應(yīng)急響應(yīng)或者技術(shù)人員的方法論

在敘述本次應(yīng)急響應(yīng)前，先把方法論的前因后果講解一下，以便可以帶著方法論進(jìn)入問(wèn)題處置的過(guò)程，這樣體會(huì)可能會(huì)更好一點(diǎn)，以便可以幫助到正在提升的我們。

因?yàn)榧夹g(shù)人員不能只關(guān)注技術(shù)，對(duì)于客戶來(lái)說(shuō)世界上只有兩種人有價(jià)值，一種是能夠做事的人，一種是能夠解決問(wèn)題的人，或者兩種形態(tài)于一身的人（很少）。畢竟系關(guān)、項(xiàng)目很復(fù)雜，客戶/銷售想要的可能不是最想的。那么有能力解決問(wèn)題的人就能夠在出現(xiàn)問(wèn)題的時(shí)候創(chuàng)造出價(jià)值，從而創(chuàng)造渺小的介入機(jī)會(huì)。

例如我的起點(diǎn)比較低，只能從最低點(diǎn)開(kāi)始往上爬，做過(guò)IDC機(jī)房/單位駐場(chǎng)，分保、系統(tǒng)集成、等保、項(xiàng)目經(jīng)理、售前、銷售（以技術(shù)為驅(qū)動(dòng)落地過(guò)兩個(gè)100+的項(xiàng)目，所以一定要相信自己，技術(shù)真的可以給公司帶來(lái)價(jià)值，而不是只能體現(xiàn)公司價(jià)值，這取決于我們?cè)撛趺窗l(fā)揮主觀能動(dòng)性的去做），現(xiàn)在正在做應(yīng)急、正在學(xué)滲透。這一路真不容易，機(jī)會(huì)也少，很多都是可愛(ài)的人愿意相信我愿意給我嘗試的機(jī)會(huì)，我才有涉及的可能，無(wú)數(shù)次迷茫，但都被下面這個(gè)方法論給糾正過(guò)來(lái)，否則就會(huì)是一顆不頂用的螺絲釘。（做的雜，但是很開(kāi)心，因?yàn)槲抑狼懊鏇](méi)有吃的苦，只要我想做，那么這些苦都是必須得還回來(lái)的，希望還未入門的你可以少走彎路，出社會(huì)即可做自己想做的事，不需要像我這樣繞很多路）

因此我深刻體會(huì)有一個(gè)觀點(diǎn)或者方法論非常重要，那就是“任何節(jié)點(diǎn)千萬(wàn)不要卡在自己這，一定要往前推進(jìn)，想盡辦法往前推進(jìn)，如果不行，那你也是盡力了”，適用于學(xué)習(xí)、售前、售后。項(xiàng)目推進(jìn)不能卡在銷售自己，項(xiàng)目管理實(shí)施進(jìn)度不能卡在項(xiàng)目經(jīng)理等等，一旦卡住，責(zé)任必在自己，因?yàn)槟鞘亲约旱穆氊?zé)。

【點(diǎn)擊查看網(wǎng)絡(luò)安全學(xué)習(xí)攻略與資料】

那么如何套用在應(yīng)急響應(yīng)上，例如客戶單位發(fā)生了安全事件（例如勒索病毒、掛標(biāo)語(yǔ)這種緊急的突發(fā)情況），客戶現(xiàn)場(chǎng)：

1.目標(biāo)主機(jī)一定會(huì)有日志嗎？

2.日志被刪了一定有第三方異機(jī)備份嗎？

3.沒(méi)有第三方異機(jī)備份就一定會(huì)有流量回溯嗎？

這種情況肯定存在而且非常常見(jiàn)，不可能萬(wàn)事俱備事事如意，不然我們?cè)趺磩?chuàng)造價(jià)值，那么遇到這種情況該怎么應(yīng)急響應(yīng)？一番技術(shù)操作后和客戶說(shuō)“因?yàn)闅埩艉圹E較少，無(wú)法進(jìn)行攻擊溯源，類似于新冠，沒(méi)有掃安康碼留下痕跡，就無(wú)法追蹤到0號(hào)病人”嗎？

