關(guān)于本指Ca本指南為安全響應(yīng)IR（ 將周期內(nèi)的所有相關(guān)信息與行為系統(tǒng)化，并融入安全響應(yīng)（IR）過程中致讀自主研究資礎(chǔ)的建議，并且描述了一個建設(shè)性的、用于響應(yīng)的安全響應(yīng)行為流程。關(guān)這個課程的更多信息，請參看：http:/ 術(shù)語和定權(quán)，并試圖隱蔽潛伏很長一段時間。APT的目標(biāo)通常包括和竊取敏感數(shù)據(jù)。APT涉及定制的、高復(fù)雜度的軟件的運(yùn)用。工件資產(chǎn)、網(wǎng)絡(luò)（attack,cyber統(tǒng)的行為。者C&C服務(wù)通常，一個軟件可向C&C服務(wù)器發(fā)送請求，并在響應(yīng)中接收命令。防御措施（defensive的服務(wù)器、防設(shè)施等。終端防設(shè)施（endpointanti利用程序安全（安全響應(yīng)（指示器（indicatorsofcompromise常網(wǎng)絡(luò)流量、多次登錄失敗記錄、線上被程序利用的文件、以及可疑的表或系統(tǒng)文件變更、字符串、URL、IP地址以及哈希值（hash）等。組織荷載取樣樣本（軟件或的樣本是由團(tuán)隊(duì)從受損的資產(chǎn)中獲取的。安全控件（security團(tuán)隊(duì)（security安全信息與管理（SIEM）系安全信息與管理SIEM（Securityinformationandeventmanagement）系設(shè)備以及組織安全控件等發(fā)生的。魚叉式網(wǎng)絡(luò)（spear魚叉式網(wǎng)絡(luò)是者通過向組織發(fā)送電子郵件等方法以達(dá)到破壞組織資庫（Threat的指示器（IOC，庫可集成到SIEM系統(tǒng)中。第一章安全響應(yīng)基生命周期（Kill第一節(jié)生命周期（Kill當(dāng)者發(fā)起一個網(wǎng)絡(luò)時會遵循一套結(jié)構(gòu)化的行為。Killchain模型就是描述這者發(fā)動時的一整套行為時，防御方可構(gòu)建一個防御策略用于抵御。當(dāng)Killchain模型應(yīng)用到網(wǎng)絡(luò)時，Killchain模型定義了幾個階段。在KillActiononObjective階段一：勘察階段二：化（Exploit（Payload（Exploit階段發(fā)現(xiàn)的進(jìn)行荷載（Payload）的散布。者可利用現(xiàn)有的軟件或開發(fā)一個針荷載（Payload）是一個軟件程序，可供者使用，進(jìn)而達(dá)到目標(biāo)，根據(jù)攻擊目標(biāo)的不同，荷載（Payload）可能包含軟件或正規(guī)軟件，供者敏感數(shù)（Eplot問的URL，或破壞員工的線上資源。階段三：傳送（Exploit（Exploit階段四：利用意軟件。該計(jì)算機(jī)可組織內(nèi)網(wǎng)的其他計(jì)算機(jī)，并將荷載（Payload）散播到所有階段五：安裝（backdoor該后門（backdoor）啟動時，者可通過連接它來控制受計(jì)算機(jī)。階段六：指揮與控制（Commandandserver取行動達(dá)到目的。例如，荷載（Payload）包含后門（backdoor）程序，者可獲取受計(jì)算機(jī)的控制權(quán)，這些計(jì)算機(jī)內(nèi)的信息，并用戶的行為。其他軟件給荷載（Payload）來傳達(dá)命令。階段七：執(zhí)行目標(biāo)（Actionon在此階段，者使用過程中的荷載（Payload）和其他軟件來實(shí)現(xiàn)如，如果目的是竊取敏感數(shù)據(jù)，并且荷載（Payload）是后門（backdoor）如果數(shù)據(jù)并未在受計(jì)算機(jī)中，者可使用橫向轉(zhuǎn)移（Lalmovement）技術(shù)。