免责声明
一、什么是应急响应
应急响应(Incident Response”或“Emergency Response)是安全从业者最常见的工作之一(系统被黑后紧急救火,PDR模型-防护、检测、响应中的三大模块之一)。
应急响应是出现紧急情况时的行动。应急方案准备的一种,编制应急方案,对一旦出现紧急情况时人员行动作出规定,有秩序的进行救援,以减少损失。所以,本单位的人员对应急方案必须熟悉。应急方案实际就是一个程序,应符合本地区实际,必须有可操作性,有很强的针对性。
二、应急响应的流程
准备-检测-抑制-根除-恢复-跟踪总结应急响应的基本思路是什么?准备-检测-抑制-根除-恢复-书写报告1、准备工作,收集信息:收集告警信息、客户反馈信息、设备主机信息等。2、检测,判断类型:安全事件类型的判断(钓鱼邮件,webshell,爆破,中毒等)3、抑制,控制范围,隔离失陷设备4、根除,分析研判,将收集的信息分析5、恢复,处置事件类型(进程、文件、邮件、启动项,注册表等)6、输出报告
2.1应急响应常见事件分类:
-
web入侵:网页挂马、主页篡改、Webshell
-
系统入侵:病毒木马、勒索软件、远控后门
-
网络攻击:DNS劫持、DDOS攻击、ARP欺骗
2.2Linux应急
1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号,主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意;2、通过 who 命令查看当前登录用户(tty 本地登陆 pts 远程登录)、w 命令查看系统信息,想知道某一时刻用户的行为、uptime 查看登陆多久、多少用户,负载;3、修改/etc/profile 的文件,在尾部添加相应显示时间、日期、ip、命令脚本代码,这样输入history命令就会详细显示攻击者 ip、时间历史命令等;4、用 netstat -antlp|more 命令分析可疑端口、IP、PID,查看下 pid 所对应的进程文件路样输入history命令就会详细显示攻击者 ip、时间历史命令等;5、使用 ps 命令,分析进程 ps aux | grep pid6、使用 vi /etc/inittab 查看系统当前运行级别,通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件;7、看一下 crontab 定时任务是否存在可疑启用脚本;8、使用 chkconfig --list 查看是否存在可疑服务;9、通过 grep awk 命令分析/var/log/secure 安全日志里面是否存在攻击痕迹;10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀;11、如果有 Web 站点,可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数(evel、system、shell_exec、exec、passthru system、popen)进行查杀Webshell 后门。PS:感谢某师傅提供的思路
2.3Windows应急
1.检查系统账号安全查看服务器是否有弱口令,远程管理端口是否对公网开放检查方法:查看网络连接对应的进程2.查看日志:打开控制面板——系统和安全——查看事件日志,就进入了事件查看器4624:账户成功登录4648:使用明文凭证尝试登录4778:重新连接到一台 Windows 主机的会话4779:断开到一台 Windows 主机的会话3.查看服务器是否存在可疑账号、新增账号。检查方法:打开 cmd 窗口,输入lusrmgr.msc命令4、查看服务器是否存在隐藏账号、克隆账号。检查方法:打开注册表 ,查看管理员对应键值。regedit【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】(用户名以$结尾的为隐藏用户,如:admin$)5.结合日志,查看管理员登录时间、用户名是否存在异常。检查方法:Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。6.检查异常端口、进程检查端口连接情况,是否有远程连接、可疑连接。检查方法:netstat -ano 查看目前的网络连接7.检查启动项、计划任务、服务8.上工具查杀卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe大蜘蛛:http://free.drweb.ru/download+cureit+free火绒安全软件:https://www.huorong.cn360 杀毒:http://sd.360.cn/download_center.html
三、简单具体案例分析
3.1挖矿病毒
“中毒”现象:病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题
介绍:挖矿木马是利用各种方式入侵计算机,利用被入侵计算机的算力挖掘加密数字货币牟利的木马,其即可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改计划任务、防火墙配置、系统动态链接库等,这些技术手段严重时可能造成服务器业务中断。
挖矿病毒分类摘自:
