安全事件应急响应及分析通用课件

1、安全事件应急响应及分析目 录1) 安全事件响应概述及流程介绍2) 网站篡改事件响应与分析3) 数据泄露事件响应与分析4) 日志安全分析实战（上机实验）5) 数据恢复实战（上机实验）1）安全事件响应概述 及流程介绍什么是突发事件中断正常运作的程序并使系统突然陷入某种级别危机的事件。计算机入侵，拒绝服务攻击，信息泄露等。什么是应急响应信息安全应急响应是对危机信息安全的事件做出及时、准确的响应处理，综合利用检测、抑制、根除、恢复等手段，杜绝危害的进一步蔓延扩大，保证系统能够提供正常服务。应急响应概述漏洞发布到攻击出现的时间越来越短Witty蠕虫事件、MS08-067花样翻新，防不胜防尼姆达蠕虫：通过

2、email、共享网络资源、IIS服务器传播变种速度令人惊叹黑客：从单打独斗到“精诚”合作Botnet攻击程序日益自动化、并唾手可得为什么需要应急响应确认与排除突发事件是否发生收集与突发事件有关的信息提供有价值的报告和建议使损失最小化支持民事或刑事诉讼保护由法律或者正常规定的隐私权应急响应的目的第一阶段：准备让我们严阵以待第二阶段：确认对情况综合判断第三阶段：封锁制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复备份，顶上去！第六阶段：跟踪还会有第二次吗应急响应的一般阶段Handling the Incident恢复Recovery根除Eradication发现Identification

3、预防Preparation控制Containment跟踪Follow up AnalysisIncident Response Life Cycle预防为主帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施第一阶段准备建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneEmailWho?What?When?Where?How?Reporting Mechanisms确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资

4、源来修复？第二阶段确认即时采取的行动防止进一步的损失，确定后果确定适当的封锁方法咨询安全策略确定进一步操作的风险损失最小化可列出若干选项，讲明各自的风险，由服务对象选择第三阶段封锁长期的补救措施确定原因，定义征兆分析漏洞加强防范修复隐患修改安全策略第四阶段根除被攻击的系统由备份来恢复作一个新的备份把所有安全上的变更作备份服务重新上线持续监控第五阶段恢复关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果追踪来源，建立基线库调查取证第六阶段跟踪外部原因攻击类型拒绝服务：SYN-flood、UDP-flood、ccDNS欺骗：DNS poisonARP欺骗： arp病毒

5、问题分析抓包分析：wireshark简单命令：nslookup、arp解决办法封攻击者IP原因追查内部原因攻击类型系统被入侵，入侵者已获取部分权限或已完全控制系统。问题分析系统或应用程序存在漏洞解决办法恢复系统查找原因清除后门修补漏洞原因追查2） 网络流量异常事件 响应与分析网络流量异常事件网络流量异常针对协议的攻击针对带宽的流量攻击其他拒绝服务攻击响应策略查看关键网络设备，对网络流量做端口镜像查看IDS等安全设备的事件记录对流量镜像进行人工分析，判断异常数据包通过网络协议分析设备进行流量分析修改安全设备防护策略，对可疑流量包做丢弃处理对针对协议的攻击限制其使用带宽。193）网站篡改事件响应与

6、分析网站页面篡改案例21篡改事件处置流程安全事件发生停止网站服务上报相关领导日志分析可疑文件及可疑用户分析漏洞扫描与安全测试安全整改上线前测试22篡改事件分析过程日志分析（系统日志、中间件日志、应用系统日志）可疑文件分析、清除（木马文件、后门程序、攻击测试文件）可疑用户清除（操作系统用户、应用系统用户）安全事件整体分析（攻击来源、造成危害、攻击途径）23审核日志：系统日志应用日志安全性日志 Web日志 FTP日志 数据库日志查看攻击者遗留痕迹分析入侵原因并弥补漏洞日志审核分析网站系统日志，一般IIS日志和Apache日志等均有web访问详细记录，若日志在系统中已被删除，应通过日志服务器或者日志

