正文

分享一次较为无语的应急响应

admin
admin V管理员 /0 评论 /7 阅读
0519
文章最后更新时间2025年05月19日,若文章内容或图片失效,请留言反馈!
1.引言
作为一名甲方驻场人员,肯定是希望甲方的信息系统每天都要平平安安的,不要出问题,但天不遂人愿,隔三差五总会有几个应急让你焦头烂额,这不,前一阵我这边又发生了一起安全事件,不过等我查出事件的原因后,还是比较无语的,具体是如何发生的?听我婉婉到来。。。。
2.过程
在某一天上午,甲方APT设备突然告警
我作为驻场人员,第一时间去排查这个告警
首先要搞明白被入侵的这个IP是哪一台设备,通过排查发现为机房监控室的机器,主要用来查看监控。
而那个入侵IP是上级部门下发的一批恶意IP,让我们加入到APT中进行防护的,我当时心想完了,这是被入侵了,哎,抓紧给客户汇报,准备应急。
这个时候,咱们就要针对安全事件进行应急了,我这里有一个应急的手册,我抓紧翻看来进行查阅。
(笔记文末也会送给大家)
(1)基本信息搜集
1.我第一时间对这个恶意IP进行封堵,将这个IP加入waf、ips黑名单。
2.又进一步的分析告警,发现该设备疑似中毒,因为后续APT的告警量特别大,达到上百条。
3.通过这个IP排查近三个月的攻击情况,结果未发现有攻击情况,且没造成扩散。
(2)告警排查
通过Process抓取请求,未发现本地有进程访问恶意IP
这我就纳闷了,也没发现被入侵的情况,怎么这个告警还一直存在呢。
然后我发现,这个机器使用的是某数字浏览器。只要用这个数字浏览器访问监控系统就会触发告警。而我用狐狸浏览器却不会触发告警。。
甭管是急速浏览器还是普通浏览器都会触发告警
用我的电脑的谷歌浏览器访问监控系统也不会触发告警,,,
这就很奇怪了。然后我又询问了一些大佬,他们给我的回复是
数字浏览器自身外联恶意IP导致告警,然后我将这个浏览器卸载掉,使用谷歌浏览器访问,告警消失。。。
3.结语
怎么样,是不是很奇怪?不管怎么说,不在产生告警了就好,至于浏览器,我在此不做评判。只希望以后不要再发生这种事了,不然小心脏真受不了呀。
分享应急响应实战笔记:

链接: https://pan.baidu.com/s/1FxSYIZAiCcGVAV6UjsLTAg?pwd=mdg4 提取码: mdg4 

如果你想进群交流的话也可以进我们的交流群一块交流网络安全知识哦


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下