2018 年信息安全事件頻發(fā)，信息安全的技能、人才需求大增。現(xiàn)在，不管是普通的企業(yè)，還是專業(yè)的安全廠商，都不可避免的需要掌握和運(yùn)用好信息安全的知識(shí)、技能，以便在需要的時(shí)候，能夠御敵千里。所謂養(yǎng)兵千日，用兵一時(shí)，擁有一支完善的團(tuán)隊(duì)或完整的流程，可以保障企業(yè)在出現(xiàn)重大安全事件時(shí)，能有條不紊的進(jìn)行處置，及時(shí)把破壞范圍縮小。

深信服EDR安全團(tuán)隊(duì)，全年參與了各種重大流行病毒和安全事件的應(yīng)急響應(yīng)，在此，我們將團(tuán)隊(duì)一整年的思考和所形成的流程，共享出來，期望能給未來即將從事，或者長(zhǎng)期從事應(yīng)急響應(yīng)、安全研究的人，一些啟迪。

我們大致從八個(gè)方面闡述，分別是：應(yīng)急響應(yīng)的整體思路、應(yīng)急響應(yīng)的基本流程、應(yīng)急工具集簡(jiǎn)介、系統(tǒng)日志及日志分析、威脅情報(bào)的作用、常見病毒及分類、理解漏洞和補(bǔ)丁、技能提升建議。

一、應(yīng)急響應(yīng)的整體思路
應(yīng)急響應(yīng)的整體思路，就是上層有指導(dǎo)性原則和思想，下層有技能、知識(shí)點(diǎn)與工具，共同推進(jìn)和保障應(yīng)急響應(yīng)流程的全生命周期。

應(yīng)急響應(yīng)的整體思路和基本流程

原則和指導(dǎo)性思路
3W1H原則：3W即Who、What、Why，1H即How，做應(yīng)急響應(yīng)要帶著疑問來做事，一定要收集清楚這些信息。網(wǎng)絡(luò)拓?fù)涫窃趺礃拥?#xff1f;需求是啥？發(fā)生了什么事？你能做什么？用戶用了什么產(chǎn)品？產(chǎn)品版本多少？病毒庫版本多少？多少主機(jī)中了？主機(jī)是普通PC還是服務(wù)器？服務(wù)器是做什么的？……信息收集越多，對(duì)應(yīng)急響應(yīng)越有利。

易失性原則：做應(yīng)急響應(yīng)免不了要做信息收集和取證的，但這里是有一定的先后順序的，即最容易丟失的據(jù)，應(yīng)該最先收集，其它的依次類推。

要素原則：做應(yīng)急響應(yīng)，主要是抓關(guān)鍵證據(jù)，即要素，這些要素包括樣本、流量、日志、進(jìn)程及模塊、內(nèi)存、啟動(dòng)項(xiàng)。

避害原則：做應(yīng)急響應(yīng)，要做到趨利避害，不能問題還沒有解決，反而引入了新的問題。譬如，自己使用的工具被感染而不知情；給用戶使用不恰當(dāng)?shù)墓ぞ呋蜍浖斐煽蛻糁鳈C(jī)出現(xiàn)問題；給別人發(fā)樣本，不加密，不壓縮，導(dǎo)致別人誤點(diǎn)中毒，最極端的場(chǎng)景就是給別人發(fā)勒索樣本不加密壓縮，導(dǎo)致別人誤點(diǎn)中毒。

技能、知識(shí)點(diǎn)與工具
應(yīng)急工具集：應(yīng)急響應(yīng)必要的一套工具集合，可協(xié)助應(yīng)急人員做分析，提高效率。

日志分析：能對(duì)日志進(jìn)行分析，包括但不限于系統(tǒng)日志（Windows/Linux等）、應(yīng)用日志、安全設(shè)備日志（防火墻、防病毒、態(tài)勢(shì)感知等）。