7、审计系统查看日志。日志分析有以下方式：分析安全事件发生时间段内的日志信息，查看是否有异常访问（如网站扫描日志、上传页面日志、管理员登陆页面访问日志等）以遭篡改或者挂暗链的页面名称为关键字，搜索日志内容，判断是否存在管理员IP之外的访问地址。若存在，则应以此地址为关键字做进一步分析，判断攻击者的攻击方式和路径。若网站已被上传木马，则查看日志中对该木马的访问记录，进而根据此木马来源IP地址为关键字做进一步分析。25WEB日志IIS日志在%systemroot%system32logfiles下相应子目录中日志分析WEB日志格式日期和时间默认采用格林威治时间，比北京时间晚8小时客户端地址服务器地址服

8、务器端口方法（GET、POST、PUT、DELETE等）URI资源协议状态请求成功，200-299临时资源，300-307请求错误，400-499服务器端内部错误，500-599日志分析WEB日志(SQL注入示例)2009-10-13 15:16:42 27 GET /list.asp id=19%20and%20user0|13|80040e07|MicrosoftODBC_SQL_Server_DriverSQL_Server将_nvarchar_值_article_user_转换为数据类型为_int_的列时发生语法错误。 80 - 4 Mozilla/4.0+日志分析WEB日志(路径扫描

9、示例)2009-10-13 15:20:44 27 GET /admin_main.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /admintab.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /count.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /root.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET

10、 /htdocs.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /login/login.asp - 80 - 4 Mozilla/4.0 404 0 32009-10-13 15:20:44 27 GET /dvbbs/post_upload.asp - 80 - 4 Mozilla/4.0 404 0 32009-10-13 15:20:44 27 GET /del.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /ok_pass.asp - 80

11、- 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /user/logout.asp - 80 - 4 Mozilla/4.0 404 0 32009-10-13 15:20:44 27 GET /update.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /admindel.asp - 80 - 4 Mozilla/4.0 404 0 22009-10-13 15:20:44 27 GET /admin_delete.asp - 80 - 4 Mozilla/4.0 404

12、 0 日志分析可疑账号使用net user查看可疑账户分析较低级后门：添加系统帐号；添加其他服务帐号（FTP，数据库）；二进制后门：反向连接型普通后门；动态链接库后门；配置型后门：隐藏账号和克隆帐号网页型后门：webshell可疑文件分析隐藏账号形如hack$的隐藏账号，不能使用net user查看账户后门可疑进程二进制后门可疑端口和服务二进制后门启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

13、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicieesRun回收站根目录下隐藏的Recycler目录用户删除的文件在以其自身SID为基础命名的子目录中临时文件夹C:Documents and SettingsDefault UserLocal Settingstemp计划任务使用at命令查看文件后门曾经存在的帐户HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo

14、ws NTCurrentVersionProfileList曾经安装过的软件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall操作记录分析4）数据泄露事件响应与分析信息泄露安全事件2011年北京市7万高考生个人信息网上被叫卖，考生以及家长电话、住址、姓名等隐私信息被网上售卖。市教委工作人员表示，曾多次要求学校保护学生及家长的隐私，不排除是黑客窃取了考生信息。38数据泄露事件分析过程分析过程，类似篡改事件日志分析可疑账户分析可疑文件分析判断攻击者获取数据的攻击来源、尝试方法等还需要什么? 漏洞检测39漏洞检测 11）

15、 弱口令检测网站系统、操作系统、数据库系统是否存在弱口令或者可进行口令暴力破解2） 网站系统漏洞检测网站系统是否存在SQL注入漏洞数据库文件是否可绕过验证通过网站访问获取网站系统是否存在命令执行、任意文件遍历、文件上传等漏洞40漏洞检测 23） 主机漏洞检测操作系统是否存在严重漏洞主机是否与其他系统有网络隔离，是否可通过网络嗅探的方式获得数据数据库系统是否存在严重漏洞数据库系统是否可由任意地址远程连接415）日志安全分析实战上机实验-日志安全分析实战实验目标：了解对网站攻击安全事件进行日志分析的方法获取攻击者的攻击路径、利用方式、上传木马等信息实验环境：客户端主机：Windows Xp 服务端主机：windows server 2003/2008WEB中间件：IIS工具：无43实验步骤查看IIS属性，打开IIS日志文件夹打开最近日期的IIS日志查找