安全事件应急响应及分析.ppt

安全事件应急响应及分析 目录 1 安全事件响应概述及流程介绍2 网站篡改事件响应与分析3 数据泄露事件响应与分析4 日志安全分析实战 上机实验 5 数据恢复实战 上机实验 1 安全事件响应概述及流程介绍 什么是突发事件中断正常运作的程序并使系统突然陷入某种级别危机的事件 计算机入侵 拒绝服务攻击 信息泄露等 什么是应急响应信息安全应急响应是对危机信息安全的事件做出及时 准确的响应处理 综合利用检测 抑制 根除 恢复等手段 杜绝危害的进一步蔓延扩大 保证系统能够提供正常服务 应急响应概述 漏洞发布到攻击出现的时间越来越短Witty蠕虫事件 MS08 067花样翻新 防不胜防尼姆达蠕虫 通过email 共享网络资源 IIS服务器传播变种速度令人惊叹黑客 从单打独斗到 精诚 合作Botnet攻击程序日益自动化 并唾手可得 为什么需要应急响应 确认与排除突发事件是否发生收集与突发事件有关的信息提供有价值的报告和建议使损失最小化支持民事或刑事诉讼保护由法律或者正常规定的隐私权 应急响应的目的 第一阶段 准备 让我们严阵以待第二阶段 确认 对情况综合判断第三阶段 封锁 制止事态的扩大第四阶段 根除 彻底的补救措施第五阶段 恢复 备份 顶上去 第六阶段 跟踪 还会有第二次吗 应急响应的一般阶段 HandlingtheIncident 恢复Recovery 根除Eradication 发现Identification 预防Preparation 控制Containment 跟踪FollowupAnalysis IncidentResponseLifeCycle 预防为主帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描 风险分析 打补丁如有条件且得到许可 建立监控设施 第一阶段 准备 建立事件报告的机制和要求 建立事件报告流程和规范 确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会 玩笑 还是恶意的攻击 入侵 影响的严重程度预计采用什么样的专用资源来修复 第二阶段 确认 即时采取的行动防止进一步的损失 确定后果确定适当的封锁方法咨询安全策略确定进一步操作的风险损失最小化可列出若干选项 讲明各自的风险 由服务对象选择 第三阶段 封锁 长期的补救措施确定原因 定义征兆分析漏洞加强防范修复隐患修改安全策略 第四阶段 根除 被攻击的系统由备份来恢复作一个新的备份把所有安全上的变更作备份服务重新上线持续监控 第五阶段 恢复 关注系统恢复以后的安全状况 特别是曾经出问题的地方建立跟踪文档 规范记录跟踪结果追踪来源 建立基线库调查取证 第六阶段 跟踪 外部原因攻击类型拒绝服务 SYN flood UDP flood ccDNS欺骗 DNSpoisonARP欺骗 arp病毒问题分析抓包分析 wireshark简单命令 nslookup arp解决办法封攻击者IP 原因追查 内部原因攻击类型系统被入侵 入侵者已获取部分权限或已完全控制系统 问题分析系统或应用程序存在漏洞解决办法恢复系统查找原因清除后门修补漏洞 原因追查 2 网络流量异常事件响应与分析 网络流量异常事件 网络流量异常针对协议的攻击针对带宽的流量攻击其他拒绝服务攻击响应策略查看关键网络设备 对网络流量做端口镜像查看IDS等安全设备的事件记录对流量镜像进行人工分析 判断异常数据包通过网络协议分析设备进行流量分析修改安全设备防护策略 对可疑流量包做丢弃处理对针对协议的攻击限制其使用带宽 19 3 网站篡改事件响应与分析 网站页面篡改案例 21 篡改事件处置流程 安全事件发生 停止网站服务 上报相关领导 日志分析 可疑文件及可疑用户分析 漏洞扫描与安全测试 安全整改 上线前测试 22 篡改事件分析过程 日志分析 系统日志 中间件日志 应用系统日志 可疑文件分析 清除 木马文件 后门程序 攻击测试文件 可疑用户清除 操作系统用户 应用系统用户 安全事件整体分析 攻击来源 造成危害 攻击途径 23 审核日志 系统日志应用日志安全性日志Web日志FTP日志数据库日志查看攻击者遗留痕迹分析入侵原因并弥补漏洞 日志审核 分析网站系统日志 一般IIS日志和Apache日志等均有web访问详细记录 若日志在系统中已被删除 应通过日志服务器或者日志审计系统查看日志 日志分析有以下方式 分析安全事件发生时间段内的日志信息 查看是否有异常访问 如网站扫描日志 上传页面日志 管理员登陆页面访问日志等 以遭篡改或者挂暗链的页面名称为关键字 搜索日志内容 判断是否存在管理员IP之外的访问地址 若存在 则应以此地址为关键字做进一步分析 判断攻击者的攻击方式和路径 若网站已被上传木马 则查看日志中对该木马的访问记录 进而根据此木马来源IP地址为关键字做进一步分析 25 WEB日志IIS日志在 systemroot system32 logfiles下相应子目录中 日志分析 WEB日志格式日期和时间默认采用格林威治时间 比北京时间晚8小时客户端地址服务器地址服务器端口方法 GET POST PUT DELETE等 URI资源协议状态请求成功 200 299临时资源 300 307请求错误 400 499服务器端内部错误 500 599 日志分析 WEB日志 SQL注入示例 2009 10 1315 16 4210 10 10 227GET list aspid 19 20and 20user 0 13 80040e07 Microsoft ODBC SQL Server Driver SQL Server 将 nvarchar 值 article user 