应急响应--来不来得及走流程...
免责声明:本文仅做分享!
应急响应详解
概述
应急响应是现代信息安全管理中的重要一环。随着网络威胁的日益复杂化,企业和组织必须具备快速响应安全事件的能力,以最大限度地减少数据泄露、业务中断以及经济损失。本文将从应急响应的流程、技术工具、实践案例等多角度对这一过程进行详细说明。
应急响应基本流程
应急响应可以分为五大主要阶段:
1. 信息全面汇聚:情报收集阶段
在这一初始环节中,信息收集是确保应急响应的基础。对于一个有效的应急响应,情报的及时性、准确性和全面性都起着至关重要的作用。信息来源包括:
-
客户提供的信息
-
受害系统的日志
-
网络流量数据
-
设备报警和传感器信号
利用自动化工具(如SIEM系统)与人工审核相结合的方式,确保信息的全面性和有效性。信息汇聚越全面,越有利于后续分析的精准性。
2. 精准类型判定:事件分类阶段
事件分类是应急响应的重要阶段之一。事件类型的精准判定有助于决定应对策略,快速判断事件的紧急程度、威胁级别及可能影响范围。常见的安全事件类型包括:
-
DDoS攻击:分布式拒绝服务攻击,导致系统过载。
-
勒索软件入侵:恶意软件加密文件并索要赎金。
-
数据泄露:内部或外部人员窃取敏感数据。
-
APT攻击:高级持续性威胁,针对特定组织进行长时间的隐蔽攻击。
通过自动化威胁情报平台的支持,可以快速判断威胁来源,并提供应对建议。
3. 深度剖析洞察:深入分析阶段
在此阶段,应急响应团队需要对事件进行深入的技术分析,以确定入侵的路径和攻击者的目标。这一阶段的主要任务包括:
-
日志分析:检查系统、网络和应用程序日志,寻找异常行为的痕迹。
-
恶意软件逆向分析:通过逆向工程工具对恶意代码进行分析,理解其功能和危害。
-
网络流量分析:通过网络抓包工具(如Wireshark),分析流量中的可疑活动,找出攻击的通信信道。
通过多维度的分析工具结合安全情报,深入理解攻击者的技术手段和入侵路径,为接下来的响应决策提供支持。
4. 迅速响应处置:清理与修复阶段
在明确威胁的根源和攻击路径后,应急响应团队必须迅速采取行动阻止攻击扩散,并修复受损系统。常用的处置措施包括:
-
隔离受感染设备:防止威胁进一步扩散。
-
删除恶意软件:清除恶意程序及其持久化机制。
-
修复漏洞:更新系统补丁,确保攻击者不能再次利用相同漏洞。
-
恢复数据:从备份中恢复被勒索软件加密或破坏的数据。
关键在于迅速而有效地阻断攻击行为,并将系统恢复至正常状态。
5. 总结报告呈现:复盘与提升阶段
应急响应的最后阶段是总结和复盘,通过整理事件的全过程,形成详细的安全报告,包括:
-
事件概述:时间线、影响范围和事件类型。
-
技术分析:攻击者的手段、工具和入侵路径。
-
处置措施:所采取的应对策略及其有效性。
-
经验教训:总结应急响应中的经验,并提供改进建议。
通过事件的复盘,组织可以不断优化安全策略,提升未来面对类似事件的响应能力。
Linux 应急响应
针对Linux系统的应急响应,不同于其他操作系统,主要涉及以下几个重要方面:
1. 基本信息
/etc/passwd # 用户信息文件 /etc/rc.d/rc.local # 开机启动项 root/.ssh # root用户SSH公钥和私钥 /tmp # 系统或用户临时文件目录 /etc/hosts # 本地IP地址域名解析文件 /etc/init.d/ # 开机启动项 /etc/shadow # 影子文件 /etc/crontab # 定时任务
2. 日志分析
日志文件是排查Linux系统问题的核心依据之一,以下是一些关键日志文件及其用途:
日志默认存放位置:/var/log/ 查看日志配置情况:more /etc/rsyslog.conf
| 日志文件 | 用途 |
|---|---|
/var/log/cron | 记录系统定时任务相关日志 |
/var/log/message | 记录常见的系统和服务错误日志 |
/var/log/btmp | 记录登录失败日志 |
/var/log/lastlog | 记录所有用户的最后一次成功登录时间 |
/var/log/wtmp | 记录所有用户登录、注销以及系统的启动、重启事件 |
/var/log/secure | 记录认证和授权相关的信息 |
3. 定时任务排查
定时任务可能会被攻击者利用来定期执行恶意操作,因此应重点检查:
cat /etc/passwd | cut -f 1 -d ':' | xargs -l {} crontab -l -u {}
ls -al /var/spool/cron/*
cat /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/*
more /etc/cron.hourly/*
more /etc/cron.monthly/*
more /etc/cron.weekly/*
# 查看目录下所有文件
more /etc/cron.d/*
/etc/anacrontab
/var/spool/anacron/*
4. 启动项排查
攻击者常通过篡改启动项来实现持久化入侵,因此需要检查系统启动项的完整性:
cat /etc/rc.local ls -alt /etc/profile.d/*.sh netstat -antpl | grep 22
5. 用户登录记录
用户登录记录可以帮助追溯攻击者的登录行为:
last # 用户登录历史记录 lastb # 用户登录失败记录 lastlog # 用户最近一次登录信息
6. CPU 异常排查
当系统出现异常时,CPU使用率的波动可能是攻击者运行恶意程序的迹象:
top -c -o %CPU
7.进程、文件、网络排查
##
ls -alt # 查看当前目录下所有文件并排序
free -h # 查看系统内存使用情况
ps auxf # 查看系统进程及子进程