威脅情報(bào)：安全事件可能不是孤立的，安全站點(diǎn)或搜索站點(diǎn)能找到安全事件的關(guān)聯(lián)信息。

漏洞補(bǔ)丁知識(shí)：知道漏洞與補(bǔ)丁的關(guān)系，它們?cè)趹?yīng)急響應(yīng)中的角色，了解常見漏洞及補(bǔ)丁。

常見病毒及分類：知道病毒大致的分類以及常見的病毒。

樣本分析：至少能對(duì)樣本進(jìn)行一次簡(jiǎn)單動(dòng)態(tài)的分析。

操作系統(tǒng)知識(shí)：至少對(duì)Windows系統(tǒng)和Linux系統(tǒng)的有一定的知識(shí)儲(chǔ)備，知道其基礎(chǔ)的工作原理。

二、應(yīng)急響應(yīng)的基本流程
應(yīng)急響應(yīng)大致可以分為五個(gè)部分，其基本流程包括收集信息、判斷類型、深入分析、清理處置、產(chǎn)出報(bào)告。

應(yīng)急響應(yīng)的整體思路和基本流程

收集信息：收集客戶信息和中毒主機(jī)信息，包括樣本。

判斷類型：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網(wǎng)、DoS等等。

深入分析：日志分析、進(jìn)程分析、啟動(dòng)項(xiàng)分析、樣本分析。

清理處置：直接殺掉進(jìn)程，刪除文件，打補(bǔ)丁，抑或是修復(fù)文件。

產(chǎn)出報(bào)告：整理并輸出完整的安全事件報(bào)告。

應(yīng)急響應(yīng)的整體思路和基本流程

勒索和挖礦事件，可以占比50%以上，而且這兩種安全事件業(yè)務(wù)特征極其鮮明，因此可以單獨(dú)提流程出來處置。

信息收集表
客戶名稱 什么區(qū)域的什么客戶
感染主機(jī)數(shù) 感染了多數(shù)臺(tái)主機(jī)
補(bǔ)丁情況 打了哪些補(bǔ)丁，是否存在補(bǔ)丁漏打
中毒現(xiàn)象 勒索/挖礦/DoS/僵尸網(wǎng)絡(luò)/后門/木馬
帳號(hào)密碼 確認(rèn)是否有弱密碼
對(duì)外開發(fā)端口 對(duì)外開發(fā)了哪些端口
開啟的服務(wù) 開啟了哪些服務(wù)
操作系統(tǒng)版本 操作系統(tǒng)版本信息
客戶需求 確認(rèn)客戶具體需求
應(yīng)急響應(yīng)的整體思路和基本流程

取證要素：取證并非毫無頭緒的，病毒本身必然有網(wǎng)絡(luò)行為，內(nèi)存必然有其二進(jìn)制代碼，它要么是單獨(dú)的進(jìn)程模塊，要么是進(jìn)程的dll/so模塊，通常，為了保活，它極可能還有自己的啟動(dòng)項(xiàng)、網(wǎng)絡(luò)心跳包。

總之，可以歸結(jié)為如下4點(diǎn)要素：流量、內(nèi)存、模塊、啟動(dòng)項(xiàng)。

流量分析可以使用Wireshark，主要分析下當(dāng)前主機(jī)訪問了哪些域名、URL、服務(wù)，或者有哪些外網(wǎng)IP在訪問本地主機(jī)的哪些端口、服務(wù)和目錄，又使用了何種協(xié)議等等。

例如，使用Wireshark觀察到，主機(jī)訪問了sjb555.3322.org這種動(dòng)態(tài)域名，即可粗略猜測(cè)這是一個(gè)C&C服務(wù)器（如何判斷一個(gè)域名是可疑域名，可以參考后文）。

應(yīng)急響應(yīng)的整體思路和基本流程

有時(shí)候，可以根據(jù)網(wǎng)絡(luò)協(xié)議來直接過濾分析流量。譬如，目前IRC協(xié)議已經(jīng)很少被使用了，但利用IRC建立僵尸網(wǎng)絡(luò)通道的現(xiàn)象仍比較普遍。使用Wireshark，直接在過濾條件里輸入“irc”，回車看是否有相關(guān)流量。

如下圖，剛好看到有相關(guān)的IRC協(xié)議流量，這便是可疑的。

應(yīng)急響應(yīng)的整體思路和基本流程

Wireshark執(zhí)行下“Follow TCP Stream”操作，查看到當(dāng)前Botnet主機(jī)正在加入一個(gè)IRC頻道。另外，也可以從目的IP下手，可查到這是一個(gè)惡意IRC僵尸網(wǎng)絡(luò)服務(wù)器。