者可以利用受的可控計(jì)算機(jī)，組織內(nèi)網(wǎng)中的其他計(jì)算機(jī)，竊取用戶，第二節(jié)安全響應(yīng)步關(guān)于安全響載體（Attack荷載（Payload）和利用程序目標(biāo)（Targetofthe破壞程度（Damage狀態(tài)（Attack時間表（Attack 關(guān)于安全響應(yīng)階于安全響應(yīng)中。在安全響應(yīng)實(shí)例章節(jié)中提供了應(yīng)用該策略的實(shí)例。（見25頁）階段一：準(zhǔn)備發(fā)生網(wǎng)絡(luò)時清楚知曉如何應(yīng)對。階段二：鑒別軟件的行為檢查和與之相關(guān)的IOC收集。 階段三：控制損壞。安全團(tuán)隊(duì)須重新配置組織的網(wǎng)絡(luò)環(huán)境，以便受損資產(chǎn)。安全團(tuán)隊(duì)還須調(diào)整路由策略，以防該服務(wù)器其他服務(wù)器。階段四：根除復(fù)配置以及清除軟件殘留的組件等。階段五：復(fù)原階段六：經(jīng)驗(yàn)總結(jié)（Lessons第二章安全響應(yīng)流程的建議及規(guī)階段一：準(zhǔn)備防御措的防御措施，并創(chuàng)建一個防御邊界，用于抵御來自多個載體（attackvector）的網(wǎng)。honeypot為保護(hù)工作站抵御已知、未知以及高級，卡巴斯基專家開發(fā)KasperskyEndpointSecurity為了保護(hù)企業(yè)免受針對性的和高級，卡巴斯基創(chuàng)建了KasperskyAntiincreaseTargetedAttacktform（KATA）想了解更多卡巴斯基實(shí)驗(yàn)室的企業(yè)安全解決方案， 滲透測專業(yè)技能提卡巴斯基課程提供一個全面的課程，包含的和技術(shù)，以及從基礎(chǔ)到辦公室獲得該課程。有關(guān)這個課程的更多信息，請參看： 頁）的一部分，它將提供與卡巴斯基持續(xù)不斷的連接，用于同步卡巴斯基針對高識別度的網(wǎng)絡(luò)活動領(lǐng)域內(nèi)的與發(fā)現(xiàn)。收集安全響應(yīng)相關(guān)信劃。這些信息可包含安全報告和組織內(nèi)發(fā)生的安全的歷史日志。階段二：鑒別觸發(fā)器 本節(jié)介紹了可作為觸發(fā)器（triggers）的 什么是觸發(fā)器觸發(fā)器（triggers）是一個指示網(wǎng)絡(luò)表征的。當(dāng)觸發(fā)器被關(guān)于源（event可以有很多頭，這類可能是Anti-APT系統(tǒng)，蜜罐誘餌，防御系統(tǒng)、很多其他安全控件和。SIEM系統(tǒng)觸發(fā)的觸發(fā)以及表號。就本指南而言，假定卡巴斯基的DataFeeds已應(yīng)用于匹配SIEM。Data是卡巴斯基門戶的一部分（見45頁例如，組織網(wǎng)絡(luò)環(huán)境內(nèi)的計(jì)算機(jī)的軟件試圖連接URL。與常規(guī)的URL一樣，組織的服務(wù)器利用URL生成一個，并將該發(fā)送給組織的SIEM系統(tǒng)。SIEM系統(tǒng)試圖將該URL和卡巴斯基庫（ThreatFeed）匹配。如果這是一個卡巴斯基庫中個將被認(rèn)作是一個觸發(fā)器。防管理系統(tǒng)觸發(fā)的觸發(fā)防管理系統(tǒng)可匯總用于保護(hù)工作站的終端防設(shè)施（endpointanti-solutions）的相關(guān)。消除軟件的。這種情況不需要進(jìn)一步。SIEM可判定為觸發(fā)器的可疑行 藏受損主機(jī)背后的C&C服務(wù)器； 址，或一個被歸類為進(jìn)行DDoS的IP地址；優(yōu)先級指識或敏感數(shù)據(jù)。其他組織可能優(yōu)先考慮與潛在風(fēng)險軟件（如ware）相關(guān)的安全事高級持續(xù)性（APT）相關(guān)安全為最高優(yōu)先級。有關(guān)檢測APT相關(guān)的信潛在的軟件 檢測高級持續(xù)性APT方案的一部分（見45頁；的工具和功能（見44頁。作是軟件，這類不可被看作是APT。