可疑进程

  • 分析开机自启程序
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    • (ProfilePath)\Start Menu\Programs\Startup 启动项

    • msconfig 启动选项卡

    • gpedit.msc 组策略编辑器

  • 查看计划或定时任务
    • C:\Windows\System32\Tasks\

    • C:\Windows\SysWOW64\Tasks\

    • C:\Windows\tasks\

    • schtasks

    • taskschd.msc

    • compmgmt.msc

  • 查看启动服务
    • services.msc

8.14.5.4. 日志分析

  • 事件查看
    • eventvwr.msc

8.14.5.5. 其他

  • 查看系统环境变量

8.14.6. 参考链接