应急响应流程

GB/T 28827.3

应急响应流程

应急准备-监测与预警-应急处置-总结改进

应急响应的准备

建立应急响应组织 确定应急响应责任人, 和执行人, 并且明确责任沟通方式和考核制度 制定应急响应制度 风险评估与改进 了解当前现场信息系统的状况, 包括网络拓扑, 安全防护部署, 脆弱性等进行评估后再改进 划分应急事件级别 制定应急响应预案 培训与演练

事前准备

沟通

了解网络拓扑。 了解客户的信息化人员结构 了解一下物理位置

上机方法

首选： 堡垒机 其次： SSH、VNC、3389 最次： 虚拟化平台VCenter，深信服超融合，H3C虚拟化

初步处置方法

怎么断网：

主机上禁用网卡 防火墙封禁IP 拔网线

告警的分析

攻击未成功 误报 扫描 模糊测试 封禁IP

各种攻击成功的迹象

攻防演练中攻击队的攻击行为, APT组织的持久化控制, 黑产组织的挖矿行为

• 木马文件相关告警
• 木马流量相关告警
• 内网扫描，内网暴力破解
• 异常持久化行为：持久化制作, 反弹shell
• 内网蜜罐被踩

蠕虫病毒

EDR告警, 部分计算机的正常运行受到影响

勒索病毒

文本文件(txt,word,excel), 数据库文件被加密, 电脑上存在勒索单位的提醒和比特币交易地址.

线上解密

https://lesuobingdu.360.cn/ 备份恢复 交钱

挖矿病毒

• CPU 和 GPU 飙高, 占用率80%以上
• 矿池通信
• 被植入后门

DDOS

• 网络带宽被大量占用
• 在排除挖矿木马后, CPU和内存依然飙高

处置

断网 先切断主机源的双向通信

攻击队攻击 护网当中的主要事件，一般来说主要会用到CS/MSF/Silver权限维持工具 Frp、Stowaway代理穿透的工具。 挖矿 日常比较常见的事件，一般服务器不太可能中挖矿病毒，终端和云服务器有一定几率。 勒索 严重的事件之一，现象很明显，文件加密，网站挂黑页。 APT（高级持续性威胁）组织攻击 严重的事件之一，可能是某些告警触发了之后深度分析出来的。

可执行木马 木马等可执行程序 自启动 计划任务 各种后门、劫持等 webshell hm 河马 D盾

流量侧角度分析 与哪些WINDOWS主机的445端口 135端口 3389端口 有大量的数据交互 与哪些linux主机的22端口 或 有大量的HTTP协议的通信 分析出回连IP，查看还有没有其他的主机也回连过 主机侧角度分析 日志审计 EDR

攻击路径溯源 分析0day的方式:

威胁告警 webshell文件访问时间 webshell文件落地时间 后门、持久化生成时间 木马落地时间 互联网威胁告警 内网威胁告警 蜜罐、EDR告警 webshell URL webshell文件 木马 反弹、反连IP 时间线 可疑IP 线索收集 根据时间线和IP信息，分析正常流量数据包 还原攻击链 情况收集 安全设备 发现方式 系统类型 网络区域 危害情况 事件类型 清除后门 确认横向移动范围 穿透工具 落地、回连时间 内网扫描 横向移动 非正常访问

攻击者的溯源

冰蝎的xss，CS < 4.6版本的xss，exp工具的漏洞， goby的xss

来自： 攻击的源ip地址，木马或穿透工具的回连ip，命令执行或jndi注入访问的ip

收集攻击者使用的ip

6. 后续处置

临时下线的系统后续该如何处理 通知厂商修复， 等厂商发布修复补丁 给防御设备比如WAF、下一代防火墙设置规则

传统的漏洞处置

• 弱口令、重复口令： 改密码
• 防火墙的访问控制： 不该出网的主机一律不出网， 不同区域的访问严格控制

输出报告

• 记录所有的时间点
• 所有的取证全部要截图
• 相关问题

经过研判，发现某主机存在webshell应该如何进行下一步处置？

• a. 隔离该主机
• b. 根据webshell的发现方式，找到该webshell 如果网侧发现webshell通信，但是在主机上找不到对应webshell： 1. 有可能为内存马，需要进行内存马排查 2. 有可能利用完毕后就删除了，需要找到该主机上可能存在的其他webshell，可以根据文件的创建时间查找，也可以使用D盾等webshell查杀工具查找。
• c. 分析进程、网络查找有无木马或穿透工具
• d. 查找启动项、计划任务、账户后门、其他的后门、内存马
• e. 分析有没有把该主机作为跳板机攻击其他的内网主机
• f. 分析上传webshell的原因，找到漏洞
• g. 输出报告，并修复漏洞，重新上线系统

应急响应的流程

• a. 准备阶段-了解网络拓扑、了解相应负责人、了解资产情况、了解上机方式
• b. 检测和预警阶段-研判攻击
• c. 处置阶段：隔离主机、排查后门、排查受损情况、分析溯源漏洞
• d. 总结与改进：修复漏洞、输出报告、重新上线

如何知道某个主机是否存在木马?