SIEM所有的應(yīng)對行據(jù)這兩個標(biāo)準(zhǔn)，調(diào)整的優(yōu)先級。 檢測出相關(guān)的?檢測出一個URL（PHISHINGcategory?檢測出的URL（MALICIOUScategory如果軟件已被，那么須繼續(xù)該破壞的。這樣的并不是一個，且不需要進(jìn)一步。如果軟件未被，繼續(xù)該代碼，以便確認(rèn)從該處的樣本。掃描被破壞的計(jì)算機(jī)，以獲取所檢測到的的IOC。掃描與其在同一網(wǎng)段的如，通過對軟件樣本的分析，獲得新的IOC。?檢測出僵尸網(wǎng)絡(luò)的C&CURL（BOTNETC&C。其他計(jì)算機(jī)，并獲取所檢測到的的IOC。?檢測出移動終端的僵尸網(wǎng)絡(luò)的C&C BOTNETC&Ccategory 檢測出的哈希值?檢測出軟件或BOT的哈希值（MALICIOUSandBOTcategories：掃描被破壞的計(jì)算機(jī)，以獲取所檢測到的的IOC。掃描與其在同一網(wǎng)段的其他計(jì)算機(jī)，并獲取所檢測到的的IOC。這些掃描包含期間發(fā)現(xiàn)的新IOC，例如，這些新IOC可用于分析軟件。 檢測出一個移動端的軟件、BOT和木馬的哈希（MALICIOUS,BOT,andTROJANcategories：檢測出的IP地件與卡基提供的類別匹配的結(jié)果確定的。檢測出Tor口節(jié)點(diǎn)IP址（TOREXITNODEcategory：如果員工確認(rèn)其使用過Tor，那么這樣的就不是安全，不需要進(jìn)排查軟件。?檢測出郵件的IP地址（SPAMcategory：category：執(zhí)行“檢測出相關(guān)的URL”部分中描述的操作階段三：控制控制階段的目受的計(jì)算到關(guān)機(jī)指令時，有些類型的軟件將會刪除其IOC。這會使更加。開始刪除其存在的痕跡，以毀壞其IOC。創(chuàng)建內(nèi)存和硬盤的副本（Dump關(guān)的IOC，并確認(rèn)載體（Attackvector。析軟件的樣本，安全團(tuán)隊(duì)可以找到一種有效地根除該軟件的方法。（Dump（還包括來自硬盤空余（未使用）扇區(qū)的信息。例如，如果一個硬盤有400G的空間，已使用50G，那么該硬盤副本（Dump）將占據(jù)400G的空間。保持可操作階段四：根除相關(guān)設(shè)施進(jìn)行軟件分析實(shí)現(xiàn)。階段五：復(fù)原路由策略并啟用該服務(wù)器。那么須該服務(wù)器的行為，以確保其沒有可疑的行為。階段六：經(jīng)驗(yàn)總結(jié) 件再次發(fā)生。并且針對此類安全，升級安全響應(yīng)計(jì)劃。安全響應(yīng)過程中獲取的IOC可供安全團(tuán)隊(duì)使用，以便將來發(fā)現(xiàn)此類。第三章安全響應(yīng)實(shí)第一節(jié)計(jì)劃（實(shí)例統(tǒng)的控制權(quán)限，進(jìn)而從ATM終端取款。目的、荷載（Payload、利用程序（o）以及傳本次的目的是從ATM終端取款。當(dāng)者獲取對ATM網(wǎng)關(guān)的控制權(quán)，Software后，該裝載軟件將、安裝并運(yùn)行BOT軟件。之后，裝載軟件將繼續(xù)BOT軟件。如果BOT軟件被清除，裝載軟件會重新并安裝BOT軟件。例如，終端防設(shè)施可能會清除BOT軟件，但是裝載軟件將會不斷重復(fù)安裝BOT軟件。BOT軟件可根據(jù)者的C&C服務(wù)器發(fā)送令來控制受的計(jì)算機(jī)。BOT軟件具者將使用補(bǔ)充軟件進(jìn)一步竊取用戶憑證。者會選擇可實(shí)現(xiàn)這一目的的正規(guī)軟Mimikatz軟件。BOT軟件C&C服務(wù)器建立連接后，BOTC&C服務(wù)器提供的URL中Mimikatz軟件。本次用到的最后一個軟件是者自主開發(fā)的自定義軟件。用于破壞位于ATM網(wǎng)本次的利用程序（Exploit）是包含裝載軟件的PDF文件。通過利用AdobeAcrobatReader軟件的，當(dāng)文件被打開時，利用程序會觸發(fā)執(zhí)行裝載軟件。