事件分级

  • 特别重大事件 红色预警:一级响应

  • 重大事件 橙色预警:二级响应

  • 较大事件

    黄色预警:三级响应

  • 一般事件 蓝色预警:四级响应

一、应急流程

1.1 准备阶段

  • 应急团队建设
  • 应急方案制定
  • 渗透测试评估
  • 安全基线检查

1.2 检测阶段

  • 判断事件类型
  • 判断事件级别
  • 确定应急方案

1.3 抑制阶段

限制攻击/破坏波及的范围,同时也是在降低潜在的风险

  • 阻断:IP地址、网络连接、危险主机
  • 关闭:可疑进程、可疑服务
  • 删除:违规账号、危险文件

1.4 根除阶段

通过事件分析找出根源并彻底根除,以避免被再次利用:

  • 增强:安全策略、全网监控
  • 修复:应用漏洞、系统漏洞、补丁更新.
  • 还原:操作系统、业务系统

1.5 恢复阶段

把被破环的信息彻底还原到正常运作的状态:

  • 恢复业务系统
  • 恢复用户数据
  • 恢复网络通信

1.6 总结

回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生:

  • 事件会议总结
  • 响应报告输出
  • 响应工作优化

二、安全防护

2.1 账号安全

  1. 弱口令禁用

    • 组策略:gpedit.msc

      计算机配置>Windows设置>安全设置>账户策略>密码策略

  2. 停用administrator、guesr用户(做这个操作之前,请确保adminstrators用户组中有除administrator之外的用户)

    • 1
2

      net user Administrator /active:no
net user Guest /active:no

2.2 服务安全

2.2.1 Windows

  1. 禁止远程桌面(或只允许某个用户登录远程桌面)(限制NLA)

    计算机属性>远程桌面

  2. 禁止或限制文件共享

    • 控制面板>网络和internet>网络和共享中心>高级共享设计

  3. 关闭不需要的服务或限制服务验证

    • Computer browser浏览局域网计算机列表
    • Remote Registry远程注册表操作
    • Routing and Remote Access路由与远程访问
    • Shell Hardware Detection为自动播放硬件事件提供通知
    • Telnet远程管理
    • TCP/IP NetBIOS Helper允许客户端共享文件,打印机和登绿到网络

  4. 合理的中间件、数据库监听地址

    例:Apache配置文件httpd.conf更改监听端口

2.2.2 Linux

2.3 个人系统安全

个人性安全防御软件:诺顿、Bitdefender、迈克菲、TotalAV、Avira Prime(小红伞)、卡巴斯基、Panda

三、入侵排查

3.1 账号排查

在红队视角下,Windows账户有三种

  1. 正常用户 net user 能看到

  2. 隐藏用户 net user 看不到,控制面板、lusrmgr.msc、用户组中能看到,账户名末尾$即可实现

    1

    net localgroup administratos

  3. 影子用户 注册表能看到

Administrator(管理员):这是具有完全控制和访问权限的管理员账户。默认处于禁用状态 DefaultAccount(默认账户):这是windows10中的一个预配置账户,用于应用程序容器和系统组件的身份验证。它主要用干提供安全性和隔离性

Guest(访客):该账户提供了一个受限制的用户环境,允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下,默认情况下此账户处于禁用状态

WDAGUtilityAccount:这是WindowsDefenderApplicationGuard(WDAG)实用程序账户。WDAG是一种安全功能,可在MicrosoftEdge浏览器中隔离和保护来自不受信任来源的网站和文件

3.2 网络排查

1

netstat -anob

3.3 进程排查

3.4 注册表排查

  1. 用户自启动项(开机自启动,黑客很多时候会把病毒文件设置开机自启)

    • HKEY CURRENT USER\software\micorsoft\windows\currentversion\run
    • HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

  2. 镜像劫持(打开微信,结果变成财打开木马)

    • hkey local_machine\software\microsoft\windows nt\currentversion\image file execution options

3.5 系统相关信息排查

  1. 系统相关信息排查
    • 计划任务:taskschd.msc
    • 服务:services.msc
    • 可疑文件:%UserProfile%\Recent

四、溯源

4.1 分析日志