应急响应
演讲者: Piaca
乌云白帽子
为什么要做应急响应
- 保障业务
- 还原攻击
- 明确意图
- 解决方案
- 查漏补缺: 一通百通
- 司法途径
怎么做应急响应
- 确定攻击时间: 通过时间来缩小范围
- 查找攻击线索
- 梳理攻击流程
- 实施解决方案
- 定位攻击人,取证: 留下的痕迹,无论什么痕迹
为什么要反渗透
- 被动变主动
案例
1. 账号被盗
现象: 发出了test,还有@乌云说乌云测试
分析原因
- 非工作人员操作
- 账号被cookie登陆
- 可能是cookie有httponly
操作
- 查看工作人员的访问路径
- 还原攻击,修复漏洞,修复类似漏洞,对工作人员做安全培训
2. 500错误日志引发的血案
还原攻击
- 通过日志确认入侵途径是tomcat
- 做了一些操作
操作
- 大多是肉鸡IP,香港,廊坊: 并入侵进行清理,调查
3. DNS/链路劫持
插入js文件,劫持的时候可以获得输入的用户名密码
插入广告
处理过程
定位劫持位置:
- TTL
- IP
投诉到运营商
手段
- 完善监控
- https?
总结
- 业务角度: 保障业务优先
- 对抗角度: 了解对手
- 技术角度: 攻击技术;日志、流量等数据
应急响应
https://blog.dreamtobe.cn/2015/07/17/wh_emergency/