（Exploit步驟一：勘察步驟二：化向組織內(nèi)部員工發(fā)起魚叉式（SpearPhishing）的方式執(zhí)行內(nèi)部。（Payload（Payload步驟三：傳送PhishingPhishing）中的選擇員工。例如，財務(wù)部門的員工可能是此類的有利目標(biāo)。Russia辭是為了誘使員工打開附件中的PDF文件。步驟四：利用步驟五：安裝受計(jì)算機(jī)下次啟動的時，該操作系統(tǒng)將啟動并運(yùn)行裝載軟件。該裝載軟件將、Server常存在于Windows操作系統(tǒng)的進(jìn)程列表中。步驟六：指揮與控制（Commandand步驟七A：執(zhí)行目標(biāo) lBOT軟件利用受計(jì)算機(jī)的權(quán)限、用戶以及已知的，將利用程序（Exploit）傳送給其他計(jì)算機(jī)。者也可能會選擇組織的其他PDF文件。步驟B：執(zhí)行目標(biāo)（theftof用戶名和（包括ActiveDirectory用戶憑證。這個階段者的目的是為了獲取ActiveDirectory的管理員憑證。步驟C：執(zhí)行目標(biāo)（compromisingtheATM 當(dāng)ATM網(wǎng)關(guān)被控制，BOT軟件將并安裝者自主開發(fā)的自定義軟件，從而ATM終端。這一操作是成功的，因?yàn)锳TM網(wǎng)關(guān)已經(jīng)不能者ATM終端。之后，攻擊者可通過C&C服務(wù)器控制受的ATM終端并取款。例如，者可模擬某一ATM終端取D：執(zhí)行目標(biāo)（destroyingthemimikatz軟件。BOT軟件也會試圖刪除其創(chuàng)建的工件，如受的PDF文件等。第二節(jié)安全響應(yīng)（實(shí)例擊者企圖控制銀行ATM控制系統(tǒng)（ATM網(wǎng)關(guān)）的意圖。步驟一：準(zhǔn)備組織內(nèi)部網(wǎng)絡(luò)互聯(lián)網(wǎng)只能通過Squid服務(wù)器進(jìn)行。該服務(wù)器通過配置將（Event）發(fā)送給SIEM系統(tǒng)；銀行使用Postfix郵件傳輸（MTA）傳輸組織內(nèi)部的電子郵件。PostfixMTA也銀行內(nèi)部的所有工作站均受卡基安全終端（KasperskyEndpointSecurity）保護(hù)，由卡基的安全中心（KasperskySecurityCenter）；銀行路由器的操作系統(tǒng)是Linux系統(tǒng)。ATM網(wǎng)關(guān)和ATM終端位于網(wǎng)絡(luò)環(huán)境中。僅銀行訂閱了卡基門戶解決方案（KasperskyThreatInligencePortalsolution（45頁。步驟二：鑒別可能發(fā)生什么互的IP地址都會與庫進(jìn)行匹配。工作站的所有文件都會使用終端防設(shè)設(shè)施會將這些文件的哈希值（hash）發(fā)送給SIEM系統(tǒng)。Mimikatz軟件被用于保護(hù)工作站的卡基安全終端（KasperskyBotnetC&CURLSIEM系統(tǒng)監(jiān)全觸發(fā)器，因?yàn)閼?yīng)急響應(yīng)指南中介紹了此類基本上都是安全觸發(fā)器。步驟三：控制鑒別受計(jì)算機(jī)并將其在一個與組織內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)分離的網(wǎng)絡(luò)環(huán)境中。為了鑒別受計(jì)算機(jī)，安全團(tuán)隊(duì)須在SIEM系統(tǒng)中搜索所有與BotnetC&CURL發(fā)送請求相關(guān)的。組織網(wǎng)絡(luò)環(huán)境內(nèi)所有發(fā)出這種請求的計(jì)算機(jī)都可以被判斷為受。全團(tuán)隊(duì)會使用卡基門戶解決方案（KasperskyThreatInligencePortalsolution）的哈希服務(wù)來分析BotnetC&CURL。安全團(tuán)隊(duì)獲取該軟件的哈希值（hash機(jī)。