應(yīng)急響應(yīng)的整體思路和基本流程

網(wǎng)絡(luò)流量這塊，如果具體到對(duì)應(yīng)建立的連接，也可使用TCPView工具進(jìn)行查看。如下，我們使用TCPView查到了2條連接：

chenyu-57068a53.localdomain.2671-> 170.178.191.191:6667

chenyu-57068a53.localdomain.2674-> amsterdam.nl.eu.undernet.org.6667

應(yīng)急響應(yīng)的整體思路和基本流程

當(dāng)我們分析病毒進(jìn)程遇到困難的時(shí)候，其內(nèi)存便是我們查找問題的最后一道防線。

以某Linux服務(wù)器應(yīng)急事件為例子，如下圖，我們找到三個(gè)病毒進(jìn)程[ksoftirqd/7]的父子關(guān)系，可以看到，11275拉起了11276和11277，但11275是1號(hào)進(jìn)程拉起來的，即init是其父進(jìn)程。

應(yīng)急響應(yīng)的整體思路和基本流程

這意味著，實(shí)際的父進(jìn)程（原始病毒文件）在當(dāng)前狀態(tài)下是追查不到的了。

進(jìn)程樹已經(jīng)追蹤不到父進(jìn)程了，能下手的地方不多。如反匯編[ksoftirqd/7]對(duì)應(yīng)的病毒文件，則對(duì)于一次應(yīng)急響應(yīng)事件來說，時(shí)間是倉促的（不夠）。但簡(jiǎn)單這樣想，即不管病毒文件做了何種混淆、何種加殼，在最終運(yùn)行于內(nèi)存之上的代碼上，終歸是原始代碼，至少堆棧就有不少信息。

Linux環(huán)境下dump內(nèi)存，可以使用系統(tǒng)自帶的gdb，鍵入命令 gdb attach 11275，attach到病毒進(jìn)程11275，在gdb環(huán)境下，使用dump binary memory file start_addr end_addr將11275有效內(nèi)存空間dump下來。

譬如：file為輸出文件，可以指定為 11275.dump，start_addr是起始地址，end_addr是終止地址，例 dump binary memory /tmp/11275.dump 0x13838000 0x13839000 （這里僅僅只是舉例，實(shí)際地址在gdb中獲取）

對(duì)于內(nèi)存文件11275.dump，采用命令 strings -n8 11275.dump，獲取長(zhǎng)度8及以上的字符串內(nèi)容，我們發(fā)現(xiàn)有如下一行：

/etc/security/ntps.conf
這是在病毒運(yùn)行內(nèi)存里面發(fā)現(xiàn)的，要么是病毒配置文件，要么是原始病毒文件。

我們 cd /etc/security 并使用 ls -al查看內(nèi)容如下：

應(yīng)急響應(yīng)的整體思路和基本流程

可以看到，ntps.conf并非一個(gè)配置文件，它是可執(zhí)行的（使用file命令可以知道這是個(gè)ELF可執(zhí)行文件），文件修改時(shí)間應(yīng)該是偽造的。

三、應(yīng)急工具集簡(jiǎn)介
工欲善其事，必先利其器，所謂巧婦難為無米之炊，其實(shí)應(yīng)急響應(yīng)亦是如此。應(yīng)急響應(yīng)和安全研究人員，必須事先就備好完整一套的工具集，隨時(shí)可以取用。

應(yīng)急響應(yīng)的整體思路和基本流程

應(yīng)急工具類型
流量分析工具：常用的流量分析工具是Wireshark、TCPView，也可以使用科來網(wǎng)絡(luò)分析工具，Linux下對(duì)tcpdump比較熟悉的，也可以使用tcpdump。

進(jìn)程分析工具：能對(duì)進(jìn)程相關(guān)聯(lián)信息進(jìn)行分析的工具，主要是ProcessHacker和PC Hunter等。

