服务器攻击取证和应急响应的一些经验分享

         Btw的服务是什么?是这个 execute bat这个,我们之前不是说过了,可以获取到什么,可以获取到域控的域管理员的这个哈希值,那么这个程序是以什么样的模式去启动的?用户服务模式去进行启动的。再往下我们配合杀软这个杀毒软件,一些比较主流的杀毒软件,好用的一些或者是公司内部的,再结合一些工具就定位到了其他的黑客工具,那么像杀软的话就像这个 Everything,杀软这些是工具,你像探测用户目录, c盘登录的这些地方都是攻击者,比较爱存放黑客工具的一些地方,那么你看我们就又定位到了什么?又定位了这个 Service,他又把这个爆破的工具,它不仅放在了0.188上面,它还放到我们的这个 OA上面,是不是?然后时间是几点?时间是5月20号的4:57,那57分看c盘用户下面一个,这些就是我们0.0.18这台OA所排查到的一些其他的东西。

好,那么在这里有个疑问要给大家讲一下,为什么在这个部分,没有攻击路径总结?这个是因为OA是受害者,是被攻击的对象,在设备没有传出该机子攻击其他的行为时,也就是我们的监测设备并没有去给我们告警,通过横向攻击的方式去攻击其他的内网,我们只需要对该机子去做取证和应急和恢复的工作就可以了。

如果你非要去排查,也不是不可以,但是这个时间消耗很大。你不能说他被感染了是吧?我要一定要去还原攻击者的一个实际攻击路径,不是这样子的,我们是没有办法百分之百的去还原攻击者的一个实际攻击路径的。懂了没有,我们只能是通过在有限的信息和经验以及这个头脑风暴,去进一步的去确定他到底做哪些事情。所以说在这个地方是没有攻击总结的。

这里,我就是要告诉大家,如果在安全监测设备上面没有告警,你排查了这台感染的主机,他有攻击其他人的行为的时候,你只需要去对他做取证,也就是攻击者真正对这这一台受害者攻击的证明,以及对它一个应急响应和恢复的一个工作以外,其他的都可以暂时不用做。

我们要来思考,这个攻击者他传个工具,他就有可能执行吗?他就有可能的对其他的内网服务器发起攻击吗?他要发起攻击,他要知道目标,对不对?那么他有执行这些工具吗?有没有相关的东西留下来给到你,可以说是从侧面的证明,他执行过这个工具,得到了其他的内网信息,然后开始了攻击。都没有的话,你不可能凭空的去猜。

所以通常来说,在安全设备没有直接告诉你,我第三次说了,在安全设备上没有直接告诉你,他做了其他其他横向攻击行为的时候,只需要去做取证和应急恢复的工作就可以了。还有一点,这台服务器既然可以被这个攻击者去被感染。那么当真正的攻击者来临的时候,这台机子安全吗?它也不安全,对不对?所以说我们还要去根据当前这台OA,他对客户的业务里面是否重要的一个程度,我们还去决定是否需要去重做系统。

分享: