一、应急响应
1、什么是应急响应
应急响应( Incident Response/ Emergency Response )通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障(这里的系统包括主机范畴内的问题,也包括网络范畴内的问题)、组织内部或外部的人、计算机病毒或蠕虫等。
2、应急响应周期
应急响应生命周期:准备、检测、遏制、根除、恢复、追踪
准备阶段:分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库
检测阶段:日常运维监控、事件判断、事件上报
事件等级判定:一般事件、较大事件、重大事件、特别重大事件
事件类型:恶意程序事件、网络攻击事件、Web攻击事件、业务安全事件
恶意程序事件包括:计算机病毒事件、特洛伊木马事件 、勒索软件、蠕虫事件、僵尸网络程序、挖矿程序等等
网络攻击事件包括:拒绝服务攻击事件、漏洞攻击事件、网络钓鱼事件、后门攻击事件、网络扫描窃听事件、干扰事件
WEB攻击事件包括:WebShell、网页挂马事件、网页篡改事件、网页暗链事件
业务安全事件包括:薅羊毛事件、数据泄漏事件、权限泄漏事件
遏制阶段:
(1)控制事件蔓延
1)采取有效的措施防止事件的进一步扩大。
2)尽可能减少负面影响。
(2)遏制效应
1)采取常规的技术手段处理应急事件。
2)尝试快速修复系统,消除应急事件带来的影响。
(3)遏制监测
1)确认当前的抑制手段是否有效。
2)分析应急事件发生的原因,为根除阶段提供解决方案。
根除恢复阶段:启动应急预案、根除监测、持续监测
(1)启动应急预案
1)协调各应急响应小组人员到位
2)根据应急场景启动相关预案
(2)根除监测
1)根据应急预案的执行情况确认处置是否有效
2)尝试恢复信息系统的正常运行
(3)持续监测
1)当应急处置成功后对应急事件持续监测
2)确认应急事件已根除
3)信息系统运行恢复到正常状况
跟踪阶段:应急响应报告、应急事件调查、应急响应总结
(1)应急响应报告
1)由应急响应实施小组报告应急事件的处置情况
2)由应急响应领导小组下达应急响应结束的指令
(2)应急事件调查
1)对应急事件发生的原因进行调查
2)评估应急事件对信息系统造成的损失
3)评估应急事件对单位、组织带来的影响
(3)应急响应总结
1)对存在的风险点进行加固和整改
2)评价应急预案的执行情况和后续改进计划
3)对应急响应组织成员进行评价,表彰立功人员
3、应急响应预案
应急响应预案的包括的主要内容:
●确定风险场景
●行动计划
●描述可能受到的业务影响
●团队和人员的职责
●描述使用的预防性策略
●联络清单
●描述应急响应策略
●所需资源配置
●识别和排列关键应用系统
4、成功预案的特点
●清楚、简洁
●高级管理层支持/组织承诺
●不断改进和更新的恢复策略
●及时的更新维护
二、WebShell
1、什么是WebShell
WebShell看起来和普通的服务端脚本一样(或者说就是普通code )
如:<?php echo system($_GET[cmd]); ?>
以web服务端脚本(程序)形式存在,与传统服务端脚本的运行原理相同。对服务器本地资源具备一定的操作能力,其操作本地资源的范围取决于解析器的权限。
2、检测webshell的几种方法
(1)Web扫描/爬虫/google hack检测
(2)基于web日志的检测
原理:日志若可记录referer字段,可对搜索referer字段为空的链接,因为绝大多数WEBShell无上级链接,入侵者会直接访问WEBShell文件
操作思路:
搜索文件名搜索命令搜索write exec等参数
搜索referrer字段为空的日志条目
优点
●成本低,只要配合文本搜索工具对日志进行搜索
缺点
●日志缺失则无法检测
●对于使用POST的WEBShell无法检测
●只能搜索已知的可疑参数,不够精确
●通过人工分析,耗时耗力
●若日志没有做分割,面对海量日志分析时困难重重
(3)基于文件属性的检测
●设置文件的创建基准日期(用户附件目录除外)
●以创建时间为线索进行搜索,基准日期后所有文件
基于文件的MD5值检测:
●初始状态下设立安全基准值
●安装状态下记录WEB目录结构并对目录中文件计算
●MD5值(可变文件和用户附件目录除外)
●定期进行匹配比对,并更新新的安全基准值
(4)基于文件内容的检测
1)基于关键字检测
2)基于文件属性的检测
特殊目录中的特殊类型文件
用户可写入的目录
非用户可写入的文件类型
可通过文件头的方式进行排查以防止类似gif木马
3、Webshell防御
避免常规的漏洞,如:注入、后台泄露、配置缺陷等等
三、网络应急响应
1、网络攻击事件:
安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击
暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限
系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击
WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、 XSS漏洞、 授权绕过等各种WEB漏洞进行攻击
拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务
其他网络攻击行为
2、恶意程序事件
恶意程序主要类型及危害:
病毒、蠕虫:造成系统缓慢,数据损坏、运行异常
远控木马:主机被黑客远程控制
僵尸网络程序:主机对外发动DDOS攻击、对外发起描攻击行为(肉鸡行为)
挖矿程序:造成系统资源大量消耗
3、WEB恶意代码
网站恶意代码常见类型及危害:
Webshell后门:黑客通过Webshell控制主机
网页挂马:页面被植入待病毒内容,影响访问者安全
网页暗链:网站被植入恶意链接、游戏等广告内容
4、信息破坏事件
系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等
数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失
网站内容篡改事件:网站页面内容被黑客恶意篡改
信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露
5、其他破坏事件
账号被异常登录:系统账号在异地登录,可能出现账号密码泄露
异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为