1、恶意外联,ip封禁及溯源
准备工作:对恶意ip信息收集,如fofa、钟馗之眼、资产绘测等等;
受害者信息收集,如:开放端口,判断入侵点;
2、现场调研
互联网结构,数据流向,核心交互机(是否有服务器);
日志审计:windows系统日志中,wife连接日志可以确认安全事件发生时间;
是否有态势感知平台,判断外联时间;再去锁定操作系统日志;是否有横向移动排查;
3、登录路由器
封禁ip策略;或者是防火墙上,双向上/下行策略;
4、验证策略
ping恶意ip;
5、溯源事件原因
首先是安全设备日志(安全日志审计)查找定位到终端发起连接,登录该主机查看日志分析;
是否安装杀软;
6、应急处置/优化加固
封禁ip、恶意域名加入黑名单;
上网行为审计功能;
管理权限:SSH、snmp、远程登录关闭;
7、总结建议
- 提升安全意思,弱口令
- 排查所有资产,全盘查杀
- 网络层加强安全防护,如防火墙,开启防病毒等
- 规范u盘等使用,插入时进行查杀
- 加强安全监测能力,定期安全监测并记录;