https://zhuanlan.zhihu.com/p/164557943#:~:text=%E6%A0%B9%E6%8D%AE%E7%81%AB%E7%BB%92%E6%9F%A5%E6%9D%80%E6%95%B0%E6%8D%AE%E5%8F%91%E7%8E%B0%20%E6%8C%96%E7%9F%BF%E7%97%85%E6%AF%92%E7%9A%84%E5%A5%97%E8%B7%AF%E9%83%BD%E5%9C%A8%E8%BF%99%E9%87%8C%201%20%E4%B8%80%E3%80%81DTStealer%20%28%E5%8F%88%E5%90%8D%E2%80%9C%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9D%E4%B8%8B%E8%BD%BD%E5%99%A8%E6%9C%A8%E9%A9%AC%E2%80%9D%29%201%E3%80%81%E7%89%B9%E7%82%B9%E5%8D%B1%E5%AE%B3%20%E8%AF%A5%E7%97%85%E6%AF%92%E6%98%AF%E7%9B%AE%E5%89%8D%E4%BC%81%E4%B8%9A%E6%9C%80%E5%B8%B8%E8%A7%81%E7%9A%84%E6%8C%96%E7%9F%BF%E7%97%85%E6%AF%92%E4%B9%8B%E4%B8%80%EF%BC%8C%E8%87%AA2018%E5%B9%B4%E7%81%AB%E7%BB%92%E5%AF%B9%E5%85%B6%E8%BF%9B%E8%A1%8C%E6%8A%AB%E9%9C%B2%E5%90%8E%EF%BC%8C%E8%87%B3%E4%BB%8A%E4%BE%9D%E6%97%A7%E5%9C%A8%E6%9B%B4%E6%96%B0%E6%B4%BB%E8%B7%83%E4%B8%AD%E3%80%82%20...,%E5%AE%89%E5%85%A8%E5%BB%BA%E8%AE%AE%201.%20...%207%20%E9%99%84%E7%81%AB%E7%BB%92%E7%9B%B8%E5%85%B3%E6%8A%A5%E5%91%8A%EF%BC%9A%20%E2%80%9C%E9%9A%90%E5%8C%BF%E8%80%85%E2%80%9D%E7%97%85%E6%AF%92%E5%9B%A2%E4%BC%99%E6%8A%80%E6%9C%AF%E5%8D%87%E7%BA%A7%E4%BC%A0%E6%92%AD%E7%97%85%E6%AF%92%20%E6%9A%B4%E5%8A%9B%E5%85%A5%E4%BE%B5%E7%94%B5%E8%84%91%E5%A8%81%E8%83%81%E5%85%A8%E7%BD%91%E7%94%A8%E6%88%B7%20
一、DTStealer(又名“永恒之蓝下载器木马”)
1、特点危害
该病毒是目前企业最常见的挖矿病毒之一,自2018年火绒对其进行披露后,至今依旧在更新活跃中。目前已知最新版本为“BlackBall”。
病毒运行后,除了执行挖矿行为,占用终端资源以外,还会窃取终端信息并回传服务器,并利用钓鱼邮件、SMBexec、WMIexec、常见漏洞等方式,在内、外网肆意传播。
2、感染症状
如您的终端出现以下症状,极有可能感染了此病毒。
(1)出现以下名称的任务计划:
l Drivers
l WebServers
l DnsScan
l Bluetooths
l Credentials
l Rtsa
l 00-00-00-00-00-00或??-??-??-??-??-??(MAC地址)
l Bluetea
l Blackball
(2)以下位置可能会生成的病毒文件:
l C:Windowstempsvchost.exe
l %AppData%Microsoftcred.ps1
l %AppData%flashplayer.tmp
l %AppData%MicrosoftWindowsStartMenuProgramsStartupFlashPlayer.lnk
(3)U盘内出现以下文件:
l blue3.bin
l blue6.bin
l (D-K)blue3.lnk
l (D-K)blue6.lnk
(4)火绒出现"隐藏执行PowerShell"、“利用PowerShell执行可疑脚本”等系统加固拦截
(5)可能会出现的网址访问拦截:
l http://beahh.com
l http://ackng.com
l http://zer2.com
3、处理方法
目前该病毒的组件模块,火绒均可查杀。但该病毒内网传播方式较多,在部署火绒查杀后,还有被其他已经中毒终端攻击攻击的可能,出现火绒“文件实时监控”的查杀记录。
所以在处理此病毒时,多会选择在企业内统一部署火绒终端,并通过火绒中心下发全盘查杀,在处理中毒终端内的任务计划、病毒文件后,重启即可解决。
二、WannaMine
1、特点危害
该挖矿病毒于2017年底被发现,也是企业内较为常见的挖矿病毒、病毒运行后会扫描企业网络内是否启用了445端口的终端,并通过"永恒之蓝"漏洞在内网横向传播,感染更多终端进行挖矿。
2、感染症状
如果火绒“文件实时监控”拦截查杀以下目录内的“永恒之蓝”传播组件,则有可能感染了此病毒。
l C:WindowsSpeechsTracing
l C:WindowsNetworkDistribution
火绒"文件实时监控"查杀此挖矿程序:
l C:WindowsSysWOW64dllhostex.exe
3、处理方法
对此挖矿,只需要部署火绒进行快速扫描,并重启终端即可,在重启后可选择全盘扫描或自定义扫描,处理C盘内的病毒残留文件。
如企业内有多台终端出现被感染的情况,以上操作可通过火绒中心下发执行。
三、隐匿者(MyKings)
1、特点危害
隐匿者(MyKings)是由多个子僵尸网络构成的多重僵尸网络,除挖矿外,该僵尸网络还包含DDoS、Proxy、RAT等恶意功能。自2017年以来,该僵尸网络至今处于持续更新、传播的状态。
该病毒会感染MBR,在系统引导时进行加载,加载时机多早于正常的软件启动,成功加载后除了执行恶意行为外,还会对自身进行保护。
2、感染症状
终端被感染后,会出现以下特征:
(1)安全软件部署后,无法正常运行
l Sql Server日志内,出现大量"sa"账户登陆失败日志。
l Sql Server的作业内,出现异常定时作业。
(2)出现以下任务计划
