QuentinRSmith/Incident-Response-Process
GitHub: QuentinRSmith/Incident-Response-Process
Stars: 1 | Forks: 0
# 事件响应流程
本项目展示了我在 Tryhackme 中经历事件响应流程的过程,并展示了我对相关材料的理解。
# 简介
在本项目中,我将扮演事件响应团队 (IRT) 成员的角色,负责管理一台可能已遭入侵的 Windows 工作站上发生的事件。
# 什么是事件响应?
事件响应是制定应对网络威胁、安全漏洞、网络攻击等的流程。所有这些工作都是为了防止损害和/或减轻可能威胁个人或组织的攻击。
组织在建立事件响应计划时,会使用诸如 NIST(美国国家标准与技术研究院)和 SANS(系统管理、审计、网络与安全)等框架。
NIST 框架包含 4 个阶段:
1. **准备**:建立和维护事件响应能力。
2. **检测与分析**:识别并理解事件的范围和影响。
3. **遏制、根除与恢复**:限制事件影响,消除威胁,并恢复正常运营。
4. **事后活动**:审查并改进事件响应流程和文档。
SANS 框架包含 6 个阶段:准备、识别、遏制、根除、恢复和经验教训。
这两个框架在全球范围内被广泛用作应对所面临威胁的行动指南。
# 检测与分析
以下是我们将在本实验中处理的场景:
用户联系了 IT 团队,报告其笔记本电脑开始运行异常,速度变得极慢,以至于影响了他的正常工作。用户无法精确指出电脑突然变慢时他正在做什么。他只是像往常一样在浏览网页和处理一些文档。他尝试重启机器,但性能仍然非常低下。
IT 团队检查了机器的资源,发现即使在关闭所有正在运行的应用程序后,CPU 使用率仍然异常高。怀疑可能发生事件,IT 团队已将工单升级给 SOC 团队。
SOC 团队验证后发现,该工作站在 SIEM 或 EDR 平台上未触发任何警报。我们识别出的唯一异常现象是,来自工作站 IP 的某些出站连接出现在边界防火墙上。这些连接每秒发生一次,并且都指向相同的目标 IP。这些连接未被防火墙阻止。我们已询问用户,但用户不承认这些连接尝试。
升级给事件响应团队。
步骤 1:
首先,我启动虚拟机:
**注意** 组织部署检测/监控系统(如 SIEM (安全信息和事件管理)、IDS (入侵检测系统) 和 EDR (端点检测与响应) 解决方案)至关重要,这有助于他们主动识别其基础设施内的任何潜在威胁。
步骤 2:分析
现在我们将调查此进程。
我们看到该文件的位置在一个临时文件夹中。这对于恶意软件来说非常常见,而对于合法软件来说则极为罕见。这看起来更像是某种类型的恶意软件,但我们会进一步调查。
我们需要可疑进程的 PID(进程 ID),在任务管理器中查看后,我们发现 PID 是:3228
接下来,我们将打开命令提示符,使用我们找到的 ID 进一步调查,命令如下:`netstat -aofn | find "3228"`
现在我们已经找到了一个指向可疑 IP 和随机目标端口的出站连接尝试。这进一步加深了我们的怀疑,这可能是恶意软件尝试联系命令与控制 (C2) 服务器以传输挖矿数据(如果是加密货币挖矿程序)或获取进一步指令。
这个 IP 和端口的组合是一个有用的入侵指标 (IoC)。有了它,我们可以执行各种操作。例如:
- 立即在组织的前端防火墙上用规则阻止该 IP,以防止与 C2 通信。
- 在组织的网络流量日志中搜索该 IP,以寻找组织基础设施内其他感染该恶意软件的实例。
- 将 IoC 输入到 SIEM 的监控规则中,以便主动检测未来来自相同恶意软件的任何感染。
识别访问向量至关重要,因为它揭示了必须修复的特定入口点。
大多数工作站入侵源于用户操作,例如点击网络钓鱼链接、打开恶意附件或访问被入侵的网站——这突显了每个组织固有的人员安全漏洞。
考虑到这一点,我们可以回顾 IT 团队关于用户行为的报告。
我们现在将查看下载历史记录,以找出此恶意软件是如何进入电脑的根源。
现在我们将打开该文件以查看更多信息。
该文档很可疑:它包含一个指向不存在网页的链接,并且其 .docm 扩展名表明其中嵌入了宏。然而,Word 没有显示任何宏警告,这表明其中存在的任何宏都设置为自动运行,并且很可能在用户打开文件时就已经执行。
让我们进一步调查宏:
