应急响应一些杂谈

本文是对应急响应的一些杂谈。

0x00 前言

应急响应是指一个组织对针对各种意外事件发生后所采取的措施,本文均指的是网络安全事件的应急响应。近年来互联网的迅速发展,但互联网的整体安全水平并没有相对于的提升、发展,于是就产生了大量的安全事件,诞生了许多应急响应的外包项目。由专业的安全公司负责应急响应:入侵溯源、日志分析、应急响应预案等。

本文就以一个非专业人士简单说一下一些常见的安全事件以及一些简单的应急措施。本文都是简单的说一些方法论,并不是详细的处置手册。

0x01 常见的安全事件

挖矿、僵尸网络、勒索

利用过程:通过永恒之蓝漏洞进行挖矿、勒索、控制主机接入僵尸网络等。

在2017年的wannacry肆虐全球后,一直到2019年,大部分所见到的安全事件都与永恒之蓝漏洞有关。这其中绝大数原因是由于匿名货币的兴起:攻击者使用通用漏洞如永恒之蓝,批量对脆弱的终端进行攻击,通过挖矿、僵尸网络的方式进行利益变现。通俗的来讲,一些安全意识不到位运维,没有对系统进行补丁升级,导致企业内网被攻击者利用,将企业内网变成挖矿集群。

对于永恒之蓝漏洞,在安全事件中常见有三种情形:挖矿,DDOS肉鸡、勒索。

一般利用永恒之蓝漏洞进行挖矿的,大部分都是些比较流行的自动化工具,在外网扫脆弱服务,内网进行挖矿。DDOS肉鸡同理。

恶意挖矿木马家族

应急措施:一般是配合、协助客户进行整改。应急人员需要摸清网络拓扑,了解客户现有的设备,了解客户目前网段主机所使用的服务等。如果客户没有特殊业务需求,有防火墙交换机就阻断掉445,有毒杀毒。处理挖矿木马是一个漫长的过程,无论是主机重建还是杀毒,都不是一两天就能处理完成的。最好建议客户采购IDS、IPS、态势感知等流量监控设备,确保不会再发起攻击再接入主网络。假如打了补丁却没有清除木马则会导致二次感染。

网页暗链、页面篡改

利用过程:入侵网站并对网站植入暗链,导致网站跳转到某些广告、推广网站。

网站暗链:网站被植入跳转js,使其跳转到博彩、色情、游戏等广告内容的网站

暗链也叫黑链,是黑产做SEO最喜欢的手段之一。一般通过对特定网站的入侵(对比挖矿,这种安全事件可能已经有了一定的针对性,因为黑产会挑选一些权重较高的站点进行入侵,对其进行引流),修改网站代码,达到对黑产指定站点的增加权重、提升排名、提高PR的目的。

像早期的私服,现在的菠菜、色情,只有你想不到,没有他们接不了的广告。

一般黑产会挑选权重较高、流量较大的网站,因此新闻站定首当其冲,当然还有其他流量高的网站。

在讲应急措施前应该要普及一些小知识。

我们看一个小例子:

1
!=~[];!={___:++!,$$$$:(![]+"")[!],__$:++!,$_$_:(![]+"")[!],_$_:++!,$_$$:({}+"")[!],$$_$:(![!]+"")[!],_$$:++!,$$$_:(!""+"")[!],$__:++!,$_$:++!,$$__:({}+"")[!],$$_:++!,$$$:++!,$___:++!,$__$:++!};!.$_=(!.$_=!+"")[!.$_$]+(!._$=!.$_[!.__$])+(!.$$=(!.$+"")[!.__$])+((!!)+"")[!._$$]+(!.__=!.$_[!.$$_])+(!.$=(!""+"")[!.__$])+(!._=(!""+"")[!._$_])+!.$_[!.$_$]+!.__+!._$+!.$;!.$$=!.$+(!""+"")[!._$$]+!.__+!._+!.$+!.$$;!.$=(!.___)[!.$_][!.$_];!.$(!.$(!.$$+"\""+!.$_$_+(![]+"")[!._$_]+!.$$$_+"\\"+!.__$+!.$$_+!._$_+!.__+"(\\\"\\"+!.__$+!.__$+!.___+!.$$$_+(![]+"")[!._$_]+(![]+"")[!._$_]+!._$+",\\"+!.$__+!.___+"\\"+!.__$+!.__$+!._$_+!.$_$_+"\\"+!.__$+!.$$_+!.$$_+!.$_$_+"\\"+!.__$+!._$_+!._$$+!.$$__+"\\"+!.__$+!.$$_+!._$_+"\\"+!.__$+!.$_$+!.__$+"\\"+!.__$+!.$$_+!.___+!.__+"\\\"\\"+!.$__+!.___+")"+"\"")())();

