《网络安全应急事件响应指导手册.docx》由会员分享,可在线阅读,更多相关《网络安全应急事件响应指导手册.docx(44页珍藏版)》请在金锄头文库上搜索。
1、网络安全应急事件响应指导手册目录一、 说明5二、 第1章 勒索病毒5一状态判断5(一)电脑桌面被篡改5(二)文件后缀被篡改6(三)业务系统无法访问6(四)安全设备告警7二响应措施及应急处理流程7(一)隔离受感染的主机7(二)工作环境风险排除7(三)寻求专业的安全解决方案8(四)恢复系统9三应避免的错误处置行为10(一)使用移动存储设备10(二)读写中招主机上的磁盘件10四防治建议10(一)增强安全意识10(二)增加口令强度10(三)修复系统/应用漏洞10(四)端口管理11五应急实例11(一)Sage11三、 第2章 挖矿木马13一状态判断13(一)CPU使用率过高13(二)检测到异常外联13二
2、响应措施及应急处理流程13(一)隔离受感染的主机13(二)清除木马及相关文件13(三)工作环境风险排除13三防治建议14(一)增强安全意识14(二)增加口令强度14(三)修复系统/应用漏洞14(四)端口管理14(五)防护软件14四应急实例14(一)挖矿病毒一14(二)挖矿病毒二17四、 第3章 暴力破解21一状态判断21(一)FTP暴力破解21(二)SSH暴力破解21(三)RDP暴力破解21二响应措施及应急处理流程21(一)登录账号口令检查21(二)服务转移或关闭21(三)安全日志审查21三防治建议22四应急实例22(一)FTP暴力破解22(二)SSH暴力破解26五、 第4章 植入后门29一状
3、态判断29(一)内容篡改29(二)异常进程/任务29(三)安全日志巡检29(四)系统信息查看29二响应措施及应急处理流程29(一)文件分析29(二)进程分析29(三)日志信息分析30(四)账户相关性检查30三防治建议30四应急实例30(一)网站被植入Webshell30六、 第5章 劫持篡改34一状态判断34(一)DNS劫持34(二)http劫持34(三)网站内容劫持篡改34(四)搜索引擎劫持34二相应措施及应急处理流程34(一)网站劫持34(二)搜索引擎劫持34(三)网站内容被篡改34三防治建议35四应急实例35(一)新闻源网站劫持35(二)搜索引擎劫持37(三)网站首页被篡改38(四)管理
4、员账号被篡改41七、 第6章 证据固定42一日志记录43二规则/配置文件43三网络流量包43四DNS解析记录43五*恶意文件(需特别注意)43八、 第7章 相关资料44一、 说明本手册包含了勒索病毒、挖矿木马、暴力破解、后门植入以及劫持篡改五类常见应急事件的判断方法和处置措施,安全运维人员在遭遇上述事件时可参考使用。二、 第1章 勒索病毒勒索病毒,攻击者利用各种加密算法对数据文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。主要以邮件、程序木马、网页挂马等形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失,是近年来流行的病毒类型之一,主要有以下几种类型
5、: 对被攻击机器内的文件进行加密 对磁盘分区直接加密 劫持操作系统引导区,禁止用户正常登录操作系统一 状态判断(一) 电脑桌面被篡改计算机感染勒索病毒后,攻击者会在系统明显位置如桌面上留下标记,通常会出现新的文本/网页文件用于说明如何解密的信息。或直接更改桌面壁纸,显示勒索提示信息及解密联系方式,引导被攻击者交赎金。(二) 文件后缀被篡改勒索病毒一般会通过修改被加密文件的原始后缀来标识被其加密过的文件。被修改后的文件后缀通常为勒索病毒的名称或代表标志,如:l Satan勒索常见后缀:.satan、.sick、.evopro等l Sacrab勒索常见后缀:.krab、.Sacrab、.bombe
6、r、.Crash等l Matrix勒索常见后缀:.GRHAN、.PRCP、.SPCT、.PEDANT等l GANDCRAB勒索常见后缀:CRAB、.GRAB、KRAB、随机字母等(三) 业务系统无法访问于企业而言,勒索病毒的攻击目标自2018年开始不再局限于核心业务文件,企业的服务器及业务系统成为了攻击者的攻击目标。感染企业关键系统、破坏企业日常运营,甚至对生产线中难以升级、打补丁的系统和各种硬件进行攻击。但是当业务系统出现无法访问、生产线停产等现象时,并不能完全确定是服务器感染了勒索病毒,也有可能是受到DDoS攻击或是中了其他病毒等原因所致,所以还需要结合前面的特征来判断。(四) 安全设备告
7、警部分安全软件/设备可支持勒索病毒的监测,可通过告警来判断。二 响应措施及应急处理流程(一) 隔离受感染的主机1. 物理隔离物理隔离常用的操作方法是断网和关机。断网、拔掉网线或禁用网卡,笔记本也要禁用无线网络。2. 逻辑隔离逻辑隔离常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。修改登录密码的主要操作为:首先,立刻修改被感染服务器的登录密码;其次,修改
