方法依据

最近更新时间:2020-06-12 15:15:52

“工欲善其事,必先利其器”,腾讯云安全服务专家在多年的安全应急响应服务及安全对抗工作中,积累了丰富的安全应急响应经验,其中落地下来的理论方法包含成熟方法论和工具集合,通过经验理论指导操作步骤、工具快速定位分析原因,保障安全响应工作的快速、及时、有效进行。

成熟方法论

Windows 应急响应

常规分析

安全事件发生以后,常常有蛛丝马迹遗留在下列信息当中可供追溯,支持人员在处理安全事件时通常会收集这些信息来帮助应急响应的分析工作。

检查类别 检查原因
网络(非法链接) 是否仍然存在数据外传、非法外联等行为。
进程(服务、端口) 是否仍然存在伪造的木马进程。
自启动项目 处理完成后是否仍会开机自启。
文件 是否仍然存在残留后门或恶意文件。
日志 日志中是否记录了黑客的攻击路径和利用方式。
驱动 底层是否存在可被利用的漏洞驱动版本。
软件版本 部分软件版本存在明显安全漏洞或者配置问题。

恶意代码

对于黑客入侵、病毒传播等类型的安全事件来说,支持人员必须要做的一项工作就是要检测事件目标是否已经被植入了恶意代码。
典型的恶意代码可能具有文件感染、数据加密、线程注入、SPI、端口复用、隐秘外联等功能,往往需要依赖于安全服务专家人为采用第三方检测工具进行深入逆向分析。

Unix/Linux 应急响应

常规分析

同 Windows 类似,主要从网络连接、进程状态、自启动项目、文件、日志、软件版本及配置等进行综合分析,收集此类信息后结合安全服务专家经验进行关联分析判断。

恶意代码

由于 Unix 类恶意代码的种类较少,检测目标也以 Rootkit、木马文件为主,其它恶意代码基本在常规检测中通过分析即可得出结果。

Web 入侵分析

当安全事件发生在 Web 应用上面的时候,支持人员会用到 Web 应用检测相关的技术,其中最主要的是 Web 应用访问日志分析、 Web 配置分析及软件版本分析工作,通过分析可以发现下列类型的安全事件:

  • 应用层安全漏洞(SQL 注入、命令执行、信息泄露等)。
  • 配置缺陷。
  • 远程扫描等。

高效工具集

以下列出部分为常见的应急响应支持工具,但并不能包括真实环境下的全部应急响应工具。

信息收集工具

工具名称 工具说明
Process Explorer 微软内置工具集:SysinternalsSuite,进程分析工具。
Process Monitor 微软内置工具集:SysinternalsSuite,文件和注册表操作监视工具。
Autoruns 微软内置工具集:SysinternalsSuite,启动项检查工具。
Regmon 微软内置工具集:SysinternalsSuite,注册表监视工具。
Tcpview 微软内置工具集:SysinternalsSuite,网络连接查看工具。
Linux 常规工具 Linux 自带工具集合,例如 netstat/ps/ls/nc/iftop。
入侵分析脚本 腾讯云安全服务专家内部快速分析自动化脚本。

恶意代码检测

工具名称 工具说明
IDA Pro 商业版 专业逆向工具 下载地址
OllyDbg 开源免费工具 下载地址
Chrootkit Linux 常用后门检查工具 下载地址
Rootkit hunter Linux 常用后门检查工具 下载地址
Icesword 不明程序检测工具。

Web 日志分析

工具名称 官方地址
LogParser 日志分析工具 官方网址
AWstats 日志文件分析工具 官方网址
日志分析脚本/工具 腾讯云安全应急响应服务专家自用工具集。
目录