啟動(dòng)項(xiàng)分析工具：主要是AutoRuns工具，便于定位病毒啟動(dòng)項(xiàng)。

專殺工具：有些流行病毒家族，通常對(duì)殺軟有抑制性，或者本身有感染性，需要專殺工具去查殺和修復(fù)正常文件。

輔助工具：WinHex、文件Hash工具、Everything搜索工具、Unlocker文件解鎖工具等。

內(nèi)存掃描工具：主要是MemScanner。

應(yīng)急響應(yīng)的整體思路和基本流程

四、系統(tǒng)日志及日志分析
日志類型
Windows系統(tǒng)日志：Windows系統(tǒng)自帶的審計(jì)日志、操作日志、故障日志。

Linux系統(tǒng)日志：Linux系統(tǒng)自帶的審計(jì)日志、操作日志、故障日志。

應(yīng)用日志：包括但不限于Web應(yīng)用等眾多繁雜的日志。

Windows系統(tǒng)日志

日志路徑：C:\Windows\System32\winevt\Logs

必看日志：Security.evtx、System.evtx、Application.evtx

應(yīng)急響應(yīng)的整體思路和基本流程應(yīng)急響應(yīng)的整體思路和基本流程應(yīng)急響應(yīng)的整體思路和基本流程

Linux系統(tǒng)日志

日志路徑：/var/log

必看日志：secure、history

應(yīng)急響應(yīng)的整體思路和基本流程

多數(shù)日志都是可讀易懂的，譬如很容易就能看出來，下面這個(gè)日志記錄了ssh爆破過程。

應(yīng)急響應(yīng)的整體思路和基本流程

五、威脅情報(bào)的作用
在安全事件中，威脅情報(bào)有時(shí)候會(huì)給我們提供大量有用的信息，甚至直接推動(dòng)了安全事件的快速響應(yīng)。

應(yīng)急響應(yīng)的整體思路和基本流程

威脅情報(bào)的元素，包括但不限于域名、URL、IP、文件Hash、文件路徑、文件名、數(shù)字簽名、備案信息、排名信息。

威脅情報(bào)的獲取源

谷歌：www.google.com

百度：www.baidu.com

Virustotal：www.virustotal.com

微步在線：x.threatbook.cn

騰訊哈勃：habo.qq.com

Virscan：virusscan.jotti.org

Freebuf：www.freebuf.com

Jotti：virusscan.jotti.org

Scandir：www.scandir.com

Alexa排名：www.alexa.com

備案查詢：beian.cndns.com

深信服安全中心：sec.sangfor.com.cn

深信服威脅分析平臺(tái)：wiki.sec.sangfor.com.cn

深信服EDR安全軟件中心：edr.sangfor.com.cn

威脅情報(bào)中，域名扮演著極為基礎(chǔ)和關(guān)鍵的角色，URL也是以域名為基礎(chǔ)的。這里列舉若干類域名，是屬于黑客常用（偏愛）的域名，取證過程中需要重點(diǎn)關(guān)注這類域名的信息。

隨機(jī)域名（DGA）：
內(nèi)網(wǎng)IP利用特定的隨機(jī)算法生成域名（DGA），同時(shí)黑客會(huì)利用該隨機(jī)算法注冊(cè)域名，這樣就可以避免因?yàn)殚L(zhǎng)期與某個(gè)域名或者IP通信而被封堵。

例如，內(nèi)網(wǎng)某個(gè)源IP短時(shí)間內(nèi)大量解析了如下域名（日志截圖）

應(yīng)急響應(yīng)的整體思路和基本流程

觀察這些域名，可以發(fā)現(xiàn)，這些域名的“字符特征”看上去就是隨機(jī)的。域名的發(fā)明（DNS）就是為了人類方便記憶而誕生的，所以，我們往往會(huì)去注冊(cè)一些容易記憶且讀起來朗朗上口的域名，顯然例子中的域名就不具備這一特征。DGA這種反其道而行之的行為顯然不是人訪問網(wǎng)站發(fā)出來的，必然是病毒利用某種算法來實(shí)現(xiàn)的。

