Solución de emergencia Resolución de medidas de intrusión empresarial de Enterprise Server

Un atacante invade un sistema, siempre dirigido por un propósito principal. Por ejemplo, haciendo alarde de la tecnología, obteniendo datos corporativos confidenciales, socavando los procesos comerciales normales de la empresa, etc., a veces es posible que después de la invasión, el comportamiento de ataque del atacante haya cambiado de un propósito a otro, por ejemplo, es una tecnología de visualización. Sin embargo, después de ingresar al sistema, se descubrieron algunos datos confidenciales importantes. Debido a los intereses, el atacante finalmente robó los datos confidenciales. Un atacante invade un sistema, siempre dirigido por un propósito mayor. Por ejemplo, haciendo alarde de la tecnología, obteniendo datos corporativos confidenciales, socavando los procesos comerciales normales de la empresa, etc., a veces es posible que después de la invasión, el comportamiento de ataque del atacante haya cambiado de un propósito a otro, por ejemplo, es una tecnología de visualización. Sin embargo, después de ingresar al sistema, se descubrieron algunos datos confidenciales importantes. Debido a los intereses, el atacante finalmente robó los datos confidenciales.

Y el propósito del atacante de invadir el sistema es diferente, el método de ataque utilizado será diferente, y el alcance y la pérdida causada no serán los mismos. Por lo tanto, cuando se trata de diferentes eventos de intrusión en el sistema, es necesario prescribir el medicamento correcto. Los diferentes tipos de intrusión en el sistema deben resolverse mediante diferentes métodos de tratamiento. De esta manera, es posible lograr un tratamiento específico y lograr el mejor efecto de tratamiento.

Recuperación de intrusiones en el sistema para el propósito de mostrar la tecnología

Hay varios atacantes que invaden el sistema con el único propósito de mostrar su tecnología de red superior a sus compañeros u otros, o para experimentar con uno. Actividad de intrusión en el sistema causada por vulnerabilidades del sistema. Para tales eventos de intrusión en el sistema, el atacante generalmente dejará alguna evidencia en el sistema comprometido para probar que ha invadido exitosamente el sistema, y ​​algunas veces publicará los resultados de su intrusión en un foro en Internet, como un ataque. El intruso es un servidor WEB, cambiarán la información de la página de inicio de este sitio WEB para indicar que han invadido el sistema, o instalarán la puerta trasera para convertir el sistema invadido en su parrilla y luego venderlo abiertamente. O publicado en algunos foros para anunciar que han invadido un sistema. En otras palabras, podemos subdividir este tipo de intrusión del sistema en intrusión del sistema con el fin de controlar la intrusión del sistema y modificar el contenido del servicio.

Para las actividades de intrusión del sistema destinadas a modificar el contenido del servicio, la recuperación del sistema se puede completar sin tiempo de inactividad.

1. El método de procesamiento que debe utilizarse

(1), establece una instantánea del sistema completo actual del sistema comprometido, o guarda solo la instantánea de la parte modificada para su posterior análisis y evidencia.

(2), restaure inmediatamente la página web modificada mediante una copia de seguridad.

(3) Bajo Windows, use el software de monitoreo de red o el comando "netstat -an" para verificar la conexión de red actual del sistema. Si se encuentra una conexión de red anormal, debe desconectarse de inmediato. Conectado. Luego verifique los archivos del sistema, los servicios y el análisis del sistema y los archivos de registro de servicio para verificar qué acciones ha realizado el atacante en el sistema para realizar la recuperación correspondiente.

(4), mediante el análisis de los archivos de registro del sistema o mediante la herramienta de detección de vulnerabilidades para comprender la vulnerabilidad explotada por el atacante para invadir el sistema. Si un atacante explota una vulnerabilidad en un sistema o aplicación de red para poner en peligro el sistema, debe buscar el parche de vulnerabilidad del sistema o aplicación correspondiente para solucionarlo. Si no hay parches relacionados para estas vulnerabilidades, deberíamos usar otros Medios para prevenir temporalmente las intrusiones que explotan estas vulnerabilidades nuevamente. Si el atacante usa otros métodos, como la ingeniería social para invadir el sistema y no hay nuevas vulnerabilidades en el sistema de inspección, no es necesario realizar este paso, pero el objeto de la implementación del ataque de la ingeniería social debe ser comprendido y entrenado.

(5), después de reparar las vulnerabilidades del sistema o la aplicación, también debe agregar las reglas de firewall correspondientes para evitar que estos eventos vuelvan a ocurrir. Si se instalan IDS /IPS y el software antivirus, también deben actualizarse. Biblioteca

(6) Finalmente, use el sistema o el software de detección de la aplicación correspondiente para realizar una detección exhaustiva de vulnerabilidades en el sistema o servicio, y asegúrese de que la base de datos de firmas de detección esté actualizada antes de la prueba. Después de que se haya completado todo el trabajo, el sistema debe organizarse para monitorear el sistema en tiempo real para garantizar que el sistema no sea atacado nuevamente por tal intrusión.

Si un atacante ataca el sistema para controlar el sistema como broiler, para poder controlar el sistema por un largo tiempo, instalarán el programa de puerta trasera correspondiente en el sistema. Al mismo tiempo, para evitar que el usuario o administrador del sistema lo descubra, el atacante intentará ocultar sus rastros de operación en el sistema y ocultará la puerta trasera que instaló.

