由于近期遇到的两次面试都问了应急相关的知识点,正好前几天也有个应急响应的培训,想着温故知新,简单总结一些应急中的处置方案,便于高效率的处理应急事件。
以下内容均为实践中总结而来,个人认入门级应急响应小贴士为处理应急事件肯定是以最快解决问题的方式进行,文章中都附工具地址,从操作思路来看刚入门的朋友也能据此处理一些常规应急事件。
首先应急过程中遇到的事件分类,常见类型基本为网页篡改、网页挂马、勒索病毒、挖矿木马、拒绝服务攻击、dns劫持、IOC告警、APT攻击这些,下面会讲解遇到这些情况的处理方案。
网页篡改
网页篡改也有以下三个情况分类
常规作死型,直接替换主页文件,可能是某些黑客的恶作剧之类。
黑产相关,访问网页跳转到菠菜网站,这类一般都是利用脚本批量的扫然后自动化的修改某些文件内容,将访问重定向到目标菠菜网站。
除了直接跳转之外还有一种是网站正常访问,但是通过百度等搜索引擎搜索时候看到一些文章内容被替换了。
前两种,访问主页打开发现是黑页或菠菜网站的,需要我们先排查一下页面是否为DNS劫持影响,这一步简单的ping命令就能帮助我们完成
如果域名解析的IP地址没有问题,确实是客户IP地址资产(PS:如果遇到是CDN情况,那么看该CDN是不是用户自己的),不考虑CDN也被入侵的情况,基本能确认是网页确实是被篡改了。
针对此类型事件处理方案应该优先给用户断个网,至少先断开对外的映射,然后再本地使用D盾进行webshell查杀,对确认的木马进行删除操作(这一步先和网站管理沟通确认下,避免误删)。
之后对查看web日志,通过被修改页面的修改时间,如2017-12-20 15:53这一时间段内(可以先从前后一周的范围开始筛查)的可疑访问进行筛选,结合扫描到的木马特征名称,如test.php这样的文件名特征,综合判断后确认攻击IP,然后根据攻击IP的访问记录推断出可能存在漏洞的文件,并进行代码分析和修复。
之后处理完对网站进行恢复备份即可。
另外某些情况下,可能用户并没有备份文件,此时建议使用seay源代码审计工具来对网站源码关键字进行搜索,关键字可以为referer、各个搜索引擎的ua以及对应的菠菜网站的域名,当然有可能会遇到内容加密的情况,此时的处理方式只能是根据文件修改时间来对近期改动过的文件进行排查。
网页挂马
网页挂马事件即黑客在入侵网站后留下木马后门,一般都是通过安全产品或是某些安全公司监测到木马后邮件通知相关管理员后需要应急处置。
木马处理方式与篡改事件一样,D盾一把梭,然后对日志进行分析,通过木马名特征进行筛查,分析入侵过程。
同样也可能遇到不存在日志的问题,此时需要先了解分析目标环境,从网站管理人员处获取必要的信息,如操作系统版本,对外映射的端口,网站中间件类型,网站是否二次开发,使用了哪款CMS,考虑到最近fastjson的rce也越来越多,需要了解网站使用的开发语言和版本信息等,由此来逆向推断出网站可能存在漏洞,如了解到网站使用了weblogic 10.3.6,想到weblogic持续为安全界贡献的漏洞,那么这很可能就是问题所在,基于此推断我们可以使用相关工具进行验证。
如结果存在漏洞,则认为很可能是该问题导致的网站挂马。
无论网页篡改还是挂马,后续的防护都建议定期做好安全评估工作。
勒索病毒
勒索病毒一般情况下,到达客户现场先与其进行沟通,本人的亲身经历来说,遇到过几次可能是销售的沟通问题,到现场处理完溯源之后,客户还在问,我们没有备份,那数据能恢复吗,作为一个乙方服务人员,我只能告诉他,如果你不准备给钱,那么这个数据基本没法恢复,因此那次应急结束的并不是很愉快,所以后面的应急过程中,我都会先和客户沟通好明确了需求在进行应急。
勒索病毒特征一般很明显,都会在加密后附上一个贴心的readme.txt
并且还能在readme中找到他们这波勒索给自己起的名字。虽然文件大概率无法恢复,但是总要相关的依据,可以在https://lesuobingdu.qianxin.com进行查询,根据文件信息,我们找到netwalker,确认无法进行恢复。
勒索病毒的处理还是以溯源为主,目的为防止主机再次受到感染以及避免感染更多的主机,因此到现场第一时间应对目标主机进行断网操作(拔网线)。
其实从概率论来说,目标客户不可能是唯一一家中招的,因此网上一定会有一些相关的分析资料,一般通过搜索引擎搜索类似如下关键字
很容易就能找到对应的分析,根据分析我们在进行对应的处置。
考虑到网上无法找到相关分析文章的情况下,通常可以先通过360杀毒和火绒这些安全软件来定位到木马
