应急响应

演讲者: Piaca
乌云白帽子

为什么要做应急响应

• 保障业务
• 还原攻击
• 明确意图
• 解决方案
• 查漏补缺: 一通百通
• 司法途径

怎么做应急响应

• 确定攻击时间: 通过时间来缩小范围
• 查找攻击线索
• 梳理攻击流程
• 实施解决方案
• 定位攻击人，取证: 留下的痕迹，无论什么痕迹

为什么要反渗透

• 被动变主动

案例

1. 账号被盗

现象: 发出了test，还有@乌云说乌云测试

分析原因

• 非工作人员操作
• 账号被cookie登陆
• 可能是cookie有httponly

操作

1. 查看工作人员的访问路径
2. 还原攻击，修复漏洞，修复类似漏洞，对工作人员做安全培训

2. 500错误日志引发的血案

还原攻击

• 通过日志确认入侵途径是tomcat
• 做了一些操作

操作

• 大多是肉鸡IP，香港，廊坊: 并入侵进行清理，调查

3. DNS/链路劫持

插入js文件，劫持的时候可以获得输入的用户名密码
插入广告

处理过程

定位劫持位置:

• TTL
• IP

投诉到运营商

手段

• 完善监控
• https?

总结

• 业务角度: 保障业务优先
• 对抗角度: 了解对手
• 技术角度: 攻击技术；日志、流量等数据

---