这是博主对于应急响应归纳出来的方法论,一个笼统的、抽象的概念,包含思路和方法。
这是博主自己的经验总结出来的应急响应流程,也是亲自去应急时的流程。
这里不讨论应急响应人员能不能到现场,这里讨论通用场景。
(1)判断事件类型
事件类型分为7类:大规模沦陷、挖矿病毒、勒索病毒、无文件落地、不死(顽固)马、钓鱼应急响应、数据劫持。【后续会细讲】
去应急肯定会收到通知:**ga的通报、客户自己发现的情况、现场安服发现的问题。**根据这些情报先判断出需要出应急的是什么事件类型。但是要记住“情报是带有失真率和主观性的,并且以上场景很多情况下并不会单独出现。”最后还是需要应急人员自己靠经验与客观事实去判断。
(2)保持第一现场
第一现场包含:第一发现人、第一情报、失陷主体/群体、主体/群体行为、失陷环境。
这个“保持”是指在尽可能实现的情况下去保留。因为谁被打穿了都会慌,一慌都会推卸责任(包括我自己),或者消灭痕迹,这无疑是帮助了攻击者实现渗透的最后一步。
这个“第一”是指最先发现情况的人,这个人所说的情况。发现的被攻陷的主体,最好是用镜像把系统和流量先扒拉下来。时间越延迟,这个“第一”事实的失真率越高,所以要安服和应急人员做好配合。
(3)信息收集
这一步与渗透测试的第一步信息收集无异,即使前面两个高度失真,这一步仍可以让整个响应起死回生,但是这一步没做好将会影响后续所有操作。
信息收集主要是做:流量、日志、可疑进程的内存、失陷系统镜像、恶意样本、客户资产收集、资产相关漏洞测试报告、防御设备的日志。【请注意:确认有索取这些信息的权限】
所谓阻断只有三步:关站、关服务、拔网线。
(1)切断网络
情况分很多种:**失陷后业务仍正常运行、失陷后业务受滞、失陷后业务停摆。**不同的情况,网络切断因地制宜。
切断网络的目的:观察病毒行为、观察流量特征、阻断对内通信、阻断对外连接。
举个例子:一个医院大规模失陷,但是业务正常运作,这时候可以选择切断部分不重要的主机去观察行为。
(2)阻断传播
传播包括:对内传播(感染)、对外传播(外联)
对内传播(感染):进程注入/迁移、第三方软件感染、服务传播(ftp/ssh爆破等)
对外传播(外联):挖矿行为、外联攻击、c2通信
阻断传播应从:软件层面、流量层面、代码层面、网络层面。例如:排查软件被劫持、排查流量发现无文件落地、利用代码审计发现容器加载内存马、阻断网络发现通过服务传播的病毒。
(3)隔离核心资产/隔离受害主体(群体)
这一步是应急响应的最终目的,无论实施过程如何、无论使用什么工具都必须保证被保护与沦陷方的隔离。
隔离核心资产是为了做到三个原则:保护、避害、不损害。
隔离受害主体(群体)是为了保护第一现场、收集攻击者信息等。
分析是前提是提炼,提炼出关键信息分析。而提炼的前提是熟悉,了解攻击手法,红蓝同源。
(1)日志、流量、样本分析
分析三大件:日志、流量、样本。
日志主要注意的是:时间、动作、结果;这个行为什么时候开始、什么时候结束,这个动作是登陆、退出、修改等、造成的结果是登陆成功/失败、上传/下载了文件、执行了代码等。
流量主要注意的是:状态码、交互过程、数据合理性;每一次交互的状态码,交互过程中是否符合该种协议的正确交互过程,每个字段的填充、每次流量的渲染是否正常。
样本主要注意的是:启动方式、伪装方式、作用;根据启动方式去选择沙箱或者分析工具;伪装方式判断是否加壳做免杀和打击方式;根据作用去判断受害范围。
粗略的分为静态和动态,日志属于静态信息需要应急人员清晰分辨出日志表达的内容和快速筛选出可疑的点。流量和样本属于动态信息,应急人员需要拥有一定的渗透能力去分辨交互行为。
(2)行为分析&还原攻击过程
从行为出发,还原攻击路径,推演攻击过程。
行为分析基于三大件分析,结合系统表现出来的情况做分析,例如:启动项、启动脚本、进程、内存等。
还原攻击过程需要对攻击大致的情况有一个综合判断,可以理解为——威胁模型建立(SDL),必须具备渗透能力,再此基础上放入沙箱重新复现攻击过程,对后续的步骤提供帮助。
我们要做的与渗透无异——“做好清除,藏好自己”。
(1)非对抗情况下
在不存在对抗的情况下,最极端就是全盘重装,稍次就是数据迁移后对系统盘重装。在普通情况下,我们可以进行针对性的杀进程、删文件、杀软清除。
(2)存在对抗情况下
对抗情况就是:顽固马与不死马存在,或者被持续攻击(apt)。
这样的情况下,首选是在允许情况下打补丁,再恢复。找到攻击行为的源头,先补上漏洞再清除。
加钱才是硬道理。
加固没啥好讲的,打补丁、对系统进行限制(网络隔离、行为管理等)、升级防御设备、完善防御流程(防御设备的部署、人员的部署、规则库的升级)
这是我的应急经验大致归纳出的场景,现实情况下场景会复合,这里只是对单个场景做思路。
【所有单独场景的分析将会在该系列的第二篇展开,此处只放图】
- 潜伏远控
- 外联攻击
- 外联请求/下载
- 漏洞传播
- 第三方软件传播
- 主机脱管
- 服务器宕机
- 网络风曩
- 网络设备过载
- 挖矿瘫痪
- 勒索瘫痪
- List item
- 服务瘫痪
- 单—软件传播勒索
- 主机瘫痪勒索
- 暴力请求ddos
- 利用漏洞ddos
恶意文件
恶意文件
白加黑
恶意脚本
1.应急响应的最终目标是保护客户的核心资产,所有行为必须围绕:保护、避害、不损害来进行。
2.在现在愈加复杂的攻击下,上述的常见场景一般会出现复合情况,需要应急人员根据经验去进行。
3.应急人员应有自己的方法论,对不同攻击的威胁建模,拥有威胁情报分析能力,结合工具的辅助进行现场响应与远程支撑。