是的，可以說(shuō)，客戶一般也認(rèn)可（我以前就這么干，深感不足），因?yàn)槭聦?shí)如此，巧婦難為無(wú)米之炊。

但是客戶單位的業(yè)務(wù)系統(tǒng)就得帶著高危漏洞暴露在互聯(lián)網(wǎng)：

1.客戶領(lǐng)導(dǎo)會(huì)怎么想？

2.服務(wù)單位的銷售會(huì)有什么樣的擔(dān)心？會(huì)怎么想這名技術(shù)，作為技術(shù)被銷售這么想該怎么辦？

3.作為想創(chuàng)造機(jī)會(huì)的安服公司銷售正在想什么？

那肯定想著是怎么拿下這個(gè)單位？系關(guān)拼不過(guò)、產(chǎn)品價(jià)格談不下來(lái)，…，靠什么呢，靠的就是這種你搞不定我可以搞定的機(jī)會(huì)。機(jī)會(huì)從哪來(lái)？機(jī)會(huì)源于咱們技術(shù)人員，這就是技術(shù)可以創(chuàng)造價(jià)值的能力。那這種情況該怎么帶著方法論進(jìn)入到這個(gè)安全事件應(yīng)急響應(yīng)過(guò)程中呢：

“任何節(jié)點(diǎn)千萬(wàn)不要卡在自己這，一定要往前推進(jìn)，想盡辦法往前推進(jìn)，如果不行，那你也是盡力了”

情況概述

2021年12月12日18:57:30客戶單位對(duì)互聯(lián)網(wǎng)開(kāi)放的致遠(yuǎn)OA被入侵，文件被加密，后綴為.locked。收到相關(guān)通知后隨即進(jìn)場(chǎng)應(yīng)急。

搜索了一下這個(gè)后綴，大部分的結(jié)果都是這個(gè)病毒都是通過(guò)smb縱橫傳播的。目標(biāo)主機(jī)已禁用網(wǎng)卡斷網(wǎng)處置。

入侵檢查

指定時(shí)間范圍內(nèi)被修改的對(duì)象

按照以前文章種敘述的方法，根據(jù)案發(fā)時(shí)間，使用dm:20211212查找了exe、jsp等關(guān)鍵字，在exe關(guān)鍵字中發(fā)現(xiàn)異常：


常規(guī)檢查

根據(jù)案發(fā)時(shí)間查找痕跡再無(wú)有用信息，因此常規(guī)檢查了操作系統(tǒng)。由于工作量大，使用之前文章中的工具進(jìn)行自動(dòng)化收集。同樣未發(fā)現(xiàn)異常，勒索程序并未運(yùn)行。

檢查可攻擊范圍

由于可用信息較少，因此反向思維推理：

1.從內(nèi)網(wǎng)橫向滲透的可能性：由于僅一臺(tái)主機(jī)被勒索，因此排除該可能性。

2.從互聯(lián)網(wǎng)縱向滲透：排查互聯(lián)網(wǎng)網(wǎng)關(guān)，發(fā)現(xiàn)僅映射業(yè)務(wù)端口，因此排除操作系統(tǒng)層面被入侵的可能性。

3.因此將檢查重點(diǎn)放在應(yīng)用系統(tǒng)上。

檢查攻擊痕跡

沒(méi)找到，后來(lái)才發(fā)現(xiàn)是致遠(yuǎn)自己寫的java程序，加載的也不是tomcat的配置文件，沒(méi)有產(chǎn)生日志即不會(huì)被第三方異機(jī)備份。同時(shí)也沒(méi)有流量回溯設(shè)備。

安全設(shè)備的檢查概述

安全設(shè)備中只能看到誰(shuí)攻擊了，但是看不出來(lái)誰(shuí)利用哪個(gè)漏洞進(jìn)來(lái)的。因?yàn)楹诳凸舫晒α?#xff0c;意味著黑客繞過(guò)了特征庫(kù)，即不會(huì)匹配規(guī)則和匹配規(guī)則中的記錄日志功能。

