应急响应要讨论的通用场景:(1)判断事件类型-事件类型分为7类:大规模沦陷、挖矿病毒、勒索病毒、无文件落地、不死(顽固)马、钓鱼应急响应、数据劫持。(2)保持第一现场-第一现场包含:第一发现人、第一情报、失陷主体/群体、主体/群体行为、失陷环境。这个“保持”是指在尽可能实现的情况下去保留。 这个“第一”是指最先发现情况的人,这个人所说的情况。这个“第一”事实的失真率越高,所以要安服和应急人员做好配合。(3)信息收集-这一步与渗透测试的第一步信息收集无异,即使前面两个高度失真,这一步仍可以让整个响应起死回生,但是这一步没做好将会影响后续所有操作。信息收集主要是做:流量、日志、可疑进程的内存、失陷系统镜像、恶意样本、客户资产收集、资产相关漏洞测试报告、防御设备的日志。
应急响应还要做好阻断工作:所谓阻断只有三步:关站、关服务、拔网线。(1)切断网络情况分很多种:失陷后业务仍正常运行、失陷后业务受滞、失陷后业务停摆。不同的情况,网络切断因地制宜。切断网络的目的:观察病毒行为、观察流量特征、阻断对内通信、阻断对外连接。(2)阻断传播包括:对内传播、对外传播。对内传播:进程注入/迁移、第三方软件感染、服务传播。对外传播:挖矿行为、外联攻击等。(3)隔离核心资产/隔离受害主体:这一步是应急响应的最终目的,无论实施过程如何、无论使用什么工具都必须保证被保护与沦陷方的隔离。隔离核心资产是为了做到三个原则:保护、避害、不损害。隔离受害主体为了保护第一现场、收集攻击者信息等。
上一篇:恶意代码检测的两种方法分享