应急响应

演讲者: Piaca
乌云白帽子

为什么要做应急响应

  • 保障业务
  • 还原攻击
  • 明确意图
  • 解决方案
  • 查漏补缺: 一通百通
  • 司法途径

怎么做应急响应

  • 确定攻击时间: 通过时间来缩小范围
  • 查找攻击线索
  • 梳理攻击流程
  • 实施解决方案
  • 定位攻击人,取证: 留下的痕迹,无论什么痕迹

为什么要反渗透

  • 被动变主动

案例

1. 账号被盗

现象: 发出了test,还有@乌云说乌云测试

分析原因

  • 非工作人员操作
  • 账号被cookie登陆
  • 可能是cookie有httponly

操作

  1. 查看工作人员的访问路径
  2. 还原攻击,修复漏洞,修复类似漏洞,对工作人员做安全培训

2. 500错误日志引发的血案

还原攻击

  • 通过日志确认入侵途径是tomcat
  • 做了一些操作

操作

  • 大多是肉鸡IP,香港,廊坊: 并入侵进行清理,调查

3. DNS/链路劫持

插入js文件,劫持的时候可以获得输入的用户名密码
插入广告

处理过程

定位劫持位置:
  • TTL
  • IP
投诉到运营商

手段

  • 完善监控
  • https?

总结

  • 业务角度: 保障业务优先
  • 对抗角度: 了解对手
  • 技术角度: 攻击技术;日志、流量等数据


应急响应
https://blog.dreamtobe.cn/2015/07/17/wh_emergency/
作者
Jacksgong
发布于
2015年7月17日
许可协议