ps -aux | grep PID # 查看具体的PID信息
top # 查看进程以及CPU占用率
netstat -antpl # 查看网络连接
ls -alh /proc/pid # 查看对应PID的可执行程序
lsof -i:port # 查看端口打开的文件
lsof -p:pid # 查看进程打开的文件
lsof -u root # 查看用户打开的文件
chattr # 修改文件属性
lsattr # 显示文件属性
awk '{print $1}' access.log.1 # 此命令为匹配字段为1的数据并只显示字段为1的数据
awk '{print $1}' access.log.1 | sort | uniq -cuniq是行数展示sort默认进行ASCII排序
8.其他命令
diff -c 文件1 文件2 # 文件对比(网页篡改等场景) # 校验RPM包 rpm -Va dpkg --verify # 历史命令排查 history cat ~/.bash_history
守护进程(Daemon)
守护进程(Daemon)是Linux系统中的长期运行进程,它们通常在后台执行任务,或在特定条件下启动操作。例如,当关闭后门时,某些守护进程可能会重启系统服务。
守护进程的特点
-
独立于终端:守护进程不依赖于用户终端,始终在后台运行。
-
自动化操作:它们通常是自动执行系统任务或等待特定事件触发。
-
长时间运行:守护进程通常在系统启动后持续运行,直到系统关闭。
工具推荐
1. 司稽(Whoamifuck 或 Chief-Inspector)
Whoamifuck - Linux 应急响应工具
该工具用于快速排查异常登录行为、入侵信息溯源,能够帮助安全人员高效还原攻击链。
2. 应急响应实战笔记
Emergency-Response-Notes
此仓库提供了丰富的应急响应实战案例,是安全工程师日常工作的重要参考。
... 公开笔记,手册,等等
勒索病毒应急工具与资源大全
1. 勒索病毒搜索引擎
以下是一些常见的勒索病毒搜索引擎,可以用于检测和了解勒索病毒相关信息:
-
360搜索引擎: 安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士
-
腾讯搜索引擎: 勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家
-
启明搜索引擎: VenusEye勒索病毒搜索引擎
-
奇安信搜索引擎: 勒索病毒搜索
-
深信服搜索引擎: 深信服EDR
2. 勒索软件解密工具集
以下是一些可以帮助解密勒索软件加密文件的工具集:
-
腾讯哈勃解密工具: 腾讯哈勃分析系统
-
金山毒霸解密工具: 金山毒霸防范勒索病毒
-
火绒解密工具: 火绒安全工具 - 火绒安全软件
-
瑞星解密工具: 瑞星防勒索病毒专题 - 瑞星
-
NoMoreRansom解密工具: 主页面 | The No More Ransom Project
-
MalwareHunterTeam解密工具: https://id-ransomware.malwarehunterteam.com
-
卡巴斯基解密工具: No Ransom: Free ransomware file decryption tools by Kaspersky
-
Avast解密工具: 免费勒索软件解密工具 | 解锁您的文件 | Avast
-
Emsisoft解密工具: https://www.emsisoft.com/ransomware-decryption-tools/free-download
-
Github勒索病毒解密工具合集: GitHub - jiansiting/Decryption-Tools: Decryption-Tools
3. 勒索病毒常见处置方法
选择处置方案:
-
淘宝、闲鱼寻找专业人员处理:在淘宝或闲鱼等平台上,可以找到提供解密服务的商家。
-
GitHub 公开工具资源:在 GitHub 上寻找开源的解密工具或相关项目。
-
各类安全公司及杀毒平台:使用知名杀毒软件和安全公司提供的工具来处理勒索病毒。
4. 勒索病毒通用解密工具
-
Bitdefender REvil/Sodinokibi 通用解密工具: 下载链接
-
腾讯 Petya 解密工具: 腾讯哈勃分析系统
-
腾讯 TeslaCrypt 解密工具
-
腾讯 Allcry 解密工具: 腾讯哈勃分析系统
-
腾讯 XData 解密工具: 腾讯哈勃分析系统
-
腾讯 WannaCry 解密工具: 腾讯哈勃分析系统
-
腾讯哈勃勒索病毒解密助手: 腾讯哈勃分析系统
-
火绒 GandCrab 解密工具: GandCrab勒索病毒专用解密工具 - 火绒安全工具 - 火绒安全软件
-
Bitdefender GandCrab 解密工具: https://bbs.kafancn/thread-2143312-1-1.html
-
火绒 Bcrypt 解密工具: 火绒Bcrypt专用解密工具 - 火绒安全工具 - 火绒安全软件
-
火绒 Aurora 解密工具: Aurora勒索病毒专用解密工具 - 火绒安全工具 - 火绒安全软件
-
EmsiSoft 解密工具: Emsisoft: Free Ransomware Decryption Tools
-
金山 UNNAMED1989 解密工具: 金山毒霸官方网站-病毒防护_垃圾清理_软件管家_弹窗拦截-杀毒软件
-
ESET Crysis 解密工具: supporteset.com
-
瑞星 CryptON 解密工具: http://itrising.com.cn/dongtai/19600.html
-
瑞星 Satan 解密工具: 全新“撒旦”Satan勒索病毒来袭 瑞星独家提供解密工具 - 瑞星卡卡安全论坛bbs.ikaka.com
-
