归纳转载于:
• 即who、what、why、how做应急响应要带着疑问来做事,一定要收集清楚这些信息。网络拓扑是怎么样的?需求是啥?发生了什么事?你能做什么?用户用了什么产品?产品版本多少?病毒库版本多少?多少主机中了?主机是普通PC还是服务器?服务器是做什么的?……信息收集越多,对应急响应越有利。
• 做应急免不了要做信息收集和取证,这里应最容易丢失的,最先收集
• 做应急响应,主要是抓关键证据,即要素,这些要素包括样本、流量、日志、进程及模块、内存、启动项。
• 做应急响应,要做到趋利避害,不能在解决问题的时候引入新的问题。比如自己的工具本身带毒;给用户操作时使用了不恰当的工具使得客户主机出现问题;给他人发送病毒样本,不加密不压缩,导致别人误点中毒。
• 包括不限于系统日志(win、linux)、应用日志、安全设备日志(防火墙、防病毒、态势感知)
• 安全事件一般不是孤立的,平台一般会有关联信息
• 知道漏洞与补丁的对应关系,了解常见漏洞与补丁
• 至少能对样本进行一次简单的动态分析
• 至少能对win和linux有一定的知识储备,能利用
• 收集客户信息和中毒主机信息,包括样本
• 判断是否为安全时间,何种安全事件,如:勒索、挖矿、断网、DOS等
• 日志分析、进程分析、启动项分析、样本分析
• 直接杀掉进程、删除文件、打补丁、或是修复文件
• 整理并给出完成的安全事件报告
• 是否有补丁漏打
• 表现为勒索、挖矿、Dos、僵尸网络、后门、木马
• 确认是否有弱密码
• 看开启了那些服务
• 释放文件
• 复制自身、或者释放子病毒文件到其他目录
• 删除文件
• 病毒进程删除自身文件、或者删除释放的子病毒文件
• 监控并写入启动项
• 启动项被删除后、检测到马上再写入
• 停服务
• 停止防火墙
• 多进程
• 同时启动多个进程、相互守护
• 文件异常
• 无文件
• 进程仍在运行,对应二进制文件已经被删,/proc/[pid]可以看到对应状态
• 文件类型异常
• 系统文件的文件类型发生变化,例如/user/sbin/sshd原本是elf文件,却变成了脚本文件
• 伪装
• 伪装成r00t等混淆名字
• 替换了系统命令,如ls、ps、ss、netstat等,通常为了让户以为该命令正常,伪装的系统命令在执行后会启动响应的正常系统的命令并输出到命令行中
• 虽然文件名是系统命令名,如ls、ps、ss、netstat等,但围巾啊路径却不在系统目录下
• 移动系统文件
• 出于占位和系统稳定运行的目的,系统文件可能被移动到其他目录
• 内置引擎
• DNS客户端