動(dòng)態(tài)域名：
動(dòng)態(tài)域名是子域名開放給其他人使用，并且子域名綁定的IP是可以動(dòng)態(tài)獲取的，大多數(shù)是免費(fèi)的，因此常被黑客所使用，如 abc.3322.org （3322.org就是動(dòng)態(tài)域名提供者，子域名abc.3322.org可以被別人所使用）。

常見的動(dòng)態(tài)域名提供商：

‘f3322.net’,‘3322.org’,‘7766.org’,‘8866.org’,‘9966.org’,‘8800.org’,‘2288.org’,‘6600.org’, ‘f3322.org’, ‘ddns.net’,‘xicp.net’, ‘vicp.net’,‘wicp.net’,‘oicp.net’,‘xicp.net’,‘vicp.cc’,‘eicp.net’,‘uicp.cn’,‘51vip.biz’,‘xicp.cn’,‘uicp.net’,‘vicp.hk’,‘5166.info’,‘coyo.eu’,‘imblog.in’,‘imzone.in’,‘imshop.in’,‘imbbs.in’,‘imwork.net’,‘iego.cn’,‘vicp.co’,‘iego.net’,‘1366.co’,‘1866.co’,‘3utilities.com’,‘bounceme.net’,‘ddnsking.com’,‘gotdns.ch’,‘hopto.org’,‘myftp.biz’,‘myftp.org’,‘myvnc.com’,‘no-ip.biz’,‘no-ip.info’,‘no-ip.org’,‘noip.me’,‘redirectme.net’,‘servebeer.com’,‘serveblog.net’,‘servecounterstrike.com’,‘serveftp.com’,‘servegame.com’,‘servehalflife.com’,‘servehttp.com’,‘serveminecraft.net’,‘servemp3.com’,‘servepics.com’,‘servequake.com’,‘sytes.net’,‘webhop.me’,‘zapto.org’,‘dynamic-dns.net’,‘epac.to’,‘longmusic.com’,‘compress.to’,‘wikaba.com’,‘zzux.com’,‘dumb1.com’,‘1dumb.com’,‘onedumb.com’,‘wha.la’,‘youdontcare.com’,‘yourtrap.com’,‘2waky.com’,‘sexidude.com’,‘mefound.com’,‘organiccrap.com’,‘toythieves.com’,‘justdied.com’,‘jungleheart.com’,‘mrbasic.com’,‘mrbonus.com’,‘x24hr.com’,‘dns04.com’,‘dns05.com’,‘zyns.com’,‘my03.com’,‘fartit.com’,‘itemdb.com’,‘instanthq.com’,‘xxuz.com’,‘jkub.com’,‘itsaol.com’,‘faqserv.com’,‘jetos.com’,‘qpoe.com’,‘qhigh.com’,‘vizvaz.com’,‘mrface.com’,‘isasecret.com’,‘mrslove.com’,‘otzo.com’,‘sellclassics.com’,‘a(chǎn)mericanunfinished.com’,‘serveusers.com’,‘serveuser.com’,‘freetcp.com’,‘ddns.info’,‘ns01.info’,‘ns02.info’,‘myftp.info’,‘mydad.info’,‘mymom.info’,‘mypicture.info’,‘myz.info’,‘squirly.info’,‘toh.info’,‘xxxy.info’,‘freewww.info’,‘freeddns.com’,‘myddns.com’,‘dynamicdns.biz’,‘ns01.biz’,‘ns02.biz’,‘xxxy.biz’,‘sexxxy.biz’,‘freewww.biz’,‘www1.biz’,‘dhcp.biz’,‘edns.biz’,‘ftp1.biz’,‘mywww.biz’,‘gr8domain.biz’,‘gr8name.biz’,‘ftpserver.biz’,‘wwwhost.biz’,‘moneyhome.biz’,‘port25.biz’,‘esmtp.biz’,‘sixth.biz’,‘ninth.biz’,‘got-game.org’,‘bigmoney.biz’,‘dns2.us’,‘dns1.us’,‘ns02.us’,‘ns01.us’,‘a(chǎn)lmostmy.com’,‘ocry.com’,‘ourhobby.com’,‘pcanywhere.net’,‘ygto.com’,‘ddns.ms’,‘ddns.us’,‘gettrials.com’,‘4mydomain.com’,‘25u.com’,‘4dq.com’,‘4pu.com’,‘3-a.net’,‘dsmtp.com’,‘mynumber.org’,‘ns1.name’,‘ns2.name’,‘ns3.name’,‘changeip.name’,‘ddns.name’,‘rebatesrule.net’,‘ezua.com’,‘sendsmtp.com’,‘trickip.net’,‘trickip.org’,‘dnsrd.com’,‘lflinkup.com’,‘lflinkup.net’,‘lflinkup.org’,‘lflink.com’,‘dns-dns.com’,‘proxydns.com’,‘myftp.name’,‘dyndns.pro’,‘changeip.net’,‘mysecondarydns.com’,‘changeip.org’,‘dns-stuff.com’,‘dynssl.com’,‘mylftv.com’,‘mynetav.net’,‘mynetav.org’,‘ikwb.com’,‘a(chǎn)cmetoy.com’,‘ddns.mobi’,‘dnset.com’,‘a(chǎn)uthorizeddns.net’,‘a(chǎn)uthorizeddns.org’,‘a(chǎn)uthorizeddns.us’,‘cleansite.biz’。
f3322.net、3322.org、7766.org等等這些就是動(dòng)態(tài)域名提供商。

