目录
前言准备阶段检测阶段研判分析定损止损(对应遏制、根除阶段)定损止损
攻击还原清理恢复总结复盘实战讲解进程ssh暴力破解命令混淆派生恶意命令命令注入
网络文件webshellC2脚本木马
参考
前言
做入侵检测时会有一些攻击告警,需要做应急响应。本文从流程规范角度来浅谈一下应急响应的步骤,介绍应急需要准备哪些知识,以及常见攻击流程示例。后面几章留坑,持续更新中…
应急响应PDCERF模型:
P(PreParation准备)D(Detection检测)C(Containment遏制)E(Eradication根除) R(Recovery恢复) F(follow-up跟踪总结)
根据PDCERF模型进行优化,分为以下几个阶段。
准备阶段
此阶段预防为主,搜集威胁情报,定期漏洞扫描,内部安全宣讲等。作为应急响应人员,需要 收集日志,熟悉操作系统下的应急相关命令,熟悉应急止损工具。
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇) 应急响应-主机安全之文件相关命令(Linux操作系统) 应急响应-主机安全之网络相关命令(Linux操作系统)
检测阶段
此阶段进行入侵检测,通过安全设备(IDS、NIDS等)对攻击行为进行告警。 主机安全-开源HIDS字节跳动Elkeid安装使用
研判分析
收到告警时需要进行研判分析,判断是否为真实攻击事件。主要从主机、网络、文件三个方面来判断。 容易判断时记录结论,不易判断时询问机器负责人,避免误判。
定损止损(对应遏制、根除阶段)
定损
时间范围 需要确定攻击者攻击开始时间和结束时间。
资产范围 需要确定影响资产的范围,例如几台主机,在什么网络环境。
止损
止损手段封禁ip,踢出账号,网络隔离,重装操作系统等
攻击还原
此阶段需要找到完整的攻击路径,在测试环境复现攻击。对检测阶段也是一种反馈,协助在攻击路径中的关键点添加检测或拦截。
清理恢复
清理攻击痕迹,例如恶意进程、恶意文件。恢复是止损时的逆操作,如做了网络隔离,需要恢复。
总结复盘
总结复盘时需要包含以下信息:
时间范围资产范围攻击路径攻击手法止损情况恢复情况待办
实战讲解
进程
ssh暴力破解
应急响应-爆破漏洞应急响应流程(以SSH爆破为例)
命令混淆
派生恶意命令
命令注入
网络
文件
webshell
C2脚本
木马
参考
《网络安全应急响应技术实战指南》-奇安信安服团队 gitbook-应急响应实战笔记 github-应急响应指南 github-Windows 应急响应手册
PDCERF