4.工具和排查点大同小异,提升方法在于应急人员的是否熟悉该种攻击,利用特征和行为去排查更节省时间。
5.红蓝同源,应急响应属于蓝队,但必须具备一定的渗透能力。
文章浏览阅读399次。报错信息:net.sf.jasperreports.engine.JRRuntimeException: Could not load the following font :pdfFontName : STSong-LightpdfEncoding : Cp1252解决方法网上找了一圈都没找到方法,有说jar包有问题的,有说jasper文件有问题的最终还是字体有问题字体配置resource 目录下新建 jasperreports_extension.properties 文件ne_jasperreport pdf中文 linux
文章浏览阅读1.5k次。前两天突然看到判断大小代码里有个 0.01M如果希望实数被视为 decimal 类型,请使用后缀 m 或 M,例如:decimal myMoney = 300.5m;这个M其实就是后缀的意思,明白了吗600m 表示 decimal600 表示 int想深入琢磨下的可以看这篇点击打开链接_c# 0.01m
文章浏览阅读608次。2020半年度原创评优如期而至今年上半年我们依旧收到非常多优秀的作品收获了无数的转发点赞我想,这是一种鼓励,更是一种鞭策!每一篇优秀的文章背后都有那么一个人认真敲击着每一个字符在作品中展..._半年度评优
文章浏览阅读5.6k次,点赞3次,收藏27次。这份javacv学习大纲主要分为入门、进阶和高级三个部分,其中入门部分包括了javacv的概述、环境搭建和基础应用;进阶部分则讲解了图像和视频处理、音频处理以及opencv的结合等内容;而高级部分则进一步深入了解了实时视频流处理、深度学习和人工智能等领域的应用。学习本大纲能够掌握使用javacv进行图像和视频处理、音频处理、实时视频流处理以及深度学习等领域的知识和应用。_java 音频处理库
文章浏览阅读3.6k次。运行systemctl status docker.service报错如下:● docker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled) Active: f..._/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
文章浏览阅读789次,点赞15次,收藏14次。只有不断提供有价值的内容,才能吸引更多的用户和搜索引擎的关注,从而提升网站的排名和权重。通过回复用户的评论、提供有用的信息、解决用户的问题等方式,可以增强用户对网站的信任感和忠诚度,从而提升网站的排名和权重。10. 结合其他SEO手段:在进行高权重强引蜘蛛的同时,还可以结合其他的SEO手段,如优化网站结构、提高页面加载速度、增加社交媒体分享等,全面提升网站的SEO效果。5. 提供有价值的内容:在与高权重网站建立联系后,需要提供有价值的内容,吸引其在自己的网站上发布链接。_如何联系蚂蚁seo?
文章浏览阅读1.6k次,点赞4次,收藏15次。Labview 连接 sqlite_labview sqlite
文章浏览阅读1.3k次。前言google在更新Android8.0后对Service的权限越发收紧。导致目前想要启动服务必需实现服务的前台化(否则在服务启动5秒后,系统将自动报错)。下面我们就来看看如何在8.0上启动服务。看看8.0之前的版本怎么启动Service在看8.0启动服务的方法之前,我们先看看8.0之前是怎么启动服务的。这样可以对比,也可以理解增加了那些部分。1.在Activity启动服务:Inten..._判断android8 startserver
文章浏览阅读521次。目录1 关键点总结2 目前先进的验证方法3 局限性本文存在的目的是更快速的提炼一些关于DeepFake的关键点,带你了解DeepFake。这里有更详细的介绍,我这个更容易了解一个大概1 关键点总结DeepFake假视频的泛滥早已经不只是恶搞和娱乐的问题了!这场斗法已经成为一场维护新闻真实性、甚至是关乎国家安全的一场军备竞赛。刚开始的Deepfake生成的视频假视频有任务从不眨眼的缺陷,..._deepfake识别
文章浏览阅读5.9k次,点赞4次,收藏9次。三层架构和MVC是有明显区别的,MVC应该是表现模式(三个加起来以后才是三层架构中的UI层)。三层架构(3-tier application) 通常意义上的三层架构就是将整个业务应用划分为:表现层(UI)、业务逻辑层(BLL)、数据访问层(DAL)。区分层次的目的即为了“高内聚,低耦合”的思想。1、表现层(UI):通俗讲就是展现给用户的界面,即用户在使用一个系统的时候他的所见所得。2、业务..._vmc设计模式三层结构软件建模
文章浏览阅读1.9w次,点赞9次,收藏50次。[python库]psd文件操作库–psd_toolspsd-toolspsd-tools是处理Photoshop的psd文件的python库。源码地址:https://github.com/psd-tools/psd-tools文档地址:https://psd-tools.readthedocs.io/en/latest/一、安装:pip install psd-tools #这..._psd_tools 是否能合成
文章浏览阅读354次。准备工作就我前面的这一篇环境,不要安装homeassistant就行了。_armbian 安装mqtt