• a. EDR下发全盘查杀策略
• b. 根据进程链和网络外连情况进行分析
• c. 根据计划任务、启动等持久化方式进行分析

大集权系统应该如何防护?

什么大集权？能够控制若干台主机权限的服务器：windows域控、堡垒机、EDR、虚拟化平台、K8S Master 根据大集权系统的特性，缩小不同区域之间的暴露面，仅允许普通访问集权系统的控制端口、其他端口一律不开放给其他的区域。 条件满足的情况下，限制大集权的出网。

如何进行攻击链溯源?

• a. 收集情况
• b. 收集线索
• c. 整理出正反连的恶意IP
• d. 整理时间线，根据时间线分析正常流量找出对应攻击行为。

经验分享

值守中EDR发现存在木马, 随即查看了该资产信息, 发现属于一台普通用户终端, 通过文件名字, 文件木马和时间, 以及走访该员工, 发现该木马是某个办公软件绑定的流氓软件, 随后帮助该员工卸载后, 进行全盘杀毒.

值守中发现XDR告警弱口令, 通过研判发现该用户周期性的访问, 属于正常用户行为。然后上报处置组以及客户，找到相关软件负责人通知该用户修改口令，并设置强口令规则。后续分析并无可疑IP使用过该弱口令。

值守中发现某云主机安全告警，存在挖矿木马，登录后使用top命令查看发现CPU和内存占用100%，并发现进程名，使用ps -ef和lsof -p找到了该木马的主进程和维持进程。并使用netstat -antp找到了矿池IP。 留存记录并清除后木马进程依然会启动，进一步分析发现使用计划任务/etc/crontab定期启动维持进程，并且攻击者还植入了SSH公钥。全部留存并清除后发现没有再继续启动。 通过last命令判断该主机曾被异地IP登录，访问/var/log/secure文件发现该IP使用密码通过SSH进行登录，判断可能攻击方式为SSH口令泄露，随即修改密码。全部处理完成后输出了报告。

值守中发现某台主机进行大量的内网扫描，立马拉黑了该主机，通过询问客户得知该源IP地址为近期刚部署的扫描器，随即开放该主机，并添加进白名单。

值守中发现某台主机进行大量的内网扫描，通过分析资产发现该主机为某台映射在公网的服务器，判断该主机已经失陷，立即针对在防火墙中拉黑该主机。通过findsomething进行文件创建时间的分析，发现该主机存在webshell文件，并通过进程链分析该主机启动了木马文件。 通过netstat -antob分析找到该木马文件回连IP，以及与木马文件同目录还有Fscan和frp，收集Fsan扫描结果和frp回连信息，立即封禁了木马和FRP的回连IP。之后继续进行持久化和后门排查。 排查结束后，根据回连IP信息在XDR中搜索该IP相连的过主机不止一台，随即上机排查。并且根据第一条跳板机的主动访问记录还发现横向移动到另外若干台主机上。通过端口和系统登录日志判断出该主机利用的服务后，进行修复处理。 所有后门排查完成，根据攻击时间线审核webshell生成时间附近的所有流量，并提取出可疑的IP信息，进行梳理后发现是由于某OA系统的文件上传0day攻击导致失陷，上报修复后，在防火墙和WAF添加规则后，重新上线系统。最后输出报告。

值守中内网蜜罐产生告警，通过分析得知访问IP为SSLVPN的网段。由于SSLVPN连接内网资产使用nat模式，并且所有用户的源内网IP均为同一个，只能通过时间大概判断出VPN的登录情况，确定登录用户。 在挨个联系用户后得知某个用户本人并未登录，并且该用户为分公司运维人员。于是立即删除了该用户的账号，并协助分公司进行排查，发现某台云服务器被入侵，并且该云服务器存在大量账户信息。根据账户信息删除了相关设备上的相关凭证，并且通知分公司进行整改。 之后，重新分析了该VPN的访问流量，发现成功入侵了若干台主机，于是继续对这些主机进行处置。

值守中客户通知公安部发来线索，线索为一个内网IP，经过询问客户得知该IP属于分支机构所管辖的网段，联系上相应负责人后进行处置分析。一开始并未发现木马通信和可疑文件，经过后门排查，发现某个计划任务调用文件java.exe，上传沙箱后发现该文件为正常文件，但同文件夹内还有一个dll文件，分析后发现为恶意文件。推测出使用白加黑进行免杀。 进一步排查，以及收集该exe进程信息，找到回连IP，并根据连接时间确定时间线，审核该时间线附近的流量发现某系统存在命令执行漏洞，通知负责人修复后，重新上线，并输出报告。