应急响应

应急响应

应急响应背景介绍

当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。

应急响应大致流程

不同公司,不同厂商对这个会有不同的规划,没有统一规范,但是大致上都是围绕以下六个阶段来执行的

1659497077240

准备阶段:

准备阶段需要做的是主要是明确资产范围对可能产生安全问题的地方进行加固

检测阶段:

通过日常的监控,收集系统信息日志等手段对可疑的迹象进行分析、判定,如果判定他属于网络安全应急响应时间则对该事件进行上报(可以利用netstat -ano查看端口连接情况,也可以使用tasklist | findstr “PID”对具体pid进程定位。系统日志可以win+R,输入eventvwr.msc,直接进入事件查看器分析日志)

抑制阶段:

分析影响范围,根据预案采取相应手段,限制攻击的范围,设置隔离区,把影响降低到最小(可以使用安全软件把危险文件进行隔离,如果整台电脑完全沦陷,也可以考虑首先断网)

根除阶段:

分析产生安全事件的原因,如果是木马、病毒就需要寻找病毒的传播源并且遏制、如果是入侵行为就可以通过入侵检测的方式捕获并检测数据流,也可以利用一些工具对病毒特征进行扫描分析和定位

恢复阶段:

对受到破坏的系统和信息还原成正常状态,从可信任的备份中恢复还原系统配置数据库等等,并对其进行监控,确保无误后可适当去掉之前的隔离等抑制措施

总结阶段:

对我们上面所发生的安全事件进行总结,对你使用到有效的手段和方法做一个记录,对后面可能遇到的事件做一个示例

应急响应案例分析

红队——攻击

使用织梦DedeCMS V5.7 SP2作为我们的模拟环境

使用admin进行登录
设置会员功能

1659505958788

进入会员中心

1659506031708

发表文章

1659506068717

上传图片马

1659506091791

1659506130956

BURP抓包修改后缀名

1659506196973

传到repeater模块,修改后缀名点击GO获取到文件存储路径
菜刀连接

1659505836920

成功连接

使用虚拟终端

1659509618732

创建用户
#创建用户test,密码为admin@123
net user test admin@123 /add


#将用户加入管理员组
net localgroup administrators test /add
使用创建的用户进行远程登录

1659507646663

1659507667574

成功登录

隐藏用户

直接查看用户

1659507800648

很明显可以看到test用户
为了避免创建的用户被发现可以对用户进行隐藏

1659507832462

1659507870890

再次查看用户信息

1659507899951

已经无法查看到test用户了

蓝队——防守

检测阶段

通过netstat -ano查看连接,通过tasklist | findstr “PID”查看具体连接对应的应用

Microsoft Windows [版本 6.1.7600]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>netstat -ano

活动连接

  协议  本地地址          外部地址        状态           PID
  TCP    0.0.0.0:21             0.0.0.0:0              LISTENING       1064
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       3388
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       640
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:3306           0.0.0.0:0              LISTENING       3520
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       1620
  TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       356
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       704
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       800
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING       452
  TCP    0.0.0.0:49156          0.0.0.0:0              LISTENING       1036
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING       1688
  TCP    0.0.0.0:49159          0.0.0.0:0              LISTENING       460
  TCP    192.168.239.254:139    0.0.0.0:0              LISTENING       4
  TCP    192.168.239.254:3389   192.168.239.1:7355     ESTABLISHED     1620
  TCP    192.168.239.254:3389   192.168.239.1:8873     ESTABLISHED     1620
  TCP    192.168.239.254:49163  106.60.70.101:80       CLOSE_WAIT      2832
  TCP    [::]:21                [::]:0                 LISTENING       1064
  TCP    [::]:80                [::]:0                 LISTENING       3388
  TCP    [::]:135               [::]:0                 LISTENING       640
  TCP    [::]:445               [::]:0                 LISTENING       4
  TCP    [::]:3389              [::]:0                 LISTENING       1620
  TCP    [::]:47001             [::]:0                 LISTENING       4
  TCP    [::]:49152             [::]:0                 LISTENING       356
  TCP    [::]:49153             [::]:0                 LISTENING       704
  TCP    [::]:49154             [::]:0                 LISTENING       800
  TCP    [::]:49155             [::]:0                 LISTENING       452
  TCP    [::]:49156             [::]:0                 LISTENING       1036
  TCP    [::]:49157             [::]:0                 LISTENING       1688
  TCP    [::]:49159             [::]:0                 LISTENING       460
  UDP    0.0.0.0:500            *:*                                    800
  UDP    0.0.0.0:4500           *:*                                    800
  UDP    0.0.0.0:5355           *:*                                    968
  UDP    192.168.239.254:67     *:*                                    1036
  UDP    192.168.239.254:68     *:*                                    1036
  UDP    192.168.239.254:137    *:*                                    4
  UDP    192.168.239.254:138    *:*                                    4
  UDP    192.168.239.254:2535   *:*                                    1036
  UDP    [::]:500               *:*                                    800
  UDP    [::]:4500              *:*                                    800
  UDP    [::]:5355              *:*                                    968

C:\Users\Administrator>tasklist | findstr "2832"
phpStudy.exe                  2832 RDP-Tcp#0                  2     28,192 K

C:\Users\Administrator>
感觉好像没有什么问题

查看windows日志

1659508488299

作为管理员的我没用创建过test帐号,但是这里出现了test用户登录成功信息,肯定出现了入侵

查看用户

1659508555234

并没有test帐号

1659508593602

在计算机管理器中发现存在test用户只不过加了$直接通过cmd查看被隐藏了

抑制阶段

既然发现存在了风险,如果是很关键的业务系统那么就需要先删除用户,然后抓紧排查问题,避免进一步的造成风险。如果是非关键业务系统的服务器可以考虑直接断网然后慢慢排查。所以先要把影响降低到最好。

根除阶段

这里如果我只是一个web服务器,那么出现了风险很明显的知道是通过web服务造成的入侵,那么我们可以去查看一下Apache的日志

1659508919434

发现了大量的一句话木马测试请求

查看文件内容

1659509015963

1659509056648

至此成功发现了一句话木马

成功找到了问题所在,接下来就是与开发练习看看存储在此路径下的文件是在哪个节点上传的,一番沟通知道了是在会员发表文章时候上传图片的时候过滤不严格导致有漏洞被人利用。

恢复阶段

最好的方式就是通过恢复备份的方式进行恢复,如果没有备份就只能慢慢筛查了

总结阶段

如何发现漏洞的,如何解决的,以后需要如何避免做总结性报告

干货

https://github.com/theLSA/hack-er-tools#%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86getinfo
https://github.com/Bypass007/Emergency-Response-Notes

留下评论