應(yīng)急響應(yīng)的整體思路和基本流程

sjb555.3322.org就是一個(gè)動(dòng)態(tài)域名，在VirusTotal上被標(biāo)記為惡意的。

應(yīng)急響應(yīng)的整體思路和基本流程 這類域名常常是病毒的溫床，不管是國家互聯(lián)網(wǎng)應(yīng)急中心，還是中國反網(wǎng)絡(luò)病毒聯(lián)盟，都是重點(diǎn)觀察對(duì)象。企業(yè)級(jí)用戶很少會(huì)主動(dòng)去使用動(dòng)態(tài)域名。

應(yīng)急響應(yīng)的整體思路和基本流程

近期域名：
域名都是有創(chuàng)建時(shí)間（注冊(cè)時(shí)間）的，Alexa全球排名百萬之內(nèi)的域名，都是很早之前就注冊(cè)了的，從幾年到十幾、二十幾年不等。黑客攻擊要逃避防火墻的封堵，極可能在實(shí)施的時(shí)候，再去注冊(cè)一個(gè)域名。注冊(cè)一個(gè)字母長(zhǎng)度大于7的域名，費(fèi)用并不高，甚至可以低至 8元/年（還有些是免費(fèi)的）。黑客之所以傾向這么做，是因?yàn)榕f域名，很可能已經(jīng)被安全機(jī)構(gòu)列入黑名單中（也就是說，已經(jīng)被封堵了）。

試想，企業(yè)級(jí)用戶，無緣無故為什么要去訪問一個(gè)剛剛注冊(cè)的域名呢？

例如，防火墻產(chǎn)生日志如下，觀察到，日志產(chǎn)生時(shí)間為 2016年1月27日，訪問的站點(diǎn)為 cazwmwez.info。

應(yīng)急響應(yīng)的整體思路和基本流程

接下來，我們來查查該域名的注冊(cè)時(shí)間。

方式：通過VirusTotal查詢即可。在Whois lookup這一欄，如圖，觀察Creation Date即注冊(cè)時(shí)間為 2016年1月12日，RegistryExpiry Date即過期時(shí)間 為 1年之后。很明顯，這個(gè)是一個(gè)剛剛注冊(cè)且很短命的域名（此域名來源于某一真實(shí)中毒客戶，當(dāng)時(shí)介入取證調(diào)查時(shí)間點(diǎn)為2016年2月初，也就是說不到1個(gè)月），域名的所有者并沒有打算長(zhǎng)期維護(hù)。此外，域名的所有者也不是客戶的（詢問客戶得知）。

應(yīng)急響應(yīng)的整體思路和基本流程

暗網(wǎng)代理域名：
暗網(wǎng)，也叫Tor網(wǎng)絡(luò)，此網(wǎng)絡(luò)的訪問、傳輸流量是不可追蹤溯源的，因此是黑色產(chǎn)業(yè)鏈的溫床。要訪問暗網(wǎng)，要么病毒自己實(shí)現(xiàn)Tor客戶端，要么通過Tor代理來訪問Tor網(wǎng)絡(luò)，而通過Tor代理訪問的流量是未加密的，其直接使用Tor代理訪問Tor站點(diǎn)服務(wù)器。

