web安全入门-安全应急响应演练与报告

web安全入门-安全应急响应演练与报告

网络安全应急响应

网络应急响应是指针对已经发生的安全事件进行监控、分析、协调、处理、保护资产安全。遇到突发网络安全事件时做到有序应对、妥善处理。

也就是有个流程需要执行。

第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；

第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，比如发现事件发生后，系统备份、异常检测、后门检测、清除异常或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

常见的网络安全事件

1、勒索软件

2、挖矿软件

3、Webshell

4、网页篡改

5、DDos测试

6、数据泄露

7、流量劫持

应急响应事件的级别

一般分为，特别重大、重大、较大、一般

PDCERF(6阶段)

常见的6个阶段为

1、准备阶段

2、检测阶段

3、抑制阶段

4、根除阶段

5、恢复阶段

6、总结阶段

每个安全公司都有自己的方法模版。一般我们套用即可

下面我们分析下中毒的服务器。

打开虚拟机

先打开资源管理器，看下有哪个进程是需要关闭的

有时间会占用cpu90%的资源使用

查看进程选项

没有发现异常

查看用户

没有发现异常

下面我们使用工具进行分析。

使用PCHunter32.exe进行查看

网络连接

在windows下temp目录有一个logon的文件

自启动项目

定位到启动文件

这个xmrig文件应该是一个挖矿文件

至于是不是可以将文件上传到微步在线

发现这个是挖矿程序

计划任务

一般都是数据库进行备份才需要使用

这个图上是异常情况

查杀软件，发现有很多后门的软件

有一个隐藏的账号信息

来源于C2

后续根据时间地点，行为做出报告

简单的报告

完整的安全报告

1、带有标题、事件概述

2、处置流程和方法。最好有现场操作记录

3、事件的总结与建议

经过这次分析，我们总结如下：

1、进行前期的检测

2、查看服务器的进程、服务、启动项、日志、网络流量、服务账号、目录文件、计划任务等

3、有时候手工查找较难，容易出错，配合工具查看

4、进行中期的响应

5、阻断IP地址，删除挖矿软件程序，删除webshell网站文件，删除恶意的启动项和计划任务，修复系统及网站的漏洞、增加系统及网站安全策略、使用安全产品等。

6、进行后期响应

7、恢复业务、事件的总结通报、运维人员的安全培训、安全加固方案、定期的应急响应方案

重要一点，经常关注威胁情报平台，获取第一手资料。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。