【应急响应专题】应急响应方法论
字数 1456 2025-08-24 23:51:18

应急响应方法论 - 专业教学文档

序言

本应急响应方法论是作者基于实践经验归纳总结的一套系统化、抽象化的应急响应框架,不包含具体工具和实现细节,专注于思路和方法论层面。本专题系列文章代表作者个人观点,不具备官方权威性。

0x10 常见应急响应流程

完整应急响应流程图

0x11 响应阶段

1. 判断事件类型

应急响应事件主要分为7类:

  • 大规模沦陷
  • 挖矿病毒
  • 勒索病毒
  • 无文件落地
  • 不死(顽固)马
  • 钓鱼应急响应
  • 数据劫持

注意:实际场景中这些类型常会复合出现,需结合经验判断。

2. 保持第一现场

关键要素:

  • 第一发现人:记录最初发现情况的人员陈述
  • 第一情报:获取最初的事件报告信息
  • 失陷主体/群体:确定受影响的主机/系统范围
  • 主体/群体行为:记录受影响系统的异常行为
  • 失陷环境:保存系统被攻陷时的状态

最佳实践:尽可能对系统和流量进行镜像备份,时间延迟会导致信息失真率增加。

3. 信息收集

核心收集内容:

  • 网络流量数据
  • 系统/应用日志
  • 可疑进程的内存转储
  • 失陷系统完整镜像
  • 恶意软件样本
  • 客户资产清单
  • 相关漏洞测试报告
  • 防御设备日志

注意:确保有合法权限收集这些信息。

0x12 阻断阶段

1. 切断网络

根据业务影响程度采取不同策略:

  • 业务正常运行:选择性切断非关键主机
  • 业务受滞:评估关键路径
  • 业务停摆:全面切断

切断目的:

  • 观察病毒/攻击行为
  • 分析流量特征
  • 阻断内外通信

2. 阻断传播

传播类型:

  • 对内传播:进程注入/迁移、第三方软件感染、服务传播(如FTP/SSH爆破)
  • 对外传播:挖矿行为、外联攻击、C2通信

阻断层面:

  • 软件层面:排查劫持情况
  • 流量层面:分析无文件落地
  • 代码层面:审计内存马
  • 网络层面:阻断服务传播

3. 隔离策略

  • 隔离核心资产:遵循"保护、避害、不损害"三原则
  • 隔离受害主体:保护第一现场,收集攻击者信息

0x13 分析阶段

1. 三大件分析

日志分析要点:

  • 时间:行为起止时间
  • 动作:登录、退出、修改等操作
  • 结果:操作成功/失败、文件传输、代码执行等

流量分析要点:

  • 状态码:每次交互的状态
  • 交互过程:协议合规性
  • 数据合理性:字段填充、流量渲染是否正常

样本分析要点:

  • 启动方式:决定分析工具选择
  • 伪装方式:判断免杀技术
  • 作用:评估影响范围

2. 行为分析与攻击还原

方法:

  • 结合系统表现(启动项、脚本、进程、内存等)
  • 建立威胁模型(SDL)
  • 沙箱复现攻击过程

要求:需具备渗透测试能力,理解攻击手法。

0x14 清除阶段

1. 非对抗情况

  • 极端方案:全盘重装
  • 折中方案:数据迁移后系统盘重装
  • 常规方案:针对性杀进程、删文件、杀毒

2. 对抗情况(顽固马、APT)

  • 优先修补漏洞
  • 再执行清除
  • 需找到攻击源头

0x15 加固阶段

关键措施:

  • 系统补丁更新
  • 系统限制(网络隔离、行为管理)
  • 防御设备升级
  • 完善防御流程:
    • 防御设备部署
    • 人员配置
    • 规则库更新