转换为数据类型为 int 的列时发生语法错误 80 10 10 10 34Mozilla 4 0 日志分析 WEB日志 路径扫描示例 2009 10 1315 20 4410 10 10 227GET admin main asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET admintab asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET count asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET root asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET htdocs asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET login login asp 80 10 10 10 34Mozilla 4 0404032009 10 1315 20 4410 10 10 227GET dvbbs post upload asp 80 10 10 10 34Mozilla 4 0404032009 10 1315 20 4410 10 10 227GET del asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET ok pass asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET user logout asp 80 10 10 10 34Mozilla 4 0404032009 10 1315 20 4410 10 10 227GET update asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET admindel asp 80 10 10 10 34Mozilla 4 0404022009 10 1315 20 4410 10 10 227GET admin delete asp 80 10 10 10 34Mozilla 4 04040 日志分析 可疑账号使用netuser查看 可疑账户分析 较低级后门 添加系统帐号 添加其他服务帐号 FTP 数据库 二进制后门 反向连接型普通后门 动态链接库后门 配置型后门 隐藏账号和克隆帐号网页型后门 webshell 可疑文件分析 隐藏账号形如hack 的隐藏账号 不能使用netuser查看 账户后门 可疑进程 二进制后门 可疑端口和服务 二进制后门 启动项HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunHKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunOnceHKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunOnceExHKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Policiees Run回收站根目录下隐藏的Recycler目录用户删除的文件在以其自身SID为基础命名的子目录中临时文件夹C DocumentsandSettings DefaultUser LocalSettings temp计划任务使用at命令查看 文件后门 曾经存在的帐户HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion ProfileList曾经安装过的软件HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Uninstall 操作记录分析 4 数据泄露事件响应与分析 信息泄露安全事件 38 2011年北京市 7万高考生个人信息网上被叫卖 考生以及家长电话 住址 姓名等隐私信息被网上售卖 市教委工作人员表示 曾多次要求学校保护学生及家长的隐私 不排除是黑客窃取了考生信息 数据泄露事件分析过程 分析过程 类似篡改事件日志分析可疑账户分析可疑文件分析判断攻击者获取数据的攻击来源 尝试方法等还需要什么 漏洞检测 39 漏洞检测1 1 弱口令检测网站系统 操作系统 数据库系统是否存在弱口令或者可进行口令暴力破解2 网站系统漏洞检测网站系统是否存在SQL注入漏洞数据库文件是否可绕过验证通过网站访问获取网站系统是否存在命令执行 任意文件遍历 文件上传等漏洞 40 漏洞检测2 3 主机漏洞检测操作系统是否存在严重漏洞主机是否与其他系统有网络隔离 是否可通过网络嗅探的方式获得数据数据库系统是否存在严重漏洞数据库系统是否可由任意地址远程连接 41 5 日志安全分析实战 上机实验 日志安全分析实战 43 实验目标 了解对网站攻击安全事件进行日志分析的方法获取攻击者的攻击路径 利用方式 上传木马等信息实验环境 客户端主机 WindowsXp服务端主机 windowsserver2003 2008WEB中间件 IIS工具 无 实验步骤查看IIS属性 打开IIS日志文件夹打开最近日期的IIS日志查找被攻击页面关键字找到对应来源IP分析该IP所访问的地址页面 判断攻击行为及路径 利用方法 上传木马等内容 上机实验 日志安全分析实战 6 数据恢复实战 数据恢复技术及工具 数据恢复技术系统中已删除的数据并没有真正的 清除 通过数据恢复工具仍能够