应急响应概述

首先我们来了解一下两个概念：应急响应和安全建设，这两者的区别就是应急响应是被动响应、安全建设是主动防御。

常见的有：

安全设备告警、数据被勒索加密、数据泄露在网上贩卖、网页被篡改、服务器CPU爆满卡死等。

在应急响应的时候，你会发现一个非常有用的经验技巧，就是：一旦你能够确定本次安全事件的类型，猜测出攻击者或者恶意代码的攻击思路，然后去验证排查这些猜想，就会加速你的分析过程，而这些从事件起因中就能够获取到一些信息。

应急响应目的

• 遏制事件发酵

• 找到恶意代码

• 分析入侵路径

• 整理入侵时间线

• 分析恶意代码行为

• 追踪溯源

应急响应人员工作

• 找到恶意代码：通过各种动静态分析找到恶意代码、感染文件，进行取样然后清除。

• 分析入侵路径、入侵时间线：结合各类日志以及恶意代码本身，将有关证据进行关联分析，构造证据链，重现攻击过程。

• 分析恶意代码：找到恶意程序的特征，包括行为、释放的文件、网络通信等，从而得到识别、防御和删除该病毒的方法，使得我们的其他机器能够防得住该恶意程序的攻击

• 解决问题，根除隐患，分析导致事故发生的系统脆弱点，并采取补救措施，恢复系统，使系统正常运行

应急响应流程

• 安全事件报警

• 安全事件确认

• 启动应急预案

• 安全事件处理

• 撰写安全事件报告

• 应急工作总结

遏制影响

• 网站下线（篡改、挂反标）

• 断网隔离（远控后门、APT）

• 流量清洗（DOS的进行）

• 联系运营商（劫持类） /一般不关我们事**/

windows应急响应脚本

 工具介绍

看了奇安信的那本网络安全应急响应技术实战指南发现可以写一个自动检测的脚本，帮助在应急的时候有一点点的用处。程序由python语言编写，无毒无后门

功能：检测程序是否有外连行为，外连地址是否存在风险

用法：直接运行exe即可

注意

1、将config.ini里的threatbook_api=微步在线的api 2、api申请地址（每天只要50条，超过上限则会提示手工核查）：https://x.threatbook.com/v5/myApi

获取方式

公众号回复应急小脚本即可获得该工具

推 荐 阅 读