0x01 第一战
收到EDR告警检测到Webshell,将Webshell隔离后按工作流程发起应急响应:
-
分析组:分析日志定位入侵原因,制定和执行止血方案 -
响应组:排查主机及应用是否有其他后门未发现
-
定位Web入侵入口,上线WAF规则紧急止血,同步推动开发着手修复漏洞
-
发现另一处未检测的Webshell并删除 -
封禁所有可疑攻击IP
PS:这个入侵时间点非常猥琐,处于开发都在吃晚饭的时间点,应急响应效率受到较大影响。
0x02 左右支绌
[18:32]
再次收到EDR告警有可疑命令正在执行,再次对告警进行响应,分析结论:
-
攻击队正在从服务器拖代码和搜索AK,导致行为触发告警
-
未定位入侵原因,可能从其它未知漏洞,或者之前遗留的Webshell/Rootkit再次进入,目前攻击队已经感知到被我们发现,删除人肉发现的Webshell对方也会植入新的Webshell继续搜集信息
-
在无法定位入侵原因的前提下和业务部门沟通,业务部门不能接受暂时下线业务和关停主机的风险
-
响应进入僵局,且面临攻击队随时可能从代码中分析出来新的漏洞或拖走业务数据的风险
0x03 绝地反击
[18:37]
-
后续发现攻击队暂时未发现Webshell执行环境已经被替换,仍然在蜜罐中持续窃取业务代码,成功赢得更多的响应时间
![记一次险象环生的应急响应经历]( "记一次险象环生的应急响应经历")
-
同时拟态蜜罐检测出攻击队可能在使用蚁剑Webshell管理工具,有一定的概率可以反制,从而反向控制其机器
0x04 柳暗花明
-
分析发现攻击队的确使用一个rootkit来持久化控制机器,同时还有多个未被发现的Webshell供使用,同时还有一个备用的RCE供再次入侵 -
把对应的后门均热迁移至拟态蜜罐,同时将对应的漏洞通过WAF止血后,应急响应顺利完成
0x05 事后复盘
-
应急响应的关键是争取尽可能多的响应时间,WAF的快速止血和基于拟态防御的主动欺骗是比较有效的时间争取手段;
-
选择主动和攻击队对抗时一定要慎重,确保有终极有效的止血手段(如这次业务拒绝关机/下线就让我们很被动),否则极有可能让黑客感知自己的暴露,从而隐蔽在我们检测之外,在第一波止血之后黑客的Webshell就没有被我们检测到,如果黑客没有因为收集信息动作过大被我们再次发现,这次很有可能就整体沦陷。
文中提到的拟态防御主动欺骗能力可在线使用,地址及说明文档:https://rivers.chaitin.cn/
END
原文始发于微信公众号(长亭百川云平台):记一次险象环生的应急响应经历
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论