上面屏幕截图中突出显示的两行指令应该引起我们的注意,因为它们都包含了我们识别为正在消耗机器 CPU 资源的挖矿程序的可执行文件名。
我们可以逐行审查宏以确定其行为。即使没有深厚的 VBA 知识,快速搜索不熟悉的命令也足够了——我们的目标不是成为程序员,而是识别攻击者的行为,以便我们可以减轻威胁。
第一行定义了一个名为 `AutoOpen` 的宏,它会在文档打开时自动执行。
接下来的三行使用 `Dim` 声明了三个 `String` 类型的变量;随后的指令为这三个变量赋值。
接下来的行将下载 URL 赋值给 `strURL`,而 `strFilePath` 则通过将系统临时目录(通过 `Environ("TEMP")`)与攻击者选择的文件名组合而成。
下一条指令为 `cmd` 构建一个命令字符串,使用 `certutil` 从 `strURL` 下载文件到 `strFilePath`。
Certutil 是一个用于证书管理的合法 Windows 实用程序,这使其成为一种有效的隐蔽下载方法。因为它是内置的、受信任的,并且通常可以通过安全控制,所以它避免触发许多防病毒工具,并能融入正常的管理活动中。
接下来的指令在隐藏窗口 (`vbHide`) 中运行下载命令,允许在不向用户显示命令提示符的情况下检索文件。经过 10 秒延迟(由宏的 `Wait` 函数处理)后,下载的文件随后再次在隐藏窗口中执行。
宏的最后一步是构建并运行一个命令,该命令在 `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 下添加一个注册表项,确保下载的文件在每次用户登录时启动。这通过强制可执行文件在启动时运行来建立持久性。
Windows 注册表存储系统和应用程序的配置数据,而 Run 键常被恶意软件滥用以实现重启后的持久性。虽然深入探讨注册表超出了本实验的范围,但有抱负的事件响应者应该熟悉这些键如何被使用和滥用。
宏行为回顾:
- `AutoOpen` 宏在文档打开时自动运行。
- 它首先检查是否有匹配恶意软件名称的进程正在运行;如果有,则退出。
- 如果没有,它使用 `certutil` 从指定的 URL 将恶意软件下载到系统的临时目录。
- 然后,它通过隐藏的命令提示符静默执行恶意软件。
- 最后,它通过将恶意软件添加到 Run 注册表项来建立持久性,确保它在每次用户登录时启动——即使是在重启之后。
# 遏制、根除与恢复
既然我们已经分析了恶意软件并了解了感染向量,我们就可以进行事件响应流程的下一步:遏制影响、根除威胁并恢复受害者的机器。
遏制:
我们现在可以通过右键单击任务管理器中的恶意进程并选择“结束任务”来终止它,以阻止其消耗系统资源。
然而,响应者必须避免只关注受感染的工作站。这个阶段的目标是遏制整个组织的威胁,而不仅仅是修复单个受损机器。
现在是时候汇编所有收集到的 IoC,并使用 SIEM、EDR 和网络工具在全组织范围内进行扫描,以识别任何其他受损主机。在这种情况下,关键的 IoC 是:
- C2 服务器的 IP 和端口
- 用于下载恶意文档的 URL
- 宏中用于获取恶意软件的嵌入 URL
- 恶意软件可执行文件的哈希值
在环境中搜索这些 IoC 有助于发现其他感染,同时将它们输入监控工具(例如,将哈希值添加到 EDR 阻止列表,或为 URL 和 C2 IP 创建 SIEM 规则)可以防止未来的再次感染。
根除与恢复
最重要的是,通过恢复 Run 注册表项确保没有持久性残留。打开 `regedit`,然后导航到:
`计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`
我们将看到一个配置为在登录时自动运行的所有应用程序和进程的列表。要删除持久性,我们可以选择包含我们挖矿程序的值,然后右键单击 > 选择“删除”。
通过这些操作,假设对可执行文件的恶意软件分析没有发现任何其他持久性机制或恶意软件释放的 artifacts,该机器就已恢复到干净状态。
事后活动:
事后阶段对于加强未来的响应工作至关重要。它侧重于审查事件、记录经验教训,并用这些见解更新事件响应计划。这个持续改进过程有助于提高组织的准备状态和整体安全态势。
回到准备阶段:
准备阶段是 NIST 和 SANS 事件响应生命周期的基础,但常常被低估。其核心目的是建立一个坚实的事件响应计划 (IRP),确保组织准备好有效处理安全事件。
每次事件之后,事后审查获得的见解应用于更新和加强准备阶段创建的事件响应计划。
在我们的场景中,建议的改进包括:
- 部署能够检测加密货币挖矿程序和恶意宏等威胁的 EDR 解决方案
- 实施网页浏览控制,阻止访问不安全的网站
- 通过强制培训提高员工对启用宏的文件和可疑链接的意识
- 评估阻止宏执行的策略,确保不会干扰合法的业务需求
# 结论
总之,我们了解到掌握事件响应流程对于保护组织的数字资产以及确保在面对网络威胁时的业务连续性至关重要。
NIST 事件响应生命周期,包含准备、检测与分析、遏制/根除与恢复以及事后活动等阶段,为有效管理和缓解事件提供了一个全面的框架。从每个阶段(特别是事后活动)获得的关键见解,必须重新整合到准备阶段,以持续改进事件响应计划 (IRP)。
**注意** 组织部署检测/监控系统(如 SIEM (安全信息和事件管理)、IDS (入侵检测系统) 和 EDR (端点检测与响应) 解决方案)至关重要,这有助于他们主动识别其基础设施内的任何潜在威胁。
步骤 2:分析
现在我们将调查此进程。
我们看到该文件的位置在一个临时文件夹中。这对于恶意软件来说非常常见,而对于合法软件来说则极为罕见。这看起来更像是某种类型的恶意软件,但我们会进一步调查。
我们需要可疑进程的 PID(进程 ID),在任务管理器中查看后,我们发现 PID 是:3228
接下来,我们将打开命令提示符,使用我们找到的 ID 进一步调查,命令如下:`netstat -aofn | find "3228"`
现在我们已经找到了一个指向可疑 IP 和随机目标端口的出站连接尝试。这进一步加深了我们的怀疑,这可能是恶意软件尝试联系命令与控制 (C2) 服务器以传输挖矿数据(如果是加密货币挖矿程序)或获取进一步指令。
这个 IP 和端口的组合是一个有用的入侵指标 (IoC)。有了它,我们可以执行各种操作。例如:
- 立即在组织的前端防火墙上用规则阻止该 IP,以防止与 C2 通信。
- 在组织的网络流量日志中搜索该 IP,以寻找组织基础设施内其他感染该恶意软件的实例。
- 将 IoC 输入到 SIEM 的监控规则中,以便主动检测未来来自相同恶意软件的任何感染。
识别访问向量至关重要,因为它揭示了必须修复的特定入口点。
大多数工作站入侵源于用户操作,例如点击网络钓鱼链接、打开恶意附件或访问被入侵的网站——这突显了每个组织固有的人员安全漏洞。
考虑到这一点,我们可以回顾 IT 团队关于用户行为的报告。
我们现在将查看下载历史记录,以找出此恶意软件是如何进入电脑的根源。
现在我们将打开该文件以查看更多信息。
该文档很可疑:它包含一个指向不存在网页的链接,并且其 .docm 扩展名表明其中嵌入了宏。然而,Word 没有显示任何宏警告,这表明其中存在的任何宏都设置为自动运行,并且很可能在用户打开文件时就已经执行。
让我们进一步调查宏:
上面屏幕截图中突出显示的两行指令应该引起我们的注意,因为它们都包含了我们识别为正在消耗机器 CPU 资源的挖矿程序的可执行文件名。
我们可以逐行审查宏以确定其行为。即使没有深厚的 VBA 知识,快速搜索不熟悉的命令也足够了——我们的目标不是成为程序员,而是识别攻击者的行为,以便我们可以减轻威胁。
第一行定义了一个名为 `AutoOpen` 的宏,它会在文档打开时自动执行。
接下来的三行使用 `Dim` 声明了三个 `String` 类型的变量;随后的指令为这三个变量赋值。
接下来的行将下载 URL 赋值给 `strURL`,而 `strFilePath` 则通过将系统临时目录(通过 `Environ("TEMP")`)与攻击者选择的文件名组合而成。
下一条指令为 `cmd` 构建一个命令字符串,使用 `certutil` 从 `strURL` 下载文件到 `strFilePath`。
Certutil 是一个用于证书管理的合法 Windows 实用程序,这使其成为一种有效的隐蔽下载方法。因为它是内置的、受信任的,并且通常可以通过安全控制,所以它避免触发许多防病毒工具,并能融入正常的管理活动中。
接下来的指令在隐藏窗口 (`vbHide`) 中运行下载命令,允许在不向用户显示命令提示符的情况下检索文件。经过 10 秒延迟(由宏的 `Wait` 函数处理)后,下载的文件随后再次在隐藏窗口中执行。
宏的最后一步是构建并运行一个命令,该命令在 `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 下添加一个注册表项,确保下载的文件在每次用户登录时启动。这通过强制可执行文件在启动时运行来建立持久性。
Windows 注册表存储系统和应用程序的配置数据,而 Run 键常被恶意软件滥用以实现重启后的持久性。虽然深入探讨注册表超出了本实验的范围,但有抱负的事件响应者应该熟悉这些键如何被使用和滥用。
宏行为回顾:
- `AutoOpen` 宏在文档打开时自动运行。
- 它首先检查是否有匹配恶意软件名称的进程正在运行;如果有,则退出。
- 如果没有,它使用 `certutil` 从指定的 URL 将恶意软件下载到系统的临时目录。
- 然后,它通过隐藏的命令提示符静默执行恶意软件。
- 最后,它通过将恶意软件添加到 Run 注册表项来建立持久性,确保它在每次用户登录时启动——即使是在重启之后。
# 遏制、根除与恢复
既然我们已经分析了恶意软件并了解了感染向量,我们就可以进行事件响应流程的下一步:遏制影响、根除威胁并恢复受害者的机器。
遏制:
我们现在可以通过右键单击任务管理器中的恶意进程并选择“结束任务”来终止它,以阻止其消耗系统资源。
然而,响应者必须避免只关注受感染的工作站。这个阶段的目标是遏制整个组织的威胁,而不仅仅是修复单个受损机器。
现在是时候汇编所有收集到的 IoC,并使用 SIEM、EDR 和网络工具在全组织范围内进行扫描,以识别任何其他受损主机。在这种情况下,关键的 IoC 是:
- C2 服务器的 IP 和端口
- 用于下载恶意文档的 URL
- 宏中用于获取恶意软件的嵌入 URL
- 恶意软件可执行文件的哈希值
在环境中搜索这些 IoC 有助于发现其他感染,同时将它们输入监控工具(例如,将哈希值添加到 EDR 阻止列表,或为 URL 和 C2 IP 创建 SIEM 规则)可以防止未来的再次感染。
根除与恢复
最重要的是,通过恢复 Run 注册表项确保没有持久性残留。打开 `regedit`,然后导航到:
`计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`
我们将看到一个配置为在登录时自动运行的所有应用程序和进程的列表。要删除持久性,我们可以选择包含我们挖矿程序的值,然后右键单击 > 选择“删除”。
通过这些操作,假设对可执行文件的恶意软件分析没有发现任何其他持久性机制或恶意软件释放的 artifacts,该机器就已恢复到干净状态。
事后活动:
事后阶段对于加强未来的响应工作至关重要。它侧重于审查事件、记录经验教训,并用这些见解更新事件响应计划。这个持续改进过程有助于提高组织的准备状态和整体安全态势。
回到准备阶段:
准备阶段是 NIST 和 SANS 事件响应生命周期的基础,但常常被低估。其核心目的是建立一个坚实的事件响应计划 (IRP),确保组织准备好有效处理安全事件。
每次事件之后,事后审查获得的见解应用于更新和加强准备阶段创建的事件响应计划。
在我们的场景中,建议的改进包括:
- 部署能够检测加密货币挖矿程序和恶意宏等威胁的 EDR 解决方案
- 实施网页浏览控制,阻止访问不安全的网站
- 通过强制培训提高员工对启用宏的文件和可疑链接的意识
- 评估阻止宏执行的策略,确保不会干扰合法的业务需求
# 结论
总之,我们了解到掌握事件响应流程对于保护组织的数字资产以及确保在面对网络威胁时的业务连续性至关重要。
NIST 事件响应生命周期,包含准备、检测与分析、遏制/根除与恢复以及事后活动等阶段,为有效管理和缓解事件提供了一个全面的框架。从每个阶段(特别是事后活动)获得的关键见解,必须重新整合到准备阶段,以持续改进事件响应计划 (IRP)。标签:Conpot, GPT, meg, NIST框架, osquery, SANS框架, Tryhackme, URL发现, Windows安全, 事件管理, 事后审查, 信息安全, 入侵分析, 威胁处理, 安全培训, 安全恢复, 安全检测, 实验室演练, 漏洞管理, 网络威胁, 网络安全, 运维安全, 隐私保护