在最近的一次攻防演练中,发生一次险象还生的应急响应,整体经历记录如下:
0x01 第一战
18:13 收到EDR告警检测到Webshell,将Webshell隔离后按工作流程发起应急响应:
- 分析组: 分析日志定位入侵原因,制定和执行止血方案
- 响应组: 排查主机及应用是否有其他后门未发现
18:26 判断已基本消除风险,应急响应结果:
- 定位Web入侵入口,上线WAF规则紧急止血,同步推动开发着手修复漏洞
- 发现另一处未检测的Webshell并删除
- 封禁所有可疑攻击IP
PS: 这个入侵时间点非常猥琐,处于开发都在吃晚饭的时间点,应急响应效率受到较大影响
0x02 左右支绌
18:32 再次收到EDR告警有可疑命令正在执行,再次对告警进行响应,分析结论:
- 攻击队正在从服务器拖代码和搜索AK,导致行为触发告警
- 未定位入侵原因,可能从其它未知漏洞,或者之前遗留的Webshell/Rootkit再次进入,目前攻击队已经感知到被我们发现,删除人肉发现的Webshell对方也会植入新的Webshell继续搜集信息
- 在无法定位入侵原因的前提下和业务部门沟通,业务部门不能接受暂时下线业务和关停主机的风险
- 响应进入僵局,且面临攻击队随时可能从代码中分析出来新的漏洞或拖走业务数据的风险
0x03 绝地反击
18:37 综合研判,没有办法遏止攻击队的再次进入,只能尝试使用目前在试用阶段的拟态防御功能,把攻击队的后门热迁移到蜜罐环境中,看能否有效欺骗攻击队争取到分析入侵原因进行止血的时间
后续发现攻击队暂时未发现Webshell执行环境已经被替换,仍然在蜜罐中持续窃取业务代码,成功赢得更多的响应时间
同时拟态蜜罐检测出攻击队可能在使用蚁剑Webshell管理工具,有一定的概率可以反制,从而反向控制其机器
0x04 柳暗花明
18:39 下发反制指令,在2分钟后成功收到攻击队的shell,开始遍历攻击队机器查找有效信息
- 分析发现攻击队的确使用一个rootkit来持久化控制机器,同时还有多个未被发现的Webshell供使用,同时还有一个备用的RCE供再次入侵
- 把对应的后门均热迁移至拟态蜜罐,同时将对应的漏洞通过WAF止血后,应急响应顺利完成
0x05 事后复盘
- 应急响应的关键是争取尽可能多的响应时间,WAF的快速止血和基于拟态防御的主动欺骗是比较有效的时间争取手段;
- 选择主动和攻击队对抗时一定要慎重,确保有终极有效的止血手段(如这次业务拒绝关机/下线就让我们很被动),否则极有可能让黑客感知自己的暴露,从而隐蔽在我们检测之外,在第一波止血之后黑客的Webshell就没有被我们检测到,如果黑客没有因为收集信息动作过大被我们再次发现,这次很有可能就整体沦陷。
=============================================
以上为用户真实试用案例,文中提到的拟态防御主动欺骗能力可以前往拟态蜜罐使用。