Por lo tanto, solo podemos saber si el sistema ha sido controlado por el atacante verificando el proceso del sistema, el estado de la conexión de la red y el uso del puerto. Si se determina que el sistema se ha convertido en el asador del atacante, debe ser el siguiente Para llevar a cabo la recuperación de intrusión:
<1> (1), analice inmediatamente la hora específica en que se invadió el sistema, el alcance y la gravedad del impacto actual, y luego cree una instantánea del sistema invadido, guarde el daño actual, para obtener más información. Análisis post mortem y retención de evidencia.

(2), use el software de monitoreo de conexión de red o el software de monitoreo de puerto para detectar la conexión de red y el uso de puerto establecido actualmente por el sistema. Si se encuentra una conexión de red ilegal, desconéctelos de inmediato y Agregue una regla de desactivación para esta IP o puerto al firewall.

(3), a través del Administrador de tareas de Windows, para verificar si se está ejecutando un proceso o servicio ilegal, y finalizar de inmediato todos los procesos ilegales encontrados. Sin embargo, algunos procesos especiales de puerta trasera no aparecerán en el Administrador de tareas de Windows. En este punto, podemos usar el software de la herramienta como Icesword para encontrar estos procesos ocultos, servicios y módulos del kernel cargados, y luego colocarlos Termina la tarea todos.

Sin embargo, a veces no podemos terminar el proceso de algunas puertas traseras de esta manera, luego solo podemos suspender el negocio y pasar al modo seguro. Si no puede finalizar la ejecución de estos procesos de puerta trasera en modo seguro, solo puede restaurar los datos del servicio durante un cierto período de tiempo después de restaurar los datos del servicio y luego restaurar los datos del servicio.

Esto provocará un evento de interrupción del negocio. Por lo tanto, la velocidad debe ser lo más rápida posible para reducir el impacto y la pérdida causada por la interrupción del negocio. A veces, también deberíamos verificar si hay servicios de puerta trasera registrados ilegalmente en el servicio del sistema. Esto se puede verificar abriendo los "Servicios" en el "Panel de control" - "Herramientas administrativas", y todos los servicios ilegales encontrados se desactivarán.

(4) Al buscar procesos y servicios de puerta trasera, debe registrar todos los procesos y nombres de servicio encontrados, y luego buscar estos archivos en el registro del sistema y en la partición del sistema, que se encontrarán relacionados con esta puerta trasera. Se eliminan todos los datos. También debe eliminar todos los contenidos del menú Inicio - Todos los programas - Elemento del menú Inicio.

(5) Analice el registro del sistema para comprender cómo el atacante invadió el sistema y qué operaciones realizó en el sistema. Luego se corrigen todos los cambios realizados por el atacante en el sistema. Si explota la vulnerabilidad del sistema o la aplicación para invadir el sistema, debe encontrar el parche de vulnerabilidad correspondiente para corregir la vulnerabilidad.

Si no hay parches relacionados para esta vulnerabilidad, debe usar otros métodos de seguridad, como firewalls para bloquear la conexión de red de ciertas direcciones IP, para prevenir temporalmente los ataques de intrusión a través de estas vulnerabilidades, y continuar Preste atención al estado más reciente de esta vulnerabilidad y debe modificarse inmediatamente después de que se lance el parche correspondiente. Parcheando sistemas y aplicaciones, podemos automatizarlos con el software apropiado.
(6) Una vez finalizado el trabajo de reparación del sistema, la herramienta de detección de vulnerabilidades también debe utilizarse para realizar una detección integral de vulnerabilidades en el sistema y en la aplicación para garantizar que no se produzcan debilidades en el sistema o la aplicación. También utilizamos un método manual para verificar si se ha agregado una nueva cuenta de usuario al sistema, y ​​la configuración de instalación correspondiente ha sido modificada por el ataque, como la modificación de las reglas de filtrado del firewall, la sensibilidad de detección de IDS /IPS, lo que permite al atacante deshabilitarlo. Servicio y software de seguridad.

2. Garantice aún más los resultados de la recuperación de intrusión Kz6 China Red Guest Alliance - la organización invitada más grande del mundo

(1), modifique el administrador del sistema u otro nombre de cuenta de usuario y contraseña de inicio de sesión.

(2), modifique la base de datos y el administrador de la aplicación y el nombre de la cuenta de usuario y la contraseña de inicio de sesión;

(3), consulte las reglas del firewall; Kz6 China Red Guest Alliance: la más grande del mundo Red Guest Organization
<4> (4) Si el software antivirus e IDS /IPS están instalados en el sistema, actualice su base de datos de virus y la base de datos de firmas de ataque respectivamente;

(5), restablezca los derechos de usuario;

(6), restablece las reglas de control de acceso del archivo;

(7), restablece las reglas de control de acceso de la base de datos;

(8), modifica el sistema El nombre y la contraseña de inicio de sesión de todas las cuentas relacionadas con las operaciones de red.

Una vez que hayamos completado todas las tareas de recuperación y parcheo del sistema que se muestran arriba, podemos realizar una copia de seguridad completa del sistema y los servicios y guardar la nueva copia de seguridad completa por separado de la copia de seguridad completa anterior.