腾讯 FBI 敲诈专杀工具: 腾讯哈勃分析系统
-
腾讯勒索软件专杀工具: 腾讯哈勃分析系统
勒索病毒检测、解密和情报平台:
-
ID Ransomware (用于检测和识别勒索病毒): https://id-ransomware.malwarehunterteam.com
-
No More Ransom (全球最大的勒索病毒解密平台): 主页面 | The No More Ransom Project
-
Ransomware Tracker (勒索病毒追踪平台): https://ransomwaretracker.abuse.ch
-
Hybrid Analysis (在线恶意软件分析): Free Automated Malware Analysis Service - powered by Falcon Sandbox
-
Intezer Analyze (用于检测勒索软件和恶意软件的基因分析工具): https://analyze.intezer.com
-
VirusShare (恶意软件样本数据库): VirusShare.com
-
Cuckoo Sandbox (自动化恶意软件分析): https://cuckoosandbox.org
-
Any.Run (在线交互式恶意软件分析平台): https://app.any.run
-
ThreatConnect (威胁情报分享和协作平台): Cyber Threat Intelligence & Risk Quantification | ThreatConnect
-
ThreatMiner (威胁情报数据搜索引擎): ThreatMiner will be back!
-
Malshare (免费恶意软件数据库): MalShare
-
AlienVault Open Threat Exchange (OTX) (全球威胁情报分享平台): LevelBlue - Open Threat Exchange
-
Farsight DNSDB (DNS威胁情报平台): Introducing DNSDB 2.0 | Passive DNS | DomainTools
更多勒索病毒防护工具和检测平台:
-
Sophos Ransomware Protection (Sophos 勒索软件防护): https://www.sophos.com/en-us/lp/ransomware.aspx
-
McAfee Ransomware Recover (RRP): https://www.mcafee.com/enterprise/en-us/security-awareness/ransomware.html
-
Cyber Reason RansomFree (专注于防止勒索软件的工具): https://ransomfree.cybereason.com (目前不再活跃,但可以搜索历史资料)
-
Check Point Anti-Ransomware: https://www.checkpoint.com/products-solutions/anti-ransomware/
-
Kaspersky Anti-Ransomware Tool: Free Kaspersky Anti-Ransomware Tool | Kaspersky
勒索软件防护最佳实践
-
US-CERT (美国网络安全与基础设施安全局):关于勒索软件的预防和响应指南 Stop Ransomware | CISA
-
NCSC (英国国家网络安全中心):如何防范勒索软件攻击 NCSC
5. Webshell 扫描及查杀工具
以下是一些用于检测和查杀 Webshell 的工具与服务:
-
VirusTotal 上传扫描: VirusTotal
-
Virscan 扫描工具: VirScan - 多引擎文件在线检测平台
-
奇安信 TI: 奇安信威胁情报中心
-
威胁情报平台: 微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区
-
Uedbox Webshell 查杀工具: 7款WebShell扫描检测查杀工具 - 体验盒子 - 不再关注网络安全
-
360 TI Webshell 检查工具: 360安全大脑
-
阿里云 TI Webshell 检查工具: 阿里云恶意文件检测平台
-
Bugscaner Webshell 查杀工具: 在线webshell查杀 - 在线工具
-
Any.Run:交互式恶意软件分析平台 Interactive Online Malware Analysis Sandbox - ANY.RUN
-
Hybrid Analysis:恶意软件分析平台,提供详细报告 Free Automated Malware Analysis Service - powered by Falcon Sandbox
-
Intezer Analyze:通过基因分析检测恶意软件 https://analyze.intezer.com
-
ThreatConnect:全球威胁情报分享与协作平台 Cyber Threat Intelligence & Risk Quantification | ThreatConnect
-
ThreatMiner:威胁情报数据搜索引擎,收集域名、IP、哈希等信息 ThreatMiner will be back!
-
AlienVault Open Threat Exchange (OTX):全球威胁情报分享平台 LevelBlue - Open Threat Exchange
-
Farsight DNSDB:提供 DNS 威胁情报 Introducing DNSDB 2.0 | Passive DNS | DomainTools
-
Malshare:免费恶意软件样本数据库 MalShare