应急响应
应急响应背景介绍
当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。
应急响应大致流程
不同公司,不同厂商对这个会有不同的规划,没有统一规范,但是大致上都是围绕以下六个阶段来执行的
准备阶段:
准备阶段需要做的是主要是明确资产范围对可能产生安全问题的地方进行加固
检测阶段:
通过日常的监控,收集系统信息日志等手段对可疑的迹象进行分析、判定,如果判定他属于网络安全应急响应时间则对该事件进行上报(可以利用netstat -ano查看端口连接情况,也可以使用tasklist | findstr “PID”对具体pid进程定位。系统日志可以win+R,输入eventvwr.msc,直接进入事件查看器分析日志)
抑制阶段:
分析影响范围,根据预案采取相应手段,限制攻击的范围,设置隔离区,把影响降低到最小(可以使用安全软件把危险文件进行隔离,如果整台电脑完全沦陷,也可以考虑首先断网)
根除阶段:
分析产生安全事件的原因,如果是木马、病毒就需要寻找病毒的传播源并且遏制、如果是入侵行为就可以通过入侵检测的方式捕获并检测数据流,也可以利用一些工具对病毒特征进行扫描分析和定位
恢复阶段:
对受到破坏的系统和信息还原成正常状态,从可信任的备份中恢复还原系统配置数据库等等,并对其进行监控,确保无误后可适当去掉之前的隔离等抑制措施
总结阶段:
对我们上面所发生的安全事件进行总结,对你使用到有效的手段和方法做一个记录,对后面可能遇到的事件做一个示例
应急响应案例分析
红队——攻击
使用织梦DedeCMS V5.7 SP2作为我们的模拟环境
使用admin进行登录
设置会员功能
进入会员中心
发表文章
上传图片马
BURP抓包修改后缀名
传到repeater模块,修改后缀名点击GO获取到文件存储路径
菜刀连接
成功连接
使用虚拟终端
创建用户
#创建用户test,密码为admin@123
net user test admin@123 /add
#将用户加入管理员组
net localgroup administrators test /add
使用创建的用户进行远程登录
成功登录
隐藏用户
直接查看用户
很明显可以看到test用户
为了避免创建的用户被发现可以对用户进行隐藏
再次查看用户信息
已经无法查看到test用户了
蓝队——防守
检测阶段
通过netstat -ano查看连接,通过tasklist | findstr “PID”查看具体连接对应的应用
Microsoft Windows [版本 6.1.7600]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。
C:\Users\Administrator>netstat -ano
活动连接
协议 本地地址 外部地址 状态 PID
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 1064
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 3388
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 640
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING 3520
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1620
TCP 0.0.0.0:47001 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 356
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 704
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 800
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 452
TCP 0.0.0.0:49156 0.0.0.0:0 LISTENING 1036
TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING 1688
TCP 0.0.0.0:49159 0.0.0.0:0 LISTENING 460
TCP 192.168.239.254:139 0.0.0.0:0 LISTENING 4
TCP 192.168.239.254:3389 192.168.239.1:7355 ESTABLISHED 1620
TCP 192.168.239.254:3389 192.168.239.1:8873 ESTABLISHED 1620
TCP 192.168.239.254:49163 106.60.70.101:80 CLOSE_WAIT 2832
TCP [::]:21 [::]:0 LISTENING 1064
TCP [::]:80 [::]:0 LISTENING 3388
TCP [::]:135 [::]:0 LISTENING 640
TCP [::]:445 [::]:0 LISTENING 4
TCP [::]:3389 [::]:0 LISTENING 1620
TCP [::]:47001 [::]:0 LISTENING 4
TCP [::]:49152 [::]:0 LISTENING 356
TCP [::]:49153 [::]:0 LISTENING 704
TCP [::]:49154 [::]:0 LISTENING 800
TCP [::]:49155 [::]:0 LISTENING 452
TCP [::]:49156 [::]:0 LISTENING 1036
TCP [::]:49157 [::]:0 LISTENING 1688
TCP [::]:49159 [::]:0 LISTENING 460
UDP 0.0.0.0:500 *:* 800
UDP 0.0.0.0:4500 *:* 800
UDP 0.0.0.0:5355 *:* 968
UDP 192.168.239.254:67 *:* 1036
UDP 192.168.239.254:68 *:* 1036
UDP 192.168.239.254:137 *:* 4
UDP 192.168.239.254:138 *:* 4
UDP 192.168.239.254:2535 *:* 1036
UDP [::]:500 *:* 800
UDP [::]:4500 *:* 800
UDP [::]:5355 *:* 968
C:\Users\Administrator>tasklist | findstr "2832"
phpStudy.exe 2832 RDP-Tcp#0 2 28,192 K
C:\Users\Administrator>
感觉好像没有什么问题
查看windows日志
作为管理员的我没用创建过test帐号,但是这里出现了test用户登录成功信息,肯定出现了入侵
查看用户
并没有test帐号
在计算机管理器中发现存在test用户只不过加了$直接通过cmd查看被隐藏了
抑制阶段
既然发现存在了风险,如果是很关键的业务系统那么就需要先删除用户,然后抓紧排查问题,避免进一步的造成风险。如果是非关键业务系统的服务器可以考虑直接断网然后慢慢排查。所以先要把影响降低到最好。
根除阶段
这里如果我只是一个web服务器,那么出现了风险很明显的知道是通过web服务造成的入侵,那么我们可以去查看一下Apache的日志
发现了大量的一句话木马测试请求
查看文件内容
至此成功发现了一句话木马
成功找到了问题所在,接下来就是与开发练习看看存储在此路径下的文件是在哪个节点上传的,一番沟通知道了是在会员发表文章时候上传图片的时候过滤不严格导致有漏洞被人利用。
恢复阶段
最好的方式就是通过恢复备份的方式进行恢复,如果没有备份就只能慢慢筛查了
总结阶段
如何发现漏洞的,如何解决的,以后需要如何避免做总结性报告
干货
https://github.com/theLSA/hack-er-tools#%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86getinfo
https://github.com/Bypass007/Emergency-Response-Notes