官網熱線:400-100-0298
應急響應要討論的通用場景:(1)判斷事件類型-事件類型分為7類:大規模淪陷、挖礦病毒、勒索病毒、無文件落地、不死(頑固)馬、釣魚應急響應、數據劫持。(2)保持第一現場-第一現場包含:第一發現人、第一情報、失陷主體/群體、主體/群體行為、失陷環境。這個“保持”是指在盡可能實現的情況下去保留。 這個“第一”是指最先發現情況的人,這個人所說的情況。這個“第一”事實的失真率越高,所以要安服和應急人員做好配合。(3)信息收集-這一步與滲透測試的第一步信息收集無異,即使前面兩個高度失真,這一步仍可以讓整個響應起死回生,但是這一步沒做好將會影響后續所有操作。信息收集主要是做:流量、日志、可疑進程的內存、失陷系統鏡像、惡意樣本、客戶資產收集、資產相關漏洞測試報告、防御設備的日志。
應急響應還要做好阻斷工作:所謂阻斷只有三步:關站、關服務、拔網線。(1)切斷網絡情況分很多種:失陷后業務仍正常運行、失陷后業務受滯、失陷后業務停擺。不同的情況,網絡切斷因地制宜。切斷網絡的目的:觀察病毒行為、觀察流量特征、阻斷對內通信、阻斷對外連接。(2)阻斷傳播包括:對內傳播、對外傳播。對內傳播:進程注入/遷移、第三方軟件感染、服務傳播。對外傳播:挖礦行為、外聯攻擊等。(3)隔離核心資產/隔離受害主體:這一步是應急響應的最終目的,無論實施過程如何、無論使用什么工具都必須保證被保護與淪陷方的隔離。隔離核心資產是為了做到三個原則:保護、避害、不損害。隔離受害主體為了保護第一現場、收集攻擊者信息等。
上一篇:惡意代碼檢測的兩種方法分享