8、同一局域网下的其他服务器密码;最后,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。对于已经中毒的机器,建议在内网下线处理,后续确认清理病毒完毕确认无风险后才能重新接入网络,避免病毒横向传播导致局域网内其它机器被动染毒。(二) 工作环境风险排除在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。内网其他未中毒的电脑,使用弱口令登录的建议尽快修改,使用由字母、数字和特殊字符组合的复杂
9、密码,并杜绝多台机器使用同一密码,避免攻击者暴力破解成功(企业网管可配置强制使用强壮密码,杜绝使用弱密码登录),具体流程可参考以下部分:1. 检查登录密码是否为弱密码,如:空密码,123456,111111,admin,5201314等。2. 检查是否开启高风险服务、端口,如:212223258013513944344533063389,以及不常见端口号。linux下root权限使用命令:netstat -tnlp;windows下使用命令netstat -ano | findstr LISTENLING,同时使用命令tasklist导出进程列表,找出可疑的正在监听端口对应的进程。终端用户若不
10、使用远程桌面登录服务,建议关闭;局域网内已发生勒索病毒入侵的,可暂时关闭135,139,445,3389,5900端口以减少远程入侵的可能。3. 检查机器防火墙是否开启,在不影响正常办公的情况下,建议开启防火墙。4. 检查机器ipc空连接及默认共享是否开启,windows下使用net share命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现C$D$E$分别代表默认共享出C、D、E盘文件,且在获取到windows ipc$连接权限后,可随意读写。该类共享用不到的情况下,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del等。5. 检查
11、机器是否关闭“自动播放”功能,方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置-管理模板-系统-“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开“运行”,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择“不执行操作”。6. 检查机器安装软件情况,是否有低版本有漏洞软件,如:FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS - FTP/HT
12、TP File Server 2.1.2等。7. 检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁,以防钓鱼、挂马类攻击。8. 检查本机系统补丁是否安装到最新,可使用安全终端提供的漏洞修复功能(三) 寻求专业的安全解决方案在应急自救处置后,建议第一时间联系专业的安全人员寻求帮助,对事件的感染时间、传播方式,感染家族等问题进行排查,进行更进一步的安全补救措施。(四) 恢复系统一 历史备份还原如果事前已经对文件进行了备份,那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,
13、已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。事先进行备份,既是最有效也是成本最低的恢复文件的方式。二 解密工具恢复大部分勒索病毒使用128位密钥的AES(对称加密算法)加密文件,再将AES的密钥使用2048位密钥的RSA(非对称加密算法)加密,通过暴力破解来解密是不科学的,所以通常的解密工具是通过已公开的密钥来解密。而密钥来源有三种途径:l 破解勒索程序得到,前提是勒索程序本身存在漏洞,但此概率极低。l 勒索者对受害人感到愧疚、同情等极端情况而公开密钥。l 执法机构获得勒索者的服务器,同时服务器上存储着密钥且执法机构选择公开。除了付费解
14、密的工具,还可尝试国际刑警组织反勒索病毒网站提供的解密工具:(https:/www.nomoreransom.org/zh/index.html)三 专业人员支付解密勒索病毒的赎金一般为比特币或其他数字货币,数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在:1)统计显示,95%以上的勒索病毒攻击者来自境外,由于语言不通,容易在沟通中产生误解,影响文件的解密。2)数字货币交付需要在特定的交易平台下进行,不熟悉数字货币交易时,容易人财两空。所以,即使支付赎金可以解密,也不建议自行支付赎金。但当数据十分重要且上述其他方法都无法恢复,最终经过综合评判,确定需要支付赎金以尝试解密时,也建议听取安全专家或警方人员的建议以及综合判断,谨慎处置。请联系专业的安全公司或数据恢复公司进行处理,以保证数据能成功恢复。四 重装系统当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。三 应避免的错误处置行为(一) 使用移动存储设备部分勒索病毒具备感染移动设备的能力,此时若在病毒机器上使用移动设备,移动设备也将进一
