安全事件应急响应流程分析

在突发安全事件时的处理流程可以大致分为几个阶段：安全事件表现-->被害主机信息收集-->确认攻击类型-->事件追查-->修复

安全事件表现

安全事件表现即被害主机被攻击所导致的结果，可大致分为以下几个类型：

● 网站类型：网站被篡改，被挂黑链等

● 文件类型：被害主机文件被篡改，丢失或泄露等

● 系统类型：系统卡顿，cpu爆满，服务异常，服务器宕机等

● 流量类型：出现大量异常数据包，异常外部链接，网络卡顿等

被害主机信息收集

被害主机信息收集是为了了解被害主机的基本情况，以便更快地确定攻击手段及攻击链路。

● 对外服务情况

● 开放端口情况

● 系统版本

● 网络环境

● 历史漏洞情况

● 口令情况

● 安全设备情况

攻击类型

● WEB：漏洞攻击，流量攻击等

● 第三方：对系统安装的第三方软件进行的攻击

● 操作系统：针对操作系统的服务，如ssh、rdp等进行的攻击

事件追查

事件追查，根据本次安全事件的攻击类型选择最佳的追查方式

● 日志分析

● 后门分析

● 流量分析

● 脚本软件分析

● 模拟渗透方法等

修复

靶场示例

安全事件表现

● 此靶场前提为cpu占用率飙升，疑似被挖矿。

被害主机信息收集

● 主机由phpstudy开启web服务，使用了apache及mysql。

● 主机开启了3389端口，开启了远程桌面服务。

确定攻击类型

● D盾扫描网站根目录发现webshell（webshell文件名为shell.php）

● 查看远程桌面日志发现两次连接记录

事件追查

● 在apache日志中查找shell.php的访问日志，从而得到攻击者的IP的地址

● 发现攻击者曾登录过远程桌面

● 查看用户添加日志，发现异常用户添加行为，从而判断hack168为攻击者添加的账户

● 在用户hack168的文件夹中发下可疑exe文件，根据icon可知该文件由pyinstaller打包，可使用pyinstxtractor进行反编译（也可以先扔到沙箱里初步分析）

● 反编译后得到pyc文件

● 反编译pyc文件后得到源码，从而得知矿池地址

修复

● 根据攻击payload查询相关资料得知，此漏洞为emlog v2.2.0后台插件上传漏洞，建议被攻击者升级emlog至最新版。

总结

靶机环境较为简单，真实应急响应可能更为复杂，但思路相似。