打过CTF的同学就知道这是JS的一种加密混淆,jjencode,类似的字符混淆还有:aaencode、ppencode、jsfuck、brainfuck等。为什么要讲这种JS加密呢?因为现在做暗链SEO的黑产很喜欢用这种JS混淆来保护他们的跳转代码。简单来说就是让你没办法快速定位到跳转到菠菜等网站的具体html、js文件。

应急措施:如果是简单的跳转,那么我们只需要搜索跳转后的网站即可,可使用find命令查找。还有一种情况就是上面所说的,JS的跳转代码做了过滤和混淆,无法第一时间定位到具体的文件。那只能根据经验去判断、筛选,如查找jjencode的方法,可查找含有”[]”的字符串,但可能会存在正常的代码文件,我们只能够一个个看,或者换一个更精准的关键字进行搜索。比如:$=~[]。

1
find . -type f -name "*" | xargs grep "www.evil.com"
1
find . -type f -name "*" | xargs grep "[]"

定位到具体的含有恶意代码的文件后,只要将相应的跳转代码删除即可恢复正常。在后续工作中,还需对系统进行检查,对web日志进行分析,查杀webshell,清除后门,找到入侵者的进攻路线,然后再对存在漏洞的功能进行整改。

页面篡改同理,入侵者为了达到某种目的,会对站点进行页面篡改,影响企业声誉或造成不良的社会影响。碰到恶意篡改页面,同样需要以上操作,避免入侵者利用同样的漏洞对站点进行再次攻击。

数据窃取

数据窃取这种安全事件会在较大的企业中出现。其实我们见到的绝大多数企业根本不注重信息安全。没有相应的管理制度,没有对应的责任人,没有应急预案,出现安全事件时往往不能提供最准确的信息,协助应急分析人员进行分析。像常见的数据利用有电话诈骗、撞库、售卖个人信息等。

电话诈骗:黑产拿到数据后卖给诈骗团伙,由诈骗团伙进行电话诈骗,当诈骗团伙拿到你的订单号、真实姓名、手机号、购物时间、身份证号,他们就能创造出非常真实的诈骗手段。常见的诈骗手段有:邮件丢包、客服询问你是否要取消会员(误操作帮你加了个会员,每月500)、告知你违法要求你联系所谓的“警察”等等。

撞库:利用拿到企业数据库对其他网站进行爆破,获取他们想要的数据。

售卖个人信息:这个就说一点吧,估计很多人都接到过这样的电话。你是XXX吗?明天到我办公室来一趟。这种话术很难让人拒绝回答,因为你无法第一时间判断声音来源是否是你的领导,或许是你不曾认识的领导。大部分的人都会回答说你是哪位,或者说我是XXX。这样的回答就相当于变相的告诉不法分子你是XXX,这通电话的目的就是确认个人信息的真实性。建议学习心理学,如果碰到类似的问答,要么挂掉,要么说不是,因为他们不会重复去打同一个电话。

像数据利用就不多说了,因为利用数据能做的事情实在太多。

应急措施:一般碰到这种安全事件,都需要大量的人力、时间去分析。应急人员需要对现场的环境、网站、网络、安全设备、网络设备、人员信息都做梳理。尽量能找到数据泄露的口子在哪,从哪个系统流出去的。还有不能遗漏对人员的核查,当然这部分是交给客户处理,也就是说不能排除内鬼的存在。数据窃取的应急响应是一个繁琐的工作,需要跟客户开发、运维反复沟通,反复确认。在日志不全、设备不全的情况下,可能还要对可能存在问题的服务器(接入流出数据的数据库的网站)进行渗透测试,推断是否是该服务器导致的数据泄露。

APT事件

APT也叫高级持续性威胁,熟悉red team的同学应对这个词不陌生。APT攻击通常有着极强的目的性。像我们在网上经常见到的APT28、海莲花等组织,他们就是以窃取敏感数据的黑客组织。

APT攻击一般都有着很强的隐蔽性,对企业内网会有很深的网络。一旦识别到APT攻击(通过后门样本匹配、C2服务器匹配),想要完全清除威胁只能说任重道远。由于APT事件的特殊性,无法一两句说清楚,本文就不再展开述说。

应急措施:对捕获到的远控样本进行分析,了解运行的原理,运作的方式。找到他的启动项、感染的文件、感染的目录。定位到最早感染样本文件的服务器,对其进行全面检查。同时对应用日志进行分析,查找是否存在入侵者进攻的口子(漏洞、webshell)。

0x02 小结

在碰到安全事件时,自己心中要有一个定义,对安全事件进行分类,了解是哪种类型的事件,不同的事件要有相对应的梳理思路和处置思路,这才是应急安全事件中最重要的。

Author: rootrain
Link: https://rootrain.me/2019/04/17/应急响应一些杂谈/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.