應急響應小總結

**0x00**

應急響應服務是指爲了應對各類意外事件的發生所作的準備以及在事件發生後所採起的措施的服務。例如：系統被入侵、重要信息被竊取、系統拒絕服務、網絡流量異常等。

應急響應的目標是：採起緊急措施和行動，恢復業務到正常狀態；調查安全事件發生的緣由，避免同類事件再次發生；在須要司法機關介入時，提供法律承認的數字證據。應急響應是一項須要充分準備並嚴密組織的工做，開展調查工做的過程當中，要避免不正確的步驟或者遺漏重要步驟對系統產生新的影響。這就須要掌握必定的追蹤能力、溝通能力的專業安全人員參與。安全廠商常年研究安全技術、實時跟蹤安全動態，對分析和解決各種安全事件有成熟的技術手段和豐富的經驗，能爲其客戶提供可靠的技術服務支持。
關於應急響應國內的技術流程已是很完善了,可是不少甲乙雙方也有不少的不一樣點和側重點。看過不少總結性文章,多是基於篇幅不宜過大的緣由,不少的文章都是側重於具體技術分析。正好前段時間有幫客戶作個一個應急響應的case就入門式的來寫點總結性文章。文章也秉承我一直以來的想法甲方思惟乙方手段來解決問題。每一次的應急響應客戶不只僅只是須要一個簡單的應急和服務的可用性,更重要的是對黑客行爲的全面分析,以資產爲核心來分析黑客思惟,儘量明白整個事件的來龍去脈以及後續的安全排查加固等措施。我將現行的應急響應從性質主要分爲定性，取證，分析 ，二次定性,總結(木馬清除加固反思等)四個大類步驟。從業務流程方式能夠分爲調查，評估，抑制，分析，恢復以及報告的流程。可能這也只是第一期以後有機會再詳細的分解。因爲疏忽可能有不全或者錯誤之處還望多多指正。

**0x01 一次分析**

在開始接觸應急業務的時候在和客戶沒有溝通,甚至沒有徹底清楚事件發生時間點和實際形成的破壞面時候就冒然下手,各類讀日誌查進程各類雜亂的進行分析,這樣形成的結果是徹底的毫無頭緒看到什麼分析什麼,手法極其不專業。在應急的過程當中若是是身爲乙方人員協助的狀況下,更應該耐心和甲方人員認真負責的詳細詢問整起事件的詳細內容,作好預判攻擊性質。通常狀況下的攻擊性質能夠分爲如下幾種:

一般事件的發生不會是單一的,從源頭出發肯定事件發生時間範圍以此爲時間點範圍肯定事件發生影響來對事件進行一次定性。以此來迅速找出關鍵性排查點,以儘快恢復業務正常化爲首要目標。在實施過程當中嚴格規範操做流程進行以後進行進一步的取證分析溯源和後續處理。