下一步需要獲取的IOC，并通過已獲取的BotnetURL列表和軟件的哈希URL受計(jì)算（iptables絡(luò)環(huán)境中仍存在其他未被識別到的受計(jì)算機(jī)，它們也無法與C&C服務(wù)器建立連接。鑒別載體（attackvector（event在本實(shí)例中，最早發(fā)生的是與IP庫（KL_IP_Reputation）做比對。者用于發(fā)起魚叉式的郵件的服務(wù)報頭中包含一個IP地址，該IP地址與卡基實(shí)驗(yàn)室的庫中的內(nèi)容相匹配。IP庫包含與郵件和郵件相關(guān)的IP地址。這就意味著本次會以發(fā)送郵件給銀行內(nèi)部員工的方式開始。該（event）進(jìn)行響應(yīng)。（Exploit這些郵件的所有收件人，確認(rèn)其他可能受的目標(biāo)計(jì)算機(jī)，并防止員工創(chuàng)建利用程序（Expoit分析軟安全團(tuán)隊(duì)可以使用卡基門戶解決方案（KasperskyThreatInligence這些URL相關(guān)聯(lián)的軟件的哈希值（hash）和描述。就本實(shí)例而言，假定安全團(tuán)隊(duì)并沒有使用卡基門戶解決方案（KasperskyThreatInligencePortalsolution）的檢索服務(wù)。相反，安全團(tuán)隊(duì)試圖通過Sysinternals和Volatility工具中的Autoruns獲取被者利用的軟件AutorunsC盤user下找到了一個可疑的文件lsass.exe。計(jì)算機(jī)，那么應(yīng)由具有權(quán)限的員工遵照安全團(tuán)隊(duì)的指示創(chuàng)建受計(jì)算機(jī)的內(nèi)存副本，并發(fā)送給安全團(tuán)隊(duì)。AccessDataForensicToolkit（43）可用于創(chuàng)建內(nèi)存副本。Volatility工具輸出顯示兩個lsass.exe程。其中一個lsass.exe進(jìn)程的PID是516，PPID是404，這意味著該進(jìn)程是由wininit.exe啟動的。另一個lsass.exe進(jìn)程的PID是2336，PPID1976，這意味著該進(jìn)程是由explorer.exe動的。第二個lsass.exe?？梢桑?yàn)閑xplorer.exe進(jìn)程是WindowsExplorer的一部分，并不是用來運(yùn)行系統(tǒng)進(jìn)程器的。安全團(tuán)隊(duì)成員應(yīng)對軟件進(jìn)行靜態(tài)分析，并使用Strings功能查找lsass.exe文件對應(yīng)的C&C服務(wù)器URL。Strings能的參數(shù)之一是符號的長度。安全團(tuán)隊(duì)成員應(yīng)使lsass.exe文件的不同值進(jìn)行掃描，以便從該文件中獲取ASCII和Unicode字符串。fragment16（fragment這個地址（/page/c）是SIEMBotnetC&CURL 基。有助于保護(hù)其他計(jì)算機(jī)將來免于此類軟件。動態(tài)分析利用程序（Exploit）和荷載案（KasperskyThreatInligencePortalsolution）的沙箱服務(wù)（見46頁）動態(tài)分析利用程序（Exploit。作為備選，他們可以使用的虛擬機(jī)執(zhí)行動態(tài)分析。圖C&C服務(wù)器的行為。結(jié)C&CC&C器URL中；步驟四：根除與復(fù)原（Eradicationand 步驟五：經(jīng)驗(yàn)總結(jié) 地址、URL、哈希值等）均須匯總并添加到組織的安全控件的中。安全團(tuán)隊(duì)?wèi)?yīng)以銀行員工為對象，針對不可信來源郵件處理的安全規(guī)程，開展培訓(xùn)。第四章推薦的工具與功。 