在攻防演練保障期間,一線工程師在實(shí)施主機(jī)入侵痕跡排查服務(wù)時(shí)可能面臨時(shí)間緊、任務(wù)急、需要排查的主機(jī)數(shù)量眾多情況。為了確保實(shí)施人員在有限的時(shí)間范圍內(nèi),可以高效且保證質(zhì)量的前提下完成主機(jī)入侵痕跡排查工作,本人總結(jié)了自己的一些經(jīng)驗(yàn),下面的內(nèi)容特此分享主機(jī)入侵痕跡排查服務(wù)中重點(diǎn)、關(guān)鍵的排查項(xiàng),僅作為參考使用。
1、初步篩選排查資產(chǎn)
一般情況下,客戶資產(chǎn)都比較多,想要對(duì)所有的資產(chǎn)主機(jī)進(jìn)行入侵痕跡排查基本不太現(xiàn)實(shí),等你全部都排查完了,攻擊者該做的事早就做完了,想要的目的也早就達(dá)到了。那么針對(duì)客戶資產(chǎn)量大的情況,我們應(yīng)該怎么處理?
首先,在排查前,作為項(xiàng)目經(jīng)理,應(yīng)該與客戶溝通好,取得授權(quán),確認(rèn)排查范圍和排查方案和辦法,客戶若是沒有授意或者同意,那么下面的操作都是違規(guī)操作,甚至有的還違法。
取得客戶同意后,我們?cè)購馁Y產(chǎn)面臨的風(fēng)險(xiǎn)等級(jí)、資產(chǎn)的重要程度、攻擊者的攻擊思路、手法及目標(biāo)選擇傾向幾個(gè)方面去初步篩選出排查資產(chǎn)。這里建議從以下資產(chǎn)范圍選取:
①曾失陷資產(chǎn):在以前的紅藍(lán)對(duì)抗、攻防演練、或者真實(shí)的黑客攻擊事件中被攻陷的主機(jī),曾失陷資產(chǎn)應(yīng)作為排查的重點(diǎn)對(duì)象。
②互聯(lián)網(wǎng)暴露脆弱資產(chǎn):從互聯(lián)網(wǎng)暴露資產(chǎn)中篩選出使用了高危漏洞頻發(fā)的組件/應(yīng)用(組件如Weblogic、JBoss、Fastjson、Shiro、Struts2等)。還有一個(gè)點(diǎn)需要注意,就是客戶是否具有有效的資產(chǎn)管理,是否能夠清晰明確識(shí)別出哪些資產(chǎn)用了什么組件,如果不能的話,只能通過之前的滲透測試結(jié)果來篩選出脆弱資產(chǎn)。
③關(guān)鍵資產(chǎn):如域控等可以導(dǎo)致大量主機(jī)失陷的集權(quán)類資產(chǎn)。
2、確定排查資產(chǎn)
主機(jī)入侵痕跡排查工作建議在一周內(nèi)對(duì)數(shù)量控制在20臺(tái)以內(nèi)的主機(jī)進(jìn)行排查。經(jīng)過初步篩選的資產(chǎn)數(shù)量如果遠(yuǎn)遠(yuǎn)大于20臺(tái)主機(jī),需要從資產(chǎn)里面進(jìn)行二次篩選,如果存在曾失陷資產(chǎn),排查主機(jī)范圍可以定為曾失陷資產(chǎn);如果不存在曾失陷資產(chǎn),排查主機(jī)范圍可以定為脆弱資產(chǎn),具體可以根據(jù)客戶自身實(shí)際情況調(diào)整。
需要注意是,如果排查資產(chǎn)中包含曾失陷資產(chǎn)的話,需要向客戶索要?dú)v史攻防演練/應(yīng)急等報(bào)告,在排查時(shí)需結(jié)合歷史報(bào)告和指導(dǎo)手冊(cè)內(nèi)容一起進(jìn)行排查,需要特別留意歷史報(bào)告中攻擊者的入侵痕跡是否已經(jīng)完全清理。
3、入侵痕跡排查
在實(shí)際情況下,攻擊者在進(jìn)行攻擊時(shí)使用的攻擊手法、攻擊思路、行為等各有差異,無論是考慮實(shí)現(xiàn)成本還是效率問題,都難以通過很精細(xì)很全面的排查項(xiàng)去實(shí)施主機(jī)入侵痕跡排查,但是我們可以從攻擊中可能會(huì)產(chǎn)生的一些比較共性的行為特征、關(guān)鍵的項(xiàng)進(jìn)行排查。
對(duì)于主機(jī)的入侵痕跡排查,主要從網(wǎng)絡(luò)連接、進(jìn)程信息、后門賬號(hào)、計(jì)劃任務(wù)、登錄日志、自啟動(dòng)項(xiàng)、文件等方面進(jìn)行排查。比如,如果存在存活后門,主機(jī)可能會(huì)向C2發(fā)起網(wǎng)絡(luò)連接,因此可以從網(wǎng)絡(luò)連接排查入手,如果存在異常的網(wǎng)絡(luò)連接,則必然說明存在惡意的進(jìn)程正在運(yùn)行,則可以通過網(wǎng)絡(luò)連接定位到對(duì)應(yīng)進(jìn)程,再根據(jù)進(jìn)程定位到惡意文件。如果攻擊者企圖維持主機(jī)控制權(quán)限的話,則可能會(huì)通過添加后門賬號(hào)、修改自啟動(dòng)項(xiàng),或者添加計(jì)劃任務(wù)等方式來維持權(quán)限,對(duì)應(yīng)的我們可以通過排查賬號(hào)、自啟動(dòng)項(xiàng)、計(jì)劃任務(wù)來發(fā)現(xiàn)相應(yīng)的入侵痕跡。