0x02 取證

不少大學都設立了取證分析一門專業,在司法等場景中取證是尤其關鍵的一個環節，工做中不少人每每比較忽視這一點,多數人寄但願與能夠經過溯源手段去得到攻擊者的真實信息,通過攻擊者的層層假裝和痕跡清理以後這樣的狀況下溯源在沒有大量數據的支持下能夠找到攻擊者的可能性微乎其微。爲了防止攻擊者清理攻擊痕跡,說點題外話對於日誌保存機制等問題,這裏推薦的解決辦法就是同步備份,相似於銀行對數據的異地容災備份機制同樣,採用雙備份的狀況下被攻擊者毀屍滅跡以後也能夠有源可查(效果不錯的日誌等信息備份系統推薦:evtsys,kiwi syslog deamon)。若是經過溯源後獲得攻擊者信息而後經過法律手段來進行維權,在通過多重分析以後的原數據可能已經面目全非。因此第一步的取證尤其重要。在Acpo(Association of Chief Police Officers )對取證提出了四個原則而我也建議從事應急響應的人員在取證時應該遵循如下這四個原則:
1: 存儲在計算機或存儲介質數據不能被修改或變動，由於這些數據可能之後會在法庭上做爲證據提出。
2: 一我的必須足以勝任處理計算機或存儲介質上的原始數據，若是有必要，也應該可以給本身的行爲的相關性和過程的證據的解釋。
3: 基於電子取證過程的全部審計追蹤和其餘文檔須要被建立和保存。一個獨立的第三方可以檢查這些過程並能獲取相同的結果。
4: 負責取證的我的必須在法律和ACPO的原則下全面負責取證過程
該標準中對取證有較爲深入的理解,限於我不想把這篇文章寫的太」雞湯」的感受,故在此打住。但願深刻了解的人能夠自行取讀。
有本2009年出版的書《Windows Forensics and Incident Recovery》雖然年代久遠不過不少內容仍是值得一讀。爲了在取證過程當中不會破壞和修改硬盤原有數據的完整性,經過硬盤複製機將鑑材硬盤中的內容複製到備份硬盤中。因爲這種複製是位對位的複製，鑑材硬盤中的內容會在備份硬盤中徹底的反映出來，不會丟失、遺漏也不會被修改，這樣就能夠保證經過對備份硬盤的操做達成鑑定工做。經過克隆方式進行計算機證據鑑定，注意加上數字簽名和MD5校驗，以證實原始計算機證據沒有被改變，而且整個鑑定過程能夠重現。證據分析過程不會被故意篡改，對有可能形成數據變化的操做須要記錄鑑定人員實施可能會形成的影響。因爲網絡的特色致使電子證據的分佈性，電子證據不只僅會在計算機文件中被發現，在與之關聯的服務器聊天記錄網絡流量等也有可能會出現，應該不遺漏其真實性。固然對內存等信息的取證也不容忽略，在Linux系統下內存取證工具Volatility,在windows平臺下國產軟件SmartMFT(www.jnsnt.com)能夠達到很好的效果。簡單一句話歸納的就是必定要全面從每一個文件到內存數據能全則全，而後對原有內容進行分析。

**0x03 分析**

1.側重點分析:
經過對事件的定性以及取證後咱們能夠有選擇的先分析重點內容,基本的排查分析思路以下圖所示，

這裏建議首先採用最短路徑從一次定性中獲取到的信息進行定量分析，對應事件類型爲主要點以此分析,以後再對其餘點進行全量分析。尤爲對已經進入服務器或得到webshell的事件應該尤其警戒,建議服務恢復後更加全面細緻的排查後門和隱患。下圖是對應不一樣事件性質能夠輔助排查的工具。

2.重點文件分析
經過第一次定性分析後的結果,判斷攻擊類型所對應應重點分析排查點,儘快解決問題儘快恢復系統正常上線再進行全量分析。
Linux平臺下應該額外注意點:
文件類:passwd文件，shadow文件,uid信息，ssh文件謹防SSH後門,host，rpm包(./rpm -Va > rpm.log).bash_history等。
日誌類:message日誌, cron日誌,Shell日誌,ecure日誌,last日誌
/var/log/secure，/ar/log/wtmp，var/log/message:jihu
/var/log/secure：記錄登陸系統存取數據的文件,例如pop3，ssh，telnet，ftp等都會記錄在此.
/ar/log/wtmp：記錄登陸這的信息記錄，被編碼過，因此必須以last解析;
/var/log/message:jihu全部的開機系統發生的錯誤都會在此記錄;
/var/log.boot.log：記錄一些開機或者關機啓動的一些服務顯示的啓動或者關閉的信息;
/var/log/maillog：記錄郵件的存取和往來;
/var/log/cron：用來記錄crontab這個服務的內容;
/var/log/httpd，
/var/log/mysqld.log等等文件，記錄幾個不一樣的網絡服務的記錄文件;
/var/log/acpid ,ACPI - Advanced Configuration and Power Interface，表示高級配置和電源管理接口。 後面的 d 表示 deamon 。 acpid 也就是 the ACPI event daemon 。 也就是 acpi 的消息進程。用來控制、獲取、管理 acpi 的狀態的服務程序。
/var/run/utmp 記錄着如今登陸的用戶;
/var/log/lastlog 記錄每一個用戶最後的登陸信息;
/var/log/btmp 記錄錯誤的登陸嘗試;
/var/log/dmesg內核日誌;
/var/log/cpus CPU的處理信息；
/var/log/syslog 事件記錄監控程序日誌；
/var/log/auth.log 用戶認證日誌；
/var/log/daemon.log 系統進程日誌；
/var/log/mail.err 郵件錯誤信息；
/var/log/mail.info 郵件信息；
/var/log/mail.warn 郵件警告信息；
/var/log/daemon.log 系統監控程序產生的信息;
/var/log/kern 內核產生的信息;
/var/log/lpr   行打印機假脫機系統產生的信息;
Access.log
Error.log
Windows平臺下應該額外注意點:
文件類:本地用戶和組,檢查克隆用戶(LP_Check.exe),Local Settings\History,\Local Settings\Temp,\Temporary Internet Files,host等。
日誌類:應用程序日誌,安全性日誌,系統日誌(eventvwr)。
Web服務器：
文件類:惡意木馬,cmd,webshell等。
日誌類:服務器日誌等。
#關於服務器日誌分析能夠參考這篇文章https://xianzhi.aliyun.com/forum/read/1723.html

3.全面分析

①進程分析
Windows:Pchunter
Linux: Chkrootkit&Rkhunter
隱藏進程查看
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2
②後門分析
經過crontabl –l 查看當前的任務計劃有哪些，是否有後門木馬程序啓動相關信息；
查看etc目錄任務計劃相關文件，ls /etc/cron* 查看linux 開機啓動程序
rpm包檢查
Webshell分析
工具:
chkrootkit  
Rkhunter
Hm
③內存分析
Volatility
④網絡分析
Wireshark
⑤端口分析
netstat –antlp | more
lsof -i:3306(查看使用指定端口應用程序)
使用netstat –anp（Solaris使用netstat -an）命令查看當前開放的端口。
使用lsof –i（僅限Linux）顯示進程和端口對應關係。
⑥服務分析
Rkhunter(linux)
sc query（windows）
⑦計劃任務分析
schtasks命令(win)
Crontab（linux）
⑧其餘關聯度分析
對上所分析到的相關內容,經過邏輯關聯到一塊兒,對其中分析到的ip域名等信息綜合性關聯判斷真實來源IP黑客路徑等信息。
3.溯源分析
合理利用分析結果，對ip等指紋信息進行相關溯源,判斷有可能被惡意下載讀取文件的來源進行溯源。最好的辦法是提早佈置欺騙防護系統對黑客攻擊資產進行路徑記錄對黑客畫像更爲精確。若是能夠經過已有信息通過關聯和邏輯精肯定位到黑客我的，就能夠保留好取證結果依法對其進行起訴。

0x004二次定性

當必要的分析完成後對其中關鍵細節覆盤分析,具體分析所有主機，儘可能對黑客攻擊路徑,對攻擊資產定量，再次對黑客真實目標定性。

0x005 加固

參照基線加固和SDL開發流程。

**0x006 輸出報告**

**0x006 反思**

不能否認某些甲方的技術能力和完整度都超過許多乙方企業，甚至二次技術輸出。 對大多數甲方企業來講不少的安全響應技術都須要靠乙方的支持，因此我選擇甲方思惟乙方手段來作事。儘量多的去以客戶需求想問題，以乙方專業技術去解決問題。不只僅只關心攻擊者現行狀況下對客戶影響面,在基於客觀事實爲用戶合理定製內網防禦策略和一套完整的安全開發生命週期(SDL)。

Refer: https://github.com/sindresorhus/awesome http://www.freebuf.com/tools/87400.html http://www.amazon.com/gp/product/1593275099 https://xianzhi.aliyun.com/forum/read/1655.html http://resources.infosecinstitute.com/computer-forensics-investigation-case-study/