0x20 应急响应常见场景

各场景分析图

0x30 总结

  1. 核心目标:保护客户核心资产,所有行动围绕"保护、避害、不损害"原则

  2. 现实复杂性:攻击场景常为复合型,需经验判断

  3. 方法论重要性

    • 建立自己的应急方法论
    • 掌握威胁建模能力
    • 结合威胁情报分析
    • 工具辅助现场/远程响应

  4. 效率关键

    • 熟悉各类攻击特征
    • 通过行为特征快速排查

  5. 能力要求:红蓝同源,应急人员需具备渗透能力

参考资料

  1. FreeBuf官方图表
  2. 作者博客:https://www.yuque.com/chenmoshuren/qyxg2k
应急响应方法论 - 专业教学文档 序言 本应急响应方法论是作者基于实践经验归纳总结的一套系统化、抽象化的应急响应框架,不包含具体工具和实现细节,专注于思路和方法论层面。本专题系列文章代表作者个人观点,不具备官方权威性。 0x10 常见应急响应流程 完整应急响应流程图 0x11 响应阶段 1. 判断事件类型 应急响应事件主要分为7类: 大规模沦陷 挖矿病毒 勒索病毒 无文件落地 不死(顽固)马 钓鱼应急响应 数据劫持 注意:实际场景中这些类型常会复合出现,需结合经验判断。 2. 保持第一现场 关键要素: 第一发现人 :记录最初发现情况的人员陈述 第一情报 :获取最初的事件报告信息 失陷主体/群体 :确定受影响的主机/系统范围 主体/群体行为 :记录受影响系统的异常行为 失陷环境 :保存系统被攻陷时的状态 最佳实践:尽可能对系统和流量进行镜像备份,时间延迟会导致信息失真率增加。 3. 信息收集 核心收集内容: 网络流量数据 系统/应用日志 可疑进程的内存转储 失陷系统完整镜像 恶意软件样本 客户资产清单 相关漏洞测试报告 防御设备日志 注意 :确保有合法权限收集这些信息。 0x12 阻断阶段 1. 切断网络 根据业务影响程度采取不同策略: 业务正常运行:选择性切断非关键主机 业务受滞:评估关键路径 业务停摆:全面切断 切断目的: 观察病毒/攻击行为 分析流量特征 阻断内外通信 2. 阻断传播 传播类型: 对内传播 :进程注入/迁移、第三方软件感染、服务传播(如FTP/SSH爆破) 对外传播 :挖矿行为、外联攻击、C2通信 阻断层面: 软件层面:排查劫持情况 流量层面:分析无文件落地 代码层面:审计内存马 网络层面:阻断服务传播 3. 隔离策略 隔离核心资产 :遵循"保护、避害、不损害"三原则 隔离受害主体 :保护第一现场,收集攻击者信息 0x13 分析阶段 1. 三大件分析 日志分析要点: 时间:行为起止时间 动作:登录、退出、修改等操作 结果:操作成功/失败、文件传输、代码执行等 流量分析要点: 状态码:每次交互的状态 交互过程:协议合规性 数据合理性:字段填充、流量渲染是否正常 样本分析要点: 启动方式:决定分析工具选择 伪装方式:判断免杀技术 作用:评估影响范围 2. 行为分析与攻击还原 方法: 结合系统表现(启动项、脚本、进程、内存等) 建立威胁模型(SDL) 沙箱复现攻击过程 要求:需具备渗透测试能力,理解攻击手法。 0x14 清除阶段 1. 非对抗情况 极端方案:全盘重装 折中方案:数据迁移后系统盘重装 常规方案:针对性杀进程、删文件、杀毒 2. 对抗情况(顽固马、APT) 优先修补漏洞 再执行清除 需找到攻击源头 0x15 加固阶段 关键措施: 系统补丁更新 系统限制(网络隔离、行为管理) 防御设备升级 完善防御流程: 防御设备部署 人员配置 规则库更新 0x20 应急响应常见场景 各场景分析图 0x30 总结 核心目标 :保护客户核心资产,所有行动围绕"保护、避害、不损害"原则 现实复杂性 :攻击场景常为复合型,需经验判断 方法论重要性 : 建立自己的应急方法论 掌握威胁建模能力 结合威胁情报分析 工具辅助现场/远程响应 效率关键 : 熟悉各类攻击特征 通过行为特征快速排查 能力要求 :红蓝同源,应急人员需具备渗透能力 参考资料 FreeBuf官方图表 作者博客: https://www.yuque.com/chenmoshuren/qyxg2k