l My
l Mysa
l ok
(3)出现以下文件:
l C:Windowsdebuglsmo.exe
l C:Windowsdebuglsmos.exe
l C:Windowsdebugok.dat
l C:WindowsSystem32ok.exe
l C:Windowstempconhost.exe
l C:WindowsSystemmsinfo.exe
3、处理方法
因MBR被感染,病毒在系统引导时就会进行加载,在已经中毒的情况下部署使用火绒,可能会出现火绒"安全服务异常"的问题。
需使用火绒专杀对MBR进行修复(专杀下载地址:http://bbs.huorong.cn/thread-18575-1-1.html),成功修复并重启后,"火绒安全服务"即可恢复正常,全盘查杀即可。
四、匿影挖矿
1、特点危害
匿影挖矿于2019年2月被发现,该病毒会利用大量网络上的公共资源(例如免费图床)存放病毒模块。在企业内,会利用"永恒之蓝"在内网横向传播,感染更多终端进行挖矿。病毒运行后,会利用驱动阻碍安全软件正常运行,并对自身进行保护。
2、感染症状
终端被感染后,出现以下文件:
l C:WindowsTempretboolDriver.sys
l C:WindowsTempFlrefoxDriver.sys
l C:ProgramDatadll*
l C:ProgramDatakuaizipUpdateChecker.dll
l C:ProgramDataMS_17_010_Scan.exe
l C:ProgramDataMicrosoftChromme.exe
l C:ProgramDataFlrefox.exe
3、处理方法
因该挖矿会利用驱动妨碍安全软件正常运行,需先使用火绒专杀查杀,或进入"网络安全模式"阻止病毒继续运行,使用火绒全盘查杀即可,目前该挖矿病毒的组件火绒均能查杀处理。
五、紫狐
1、特点危害
紫狐病毒最初发现于2018年,多年来一直保持活跃,除了挖矿外,该病毒还有流量暗刷、DDoS、盗号、恶意推广等恶意行为。并会通过软件捆绑、Ghost镜像、永恒之蓝、Sql暴破、服务漏洞等方式进行传播。
2、感染症状
被感染终端,会出现以下文件:
l C:WindowsSystem32Ms********App.dll(*为任意字符)
3、处理方法:
该病毒会通过驱动对自身进行保护,需要用专杀进行处理(专杀下载地址:http://bbs.huorong.cn/thread-18575-1-1.html),查杀重启后即可恢复正常。
常见挖矿病毒的处理方式:
1.隔离被感染的主机/服务器、2.确认挖矿进程、3.清除挖矿木马处理:
1)查看计划任务日志2)查看自启动日志3)清除加固
3.2勒索病毒
介绍:
勒索病毒,是一种伴随数字货币兴起的病毒木马,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。绝大多数勒索病毒,被感染者是无法解密的,必须拿到解密的私钥才有可能破解。
常见勒索病毒:
1、WannaCry勒索病毒2、Crysis/ Dharma勒索病毒3、Globelmposter勒索病毒4、GandCrab勒索病毒5、Satan勒索病毒6、Sacrab勒索病毒7、Matrix勒索病毒8、Stop勒索病毒9、Paradise勒索病毒
常见处理方式:
1、安装杀毒软件,保持监控开启,定期全盘扫描2、及时更新 Windows安全补丁,开启防火墙临时关闭端口,如445、135、137、138、139、3389等端口3、及时更新web漏洞补丁,升级web组件4、备份。重要的资料一定要备份,谨防资料丢失5、强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开
常用工具:
腾讯哈勃勒索软件专杀工具:https://habo.qq.com/tool/index金山毒霸勒索病毒免疫工具:http://www.duba.net/dbt/wannacry.html火绒安全工具下载:http://bbs.huorong.cn/forum-55-1.html瑞星解密工具下载:http://it.rising.com.cn/fanglesuo/index.htmlnomoreransom勒索软件解密工具集:https://www.nomoreransom.org/zh/index.htmlMalwareHunterTeam勒索软件解密工具集:https://id-ransomware.malwarehunterteam.com/卡巴斯基免费勒索解密器:https://noransom.kaspersky.com/Avast免费勒索软件解密工具:https://www.avast.com/zh-cn/ransomware-decryption-toolsEmsisoft免费勒索软件解密工具:https://www.emsisoft.com/ransomware-decryption-tools/free-downloadGithub项目勒索病毒解密工具收集汇总:https://github.com/jiansiting/Decryption-Tools360勒索病毒搜索引擎:http://lesuobingdu.360.cn腾讯勒索病毒搜索引擎:https://guanjia.qq.com/pr/ls/启明VenusEye勒索病毒搜索引擎:https://lesuo.venuseye.com.cn/奇安信勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/深信服勒索病毒搜索引擎:https://edr.sangfor.com.cn/#/information/ransom_search
原文始发于微信公众号(全栈网络空间安全):简单讲讲应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论