内网横向移动应急响应
现象:
已知道内网主机被远控应急处理。
止损:
联系业务切断snat访问公网权限、隔离该主机,备份环境(快照备份、日志打包下载)
应急处置步骤:
1、防御产品:预警详情快速排查确认
2、攻击者目的评估:
1)HW网演练核心是靶标拿、系统权限和获取各类数据,突破后横向常见数据库、中间件的未授权和弱口令以及RCE扩展控制节点。
2)互联脚本攻击利用-挖矿计算资源利用
3)白帽子不定项向,证明漏洞存在类
4)其他攻击者APT行为,商业目的获取数据和破坏。
3、渗透行为排查:
业务日志(http 常见命令执行函数、服务可能有payload)、操作记录
4、横向范围排查:
1)安全产品蜜罐预警;
2)远控端IP地址与其他资产通信行为,http、snat日志等
3)攻击者入侵时间和入侵痕迹和操作行为判断,攻击者报告和留下的文件
4)情报IOC监控
5)扫描全网痕迹文件
5、修洞恢复业务
6、根据安全事件影响范围在不同阶段上报反馈以及上级决策指导
7、复盘:根据攻击链路增加安全拦截感知能力以及流程等