然后将其丢入自动化沙箱进行分析,这边推荐微步云沙箱
因为本人对逆向二进制实在不熟悉,只能依赖这类沙箱进行分析,如果有逆向动手能力较强的大佬可以忽略这步。
根据沙箱运行结果,我们可以做出相应防范措施,至此为简单的分析流程,处理完一台机器后一般还会需要我们进行溯源,这一步直接查看系统日志的登录记录,排查可疑记录,需要说明一下,勒索病毒一般都是通过系统弱口令或远程代码执行漏洞来进行入侵,因此需要一个执行shell命令的权限,而且获取权限执行命令的过程必定会有相对的登录记录,因此需要查看日志的4625和4624记录,人工一条条看太过费时,推荐uknow大佬写的工具,一键查看登录记录,很方便。
找到可疑目标IP然后再重复以上的处理步骤,找到源头的目标主机,根据经验来说,遇到过的80%以上都是因为源头那台主机存在弱口令,例如Pass1234 和Admin@123这类看似安全的密码。
因此对于勒索病毒的防御,应当以修改复杂密码并及时更新补丁为主,有条件的可以使用vpn或acl。
挖矿木马
挖矿木马一般通过查看当前CPU运行情况就能确认,windows下任务管理器中就能看到,linux下使用top命令,查看到某个进程持续保持在80%-90%以上的CPU,基本就是对应的木马进程了。win下一般选中进行右键打开文件位置就能定位到对应目录。
linux下使用ps -aux|grep “木马进程名” 即可找到对应路径和文件
定位到木马后,需要对其进行清除操作,挖矿木马麻烦的就是系统驻留,windows推荐微软的autoruns,个人认为非常好用,免去了花里胡哨的看手动查注册表、手动看启动项这些操作。
找到与挖矿进程和木马相关的 计划任务、服务、WMI等,进行清理即可。当然此前肯定需要结束木马进程并删除木马文件,然后重启后观察是出现问题。
linux下基本都是写在定时任务中crontab -l命令或ls /var/spool/cron/查看有无可疑内容。
找到木马脚本后,将其一起进行清理
对于木马的溯源,根据日志的分析结果为主,如果仅开放了web服务端口,根据时间定位范围后进行排查,如果开放了其他端口,需要根据脚本创建时间去进行排查,思路有限以能直接获取系统权限的问题为切入点,linux下例如管理软件问题ssh的弱口令,系统漏洞问题redis未授权问题,应用层问题中间件weblogic的rce这类。
windows下除了网站日志外以系统日志为主。
linux下日志较多,可以参考如下路径进行分析。
路径1:/var/log/messages:记录 Linux 内核消息及各种应用程序的公共日志信息
路径2:/var/log/cron:记录 crond 计划任务产生的事件信息
路径3:/var/log/dmesg:记录 Linux 操作系统在引导过程中的各种事件信息
路径4:/var/log/maillog:记录进入或发出系统的电子邮件活动
路径5:/var/log/lastlog:记录每个用户最近的登录事件
路径6:/var/log/secure:记录用户认证相关的安全事件信息
路径7:/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件
路径8:/var/log/btmp:记录失败的、错误的登录尝试及验证事件
另外需要注意的是,挖矿和勒索往往都伴随着蠕虫事件,此类我没有单独分类是因为现在这个时代几乎已经见不到单纯的恶意搞破坏的蠕虫了(这里指我们日常所能接触到的领域,不包括那些某国家集体停电这类事件),毕竟那些攻击者都是以获取利益为主,单纯的破坏并不能得到任何好处。
在实际中也遇到过不少,在局域网内大规模的出现蓝屏和重启的现象,到现场基本都是因为MS17010的传播导致的,当然为了确认,可以在受害主机上运行uknow大佬写的工具,能看到大量的匿名登录失败的请求,也可以在内网中使用msf的auxiliary/scanner/smb/smb_ms17_010模块进行确认,如存在攻击成功后的后门,结果中会有相应提示。
确认后为客户安装对应的补丁即可。
小结
由于篇幅问题,其余的几种会在后续文章进行分析,本文还是偏向入门级,希望刚接触应急的朋友可以根据此文处理一些常规安全事件。
本文始发于微信公众号(疯猫网络):入门级应急响应小贴士
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论