关于网络安全应急响应,你想知道的这里都有!

一、什么是应急响应

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

网络安全防护应急响应

二、应急响应技巧

在应急响应的过程中,有一个非常实用的技巧,那就是:如果能大概确定此次事件的成因、确定事件是勒索、挖矿还是木马、以及根据客户描述确定大概发生时间,再以攻击者的思路对整个攻击流程进行猜测,最后再去验证这些猜想,那么能大大加快破案的速度。

三、实际案例讲解

通过此案例来为大家讲解一下应急响应中的一些思路和过程。

1、事件概述

管理员发现部分用户的身份证、银行卡、姓名、可用余额、总资产等信息被篡改,且用户APP 莫名其妙多出多张银行卡和电话号码,并且可以被无限次恶意申请提现。

2、事件定性

根据了解到的信息,造成该事件的原因可能为:数据库被入侵、webshell和业务逻辑漏洞。

3、还原入侵过程

在对APP功能浏览和简单测试后,我们发现了一个严重的漏洞:越权查看团队成员信息。再根据客户的描述,我们共设想了3种可能的攻击方案入口:

a、利用越权查看团队信息漏洞

b、利用thinkphp 3.2.3 的注入漏洞和缓存漏洞

c、jwt的密钥可能泄漏通过对日志的分析,并未发现利用tp框架的漏洞POC的请求,故排除设想2;又由于jwt的密钥很长,排除被爆破的可能,通过常规可能的信息泄漏途径,未发现敏感信息,故排除设想3。

通过对APP渗透的深入,我们发现一条可能的攻击链,并在日志中也找到了该攻击链的对应痕迹。

20XX年5月7日,IP 114.236.2.xxx 发起大量访问 tuandui 接口的请求,通过分析,该接口存在越权漏洞,可越权查看所有团队的成员的信息。

修改参数xjid的值,即可看到团队所有用户的信息

通过日志分析,发现攻击者主要的2个IP段主要为 114.23x.xxx.xxx 和 121.23x.xxx.xxx ,通过统计发现,攻击者尝试登陆的次数为7000+次,因此怀疑是通过弱口令进行枚举和利用md5解密后的明文进行登#渗透测试#陆。

存在大量的登陆请求

登陆成功后,攻击者将调用yebzc接口对交易密码进行爆破尝试。由于该接口尝试次数高达1100000次,故可以确定此处采用爆破的方法获取交易密码。

大量尝试交易密码的请求

获取到用户的交易密码后,攻击者将调用接口smrz,修改用户的银行卡号、手机号和姓名等信息。

修改银行卡 姓名 身份证等信息

可看到登陆后调用smrz接口修改用户的信息

为了方便批量操作,攻击者批量修改交易密码。

最后,攻击者将对应的账号进行提现操作,其中包括管理员所提到的时间“2020年10月10日凌晨02:04”的提现操作。

4、事件结论

通过进行实际渗透和对Web日志的分析排查,我们发现攻击方案如下:

a、攻击者通过越权查看团队信息的漏洞,获取到系统中存在的用户的敏感信息;

b、由于系统中存在大量用户弱口令aa123456,且通过日志分析,未出现爆破的情况,故攻击者可能存在两种登陆正常用户的方式:弱口令和md5解密后登陆;

c、通过接口余额宝转出(yebzc)爆破出用户的交易密码;

d、通过接口(smrz)添加敏感信息(银行卡、身份证、姓名等);

e、批量修改用户的交易密码,方便后续提现;

f、恶意申请提现。

5、根除遏制阶段

a、修复越权漏洞,仅允许团队队长查看自己团队成员的非敏感信息,不返回密码md5值、身份证号等敏感信息;

b、禁止用户设置弱口令,密码应满足如下规则:密码长度至少8位,且密码含有数字和字母、字母大小写、符号中的2项;

c、限制同一IP访问频率,防止爆破;用户在实名认证时,不允许已实名的用户再次实名而覆盖掉之前实名的信息;

d、开启Mysql日志,WEB日志中记录post传输的数据,定时备份日志。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容