因此，暗網(wǎng)代理域名是可以被檢測(cè)到的。

例如訪問https://abbujjh5vqtq77wg.onion.link/由于二級(jí)域名onion.link屬于Tor代理域名，所以認(rèn)定此次訪問行為是Tor網(wǎng)絡(luò)訪問行為，且為非法訪問可能性極高。

頂級(jí)域名：
不是所有的頂級(jí)域名都需要特別關(guān)注，要從客戶業(yè)務(wù)出發(fā)，去反推客戶主機(jī)為何要訪問相關(guān)的頂級(jí)域名。也就是說，這里面有一批頂級(jí)域名，實(shí)際客戶業(yè)務(wù)是不需要去訪問的，那么剩下的就只有黑客行為了。下表給出的，就是這樣一批頂級(jí)域名（包括但不限于以下頂級(jí)域名）：

頂級(jí)域名 申請(qǐng)地區(qū)或機(jī)構(gòu) 為何重點(diǎn)關(guān)注
.ru 俄羅斯 俄羅斯盛產(chǎn)黑客
.ws 東薩摩亞 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
.cc 科科斯群島 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
.pw 帕勞 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
.bz 伯利茲 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
.su 蘇聯(lián) 前蘇聯(lián)雖然解體了，頂級(jí)域名還在使用，且多與黑產(chǎn)有關(guān)
.bw 伯茲瓦納 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
.gw 幾內(nèi)亞比紹 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
.ms 蒙塞拉特島 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
.mz 莫桑比克 不知名國家，易申請(qǐng)，難追蹤注冊(cè)者
這里舉個(gè)例子，我們?cè)谀撑_(tái)告警主機(jī)上，使用Wireshark抓網(wǎng)絡(luò)網(wǎng)絡(luò)，直接過濾DNS協(xié)議如下：

應(yīng)急響應(yīng)的整體思路和基本流程

可以看到，此主機(jī)解析了大量.pw站點(diǎn)的域名，如koqqveoukgjc.pw，.pw是帕勞國家頂級(jí)域名，此國家是一個(gè)非常小的島國，跟中國大陸都沒有建交，國內(nèi)企業(yè)有需要訪問他們站點(diǎn)的可能性低到零（或者有業(yè)務(wù)在帕勞的可能性）。

六、常見病毒及分類
勒索病毒：能對(duì)用戶文件進(jìn)行加密的病毒。

應(yīng)急響應(yīng)的整體思路和基本流程

挖礦病毒：消耗用戶CPU、GPU資源，進(jìn)行大量運(yùn)算，獲取加密貨幣的病毒。

應(yīng)急響應(yīng)的整體思路和基本流程

蠕蟲：自動(dòng)復(fù)制自身的副本到其它主機(jī)的病毒。

木馬：隱蔽性強(qiáng)，多用于監(jiān)控用戶行為或盜取用戶數(shù)據(jù)的病毒。

感染型病毒：能將自身惡意代碼插入正常文件的病毒。

腳本病毒：使用腳本編寫的病毒。

宏病毒：宏是微軟公司為其Office軟件包設(shè)計(jì)的一個(gè)特殊功能，由于其功能強(qiáng)大，使得黑客可以通過精心構(gòu)造的宏代碼來實(shí)現(xiàn)惡意操作，這些代碼就叫做宏病毒。宏病毒常以垃圾郵件的方式對(duì)用戶進(jìn)行攻擊，因?yàn)閭卧斓腛ffice文檔不容易引起用戶的懷疑，所以當(dāng)用戶毫無防備的打開Office文檔并啟用宏之后，宏病毒便開始了運(yùn)行，對(duì)用戶主機(jī)進(jìn)行惡意操作。