第一節(jié)搜集IOC的工具介 Sysinternals60建議使用Sysinternals搜集IOC和分析受計(jì)算機(jī)us/sysinternals/default.aspxPsTools是由一套命令行組成的功能，可用于執(zhí)行進(jìn)程（P ec，（PsList（PsKill（vcPsTools也包含重啟和關(guān)閉計(jì)算機(jī)的功能，副本系統(tǒng)記錄和任務(wù)。ProcessProcessProcessExplorer獲取進(jìn)程打開或加載的句柄（handle）和動態(tài)庫（dynamic-linklibraries，應(yīng)用程序，如InternetExplorer、WindowsExplorer和mediayer等。本功能還可以進(jìn)程管理器（Process服務(wù)與驅(qū)動管理器（Servicesanddrivers內(nèi)核模塊（KernelspaceWinsockSPI(LSP,NSP,TSP)管理器（WinsockSPI(LSP,NSP,TSP)分析開放式TCP和UDP端口的模塊（ModuleforyzingopenTCPandUDP自啟動管理器（AutorunsIE（InternetExplorerextensionsWindowsExplorer（WindowsExplorerextensionsWindowsControlPanel(CPL)程序管理器（WindowsControlPanel(CPL)appletsmanager）打印系統(tǒng)擴(kuò)展管理器（Printingsystemextensions任務(wù)調(diào)度作業(yè)管理（TaskSchedulerjobs協(xié)議和處理程序管理器（ProtocolsandhandlersWindows（WindowsActiveSetup主機(jī)文件管理器（HostsfileAVZ功能可從本地址： 隱藏進(jìn)程（Hidden隱藏線程（Hidden隱藏模塊（Hidden隱藏服務(wù)（Hidden隱藏文件（Hidden隱藏磁盤扇區(qū)（Hiddendisk隱藏表鍵值（Hiddenregistryhook（Kernelmodedriverhooks）GMER功能可從本地址：YARA是用于幫助研究人員分析和分類軟件樣本的工具。YARA是一個多平臺的Windows、LinuxAppleMacOSXYARA和Python與YARAPython擴(kuò)展配合使用。運(yùn)用YARA，研究人員可基于文本和二進(jìn)制模式創(chuàng)建軟件的相關(guān)描述。每個描述（也稱為規(guī)則）是由決定該軟件的邏輯的一組字符串和布爾表達(dá)式組成。第二節(jié)創(chuàng)建副本（Dump）的工具介GRRRapidGRRRapidResponse采用CS結(jié)構(gòu)?？蛻舳税惭b在工作站，并用于數(shù)據(jù)。服務(wù)器GRRRapidResponse功能可從本地址/ForensicToolkit（FTK）是一套數(shù)字取證的工具。ForensicToolkit包含F(xiàn)TK鏡像功子表格和每個電子表格的相關(guān)描述及本地位置。FTK有一個用于查找IOC的關(guān)鍵字列ForensicToolkit（FTK）功能可從本地址 能。主要目的是轉(zhuǎn)換和文件。使用DD工具做一個硬盤啟動扇區(qū)的備份。BelkasoftRAM 如果是個ATP，最好交由專家分析?？ɑT（KasperskyThreat ligence卡基門戶是集成多個卡基服務(wù)的安全設(shè)施 檢卡基檢索服務(wù)提供了卡基獲取的有關(guān)網(wǎng)絡(luò)及與其相關(guān)的所Whois追本項(xiàng)服務(wù)通過特定的WHOIS數(shù)據(jù)搜索條件查找和IP地址。這類條件可能是APT報綜合性的卡基實(shí)踐報告。數(shù)據(jù)庫（卡基庫成。并可接入SIEM系統(tǒng)。如，Splunk、HPEArcSight、IBMQRadar、EMCRSANetWitness、LogRhythm、McAfeeEnterpriseSecurityManager(ESM)。提高安全響應(yīng)的效率。Threat及網(wǎng)絡(luò)、正規(guī)對象和IOC之間的關(guān)