陌回尘 - 应急响应、应急响应事件、网络应急响应
应急响应
什么是应急响应
应急响应( Incident Response/ Emergency Response )通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。
计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障(这里的系统包括主机范畴内的问题,也包括网络范畴内的问题)、组织内部或外部的人、计算机病毒或蠕虫等。
应急响应周期
准备
分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库
检测
事件等级判定
事件类型
恶意程序事件
计算机病毒事件、特洛伊木马事件 、勒索软件、蠕虫事件、僵尸网络程序、挖*程序等等
网络攻击事件
拒绝服务攻击事件、漏洞攻击事件、网络钓鱼事件、后门攻击事件、网络扫描窃听事件、干扰事件
WEB攻击事件
WebShell、网页挂马事件、网页篡改事件、网页暗链事件 业务安全事件包括:薅羊毛事件、数据泄漏事件、权限泄漏事件
遏制
控制事件蔓延
启动应急预案
- 协调各应急响应小组人员到位
-
根除监测
根据应急预案的执行情况确认处置是否有效
-
持续监测
当应急处置成功后对应急事件持续监测
- 确认应急事件已根除
-
跟踪
应急响应报告
由应急响应实施小组报告应急事件的处置情况
-
应急事件调查
对应急事件发生的原因进行调查
- 评估应急事件对信息系统造成的损失
-
应急响应总结
对存在的风险点进行加固和整改
- 评价应急预案的执行情况和后续改进计划
-
应急响应预案
应急响应预案的包括的主要内容:
●确定风险场景
●行动计划
●描述可能受到的业务影响
●团队和人员的职责
●描述使用的预防性策略
●联络清单
●描述应急响应策略
●所需资源配置
●识别和排列关键应用系统成功预案的特点
●清楚、简洁
●高级管理层支持/组织承诺
●不断改进和更新的恢复策略
●及时的更新维护WebShell
什么是WebShell
WebShell看起来和普通的服务端脚本一样(或者说就是普通code )
如:<?php echo system($_GET[cmd]); ?>
以web服务端脚本(程序)形式存在,与传统服务端脚本的运行原理相同。对服务器本地资源具备一定的操作能力,其操作本地资源的范围取决于解析器的权限。检测webshell的几种方法
Web扫描/爬虫/google hack检测
-
原理
日志若可记录referer字段,可对搜索referer字段为空的链接,因为绝大多数WEBShell无上级链接,入侵者会直接访问WEBShell文件
操作思路
搜索文件名搜索命令搜索write exec等参数
搜索referrer字段为空的日志条目优点
缺点
日志缺失则无法检测
对于使用POST的WEBShell无法检测
只能搜索已知的可疑参数,不够精确
通过人工分析,耗时耗力
若日志没有做分割,面对海量日志分析时困难重重基于文件属性的检测
设置文件的创建基准日期(用户附件目录除外)
以创建时间为线索进行搜索,基准日期后所有文件基于文件的MD5值检测
初始状态下设立安全基准值
安装状态下记录WEB目录结构并对目录中文件计算
MD5值(可变文件和用户附件目录除外)
定期进行匹配比对,并更新新的安全基准值基于文件内容的检测
基于关键字检测
基于文件属性的检测
特殊目录中的特殊类型文件
用户可写入的目录
非用户可写入的文件类型
可通过文件头的方式进行排查以防止类似gif木马Webshell防御
网络应急响应
网络攻击事件
安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击
暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限
系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击
WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、 XSS漏洞、 授权绕过等各种WEB漏洞进行攻击
拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务
其他网络攻击行为恶意程序事件
恶意程序主要类型及危害:
病毒、蠕虫:造成系统缓慢,数据损坏、运行异常
远控木马:主机被黑客远程控制
僵尸网络程序:主机对外发动DDOS攻击、对外发起描攻击行为(肉鸡行为)
挖*程序:造成系统资源大量消耗WEB恶意代码
网站恶意代码常见类型及危害:
Webshell后门:黑客通过Webshell控制主机
网页挂马:页面被植入待病毒内容,影响访问者安全
网页暗链:网站被植入恶意链接、游戏等广告内容
信息破坏事件
系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等
数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失
网站内容篡改事件:网站页面内容被黑客恶意篡改
信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露
其他破坏事件
账号被异常登录:系统账号在异地登录,可能出现账号密码泄露
异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为