但是在檢查APT過(guò)程中發(fā)現(xiàn)了異樣（安恒還是牛滴呀）：

到這里即會(huì)發(fā)現(xiàn)，除了一個(gè)惡意文件，啥也沒(méi)有發(fā)現(xiàn)，該怎么兌現(xiàn)這個(gè)方法論？

“任何節(jié)點(diǎn)千萬(wàn)不要卡在自己這，一定要往前推進(jìn)，想盡辦法往前推進(jìn)，如果不行，那你也是盡力了”

轉(zhuǎn)折點(diǎn)-站在攻擊者的角度

同時(shí)也算響應(yīng)了"一切積累都是為了應(yīng)對(duì)此類情況"這句話。

在以往可能受限于能力，可能就收?qǐng)隽?#xff0c;但是現(xiàn)在不一樣了，我會(huì)信息收集了。

根據(jù)關(guān)鍵字進(jìn)行搜索。

根據(jù)信息收集的結(jié)果進(jìn)行測(cè)試，發(fā)現(xiàn)存在漏洞。

ps：其實(shí)哪有這么順利，版本漏洞這塊翻遍了搜索引擎：

致遠(yuǎn)-OA-A8-htmlofficeservlet-getshell-漏洞 致遠(yuǎn)OA-A6-search_result.jsp-sql注入漏洞 致遠(yuǎn)OA-A6-setextno.jsp-sql注入漏洞 致遠(yuǎn)OA-A6-test.jsp-sql注入漏洞 致遠(yuǎn)OA-A6-敏感信息泄露一- 致遠(yuǎn)OA-A6-敏感信息泄露二- 致遠(yuǎn)OA-A6-重置數(shù)據(jù)庫(kù)賬號(hào)密碼漏洞 致遠(yuǎn)OA-A8-m-后臺(tái)萬(wàn)能密碼 致遠(yuǎn)OA-A8-m-存在sql語(yǔ)句頁(yè)面回顯功能 致遠(yuǎn)OA-A8-v5-任意用戶密碼修改 致遠(yuǎn)OA-A8-v5-無(wú)視驗(yàn)證碼撞庫(kù) 致遠(yuǎn)OA-A8-任意用戶密碼修改漏洞 致遠(yuǎn)OA-A8-未授權(quán)訪問(wèn) 致遠(yuǎn)OA-A8-系統(tǒng)遠(yuǎn)程命令執(zhí)行漏洞 致遠(yuǎn)OA-Session泄漏漏洞 致遠(yuǎn)OA-帆軟報(bào)表組件-前臺(tái)XXE漏洞 致遠(yuǎn)OA-ajax.d前臺(tái)未授權(quán)任意文件上傳 致遠(yuǎn)OA系統(tǒng)多版本Getshell漏洞復(fù)現(xiàn)

沉住心，總結(jié)建議該怎么寫

因?yàn)椴⒉灰欢ㄊ峭ㄟ^(guò)這個(gè)洞進(jìn)去的，也有可能是通過(guò)其他沒(méi)有公開(kāi)但是已在野利用的，因?yàn)榉?wù)器上并沒(méi)有痕跡為此做支撐，因此需要建議客戶：

1.開(kāi)啟訪問(wèn)日志記錄，例如這個(gè)洞需要用到的URI就是漏洞指紋，雖然看不到POST數(shù)據(jù)，但是訪問(wèn)日志中會(huì)留下痕跡；

2.檢查補(bǔ)丁安裝情況，沒(méi)有公開(kāi)但是在野利用的，廠商肯定清楚；

3.禁止服務(wù)器訪問(wèn)互聯(lián)網(wǎng)，例如這個(gè)漏洞的利用就涉及目標(biāo)主機(jī)是否可以主動(dòng)外聯(lián)。

萬(wàn)變不離其宗

場(chǎng)景、事件就和人類指紋類似，不可能一樣，那么如何應(yīng)對(duì)不同場(chǎng)景的突發(fā)事件，唯有整理出適用于自己的一套方法論作為基礎(chǔ)支撐才是最適用的。

IOC

45.76.99.222

8abaa521a014cdbda2afe77042f21947b147197d274bf801de2df55b1e01c904

總結(jié)

以上是生活随笔為你收集整理的【应急响应】没有痕迹该如何进行最优解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。