僵尸網(wǎng)絡(luò)病毒：能形成大型的一對(duì)多，多對(duì)多控制的遠(yuǎn)程控制病毒。

后門：在主機(jī)上開放端口允許遠(yuǎn)程非授權(quán)訪問。

以感染型病毒為例，需要知道并了解其原理：

正常PE文件的執(zhí)行流程入下：

應(yīng)急響應(yīng)的整體思路和基本流程

[1] 從PE頭中提取入口點(diǎn)地址EP。

[2] 定位到EP處的PE代碼。

[3] 開始執(zhí)行PE代碼。

被感染的PE文件的執(zhí)行流程入下，其中多了惡意代碼環(huán)節(jié)：

應(yīng)急響應(yīng)的整體思路和基本流程

[1] 從PE頭中提取入口點(diǎn)地址EP。

[2] 通過篡改EP或覆蓋原始入口點(diǎn)代碼的方式，使EP指向惡意代碼。

[3] 執(zhí)行惡意代碼。

[4] 惡意代碼執(zhí)行完后，跳回到原PE代碼處執(zhí)行。

應(yīng)急響應(yīng)的整體思路和基本流程

雖然感染的總體思路都是讓宿主文件先執(zhí)行惡意代碼，執(zhí)行完后再跳回到原始代碼，但每種病毒家族實(shí)現(xiàn)的方式卻不盡相同。我總結(jié)為四類，復(fù)雜度由低到高依次為：偏移式、覆蓋式、加密式、混淆式。

專業(yè)術(shù)語：入口點(diǎn)EP（Entry Point），原始入口點(diǎn)OEP（Original Entry Point）。

偏移式是最多感染型病毒使用的感染方式，病毒會(huì)將惡意代碼注入到宿主文件的一個(gè)空閑位置，然后修改PE頭中的EP地址，使其指向惡意代碼起始處。被感染文件運(yùn)行后就會(huì)先執(zhí)行惡意代碼，惡意代碼執(zhí)行完成后，會(huì)獲取OEP的偏移（每個(gè)病毒家族的OEP偏移值藏在不同的地方），然后將執(zhí)行流跳回到OEP處，執(zhí)行宿主文件原始代碼。

七、理解漏洞和補(bǔ)丁
漏洞和補(bǔ)丁，在應(yīng)急響應(yīng)中是不可或缺。如果黑客是通過某種漏洞入侵系統(tǒng)的，而在應(yīng)急響應(yīng)中，無法找出黑客所利用的漏洞，就會(huì)意味著，入侵行為可以反復(fù)發(fā)生。在終端側(cè)，就會(huì)表現(xiàn)為病毒清理不干凈，殺了又來，所以一定要找出漏洞。

找到漏洞后，就需要打上相應(yīng)的補(bǔ)丁，這樣才是一次完整的處置。

怎么查看系統(tǒng)補(bǔ)丁情況？以Windows為例，直接打開cmd，輸入命令systeminfo即可獲取。

應(yīng)急響應(yīng)的整體思路和基本流程應(yīng)急響應(yīng)的整體思路和基本流程

漏洞是什么：漏洞是指一個(gè)系統(tǒng)存在的弱點(diǎn)或缺陷。

怎么來的：系統(tǒng)設(shè)計(jì)時(shí)的缺陷或編碼時(shí)產(chǎn)生的錯(cuò)誤。

有什么后果：黑客的侵入及病毒的駐留，數(shù)據(jù)丟失和篡改、隱私泄露，系統(tǒng)被控制并作為入侵其他主機(jī)系統(tǒng)的跳板，等等。

解決方法：打補(bǔ)丁。

八、技能提升建議
多關(guān)注安全信息：多關(guān)注安全公司發(fā)布的一些安全信息，多關(guān)注，多學(xué)習(xí)。

多研讀安全書籍：多研讀安全書籍，推薦《惡意代碼分析實(shí)戰(zhàn)》等。

應(yīng)急響應(yīng)的整體思路和基本流程

多逛安全論壇：推薦多看看Freebuf、看雪學(xué)院等。

多在安全溝通群里問：不懂就問。

多實(shí)踐：多實(shí)踐，出了安全問題，多嘗試自己動(dòng)手解決。

總結(jié)

以上是生活随笔為你收集整理的应急响应的整体思路和基本流程的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。