告警分析分類:
- 規則類告警分析
- 情報類告警分析
- 日志hunting分析
- 報告編寫
1.規則類告警分析:
mimikatz攻擊
檢測到后需要分析執行命令,是否存在以上特定參數,若有則屬實。
powershell無文件攻擊
Powershell.exe可以從網絡下載腳本內容並在內存中執行。
本地磁盤不會有腳本文件生成。
黑客常場利用powershell的這個特性來執行惡意腳本,躲避殺軟的監控。
檢測到后需要分析執行命令,是否有從外網下載文件的命令,觀察下載文件的后續執行動作。
wmic無文件攻擊
Wmic.exe跟powershell類似,可以從網絡下載腳本並執行,不落硬盤。
常在進程命令中會有外網ip請求文件下載。
檢測到后需要分析執行命令,是否有從外網下載文件的命令,觀察下載文件的后續執行動作。
本身這種命令只要檢測到就是不正常的!
Mshta無文件攻擊
mshta通常會隱藏在word文檔中,誘使用戶點擊后,觸發外網攻擊腳本下載。
hashdump攻擊檢測
lsass.exe進程內存中包含了用戶賬號密碼的hash信息。
黑客會dump並解析lsass.exe內存,獲取賬戶密碼的hash信息。
這種場景需要查詢下該進程對應文件MD5,在內網第一次出現是什么時候,找到第一台終端在進行溯源。
釣魚郵件攻擊檢測
發送經過精心設計的釣魚郵件,誘導用戶運行惡意附件或鏈接是黑客經常利用的滲透方式。
通過記錄和檢索內網終端郵件來往的附件,確定失陷范圍。
通常告警進程列表會包括outlook.exe,word.exe或者excel.exe等。
也會有一定誤報,需要具體分析。
2.情報類告警分析:
IOC告警確認情報有效性
詳情查詢
點擊告警詳情進入查看,IOC告警通常查看DNS訪問和IP訪問記錄可以了解出發告警信息。
若是數量太多,可以復制告警進程MD5,到威脅追蹤頁面搜索,點擊“告警事件”,點擊過濾字段取消全選,看到host字段,就是命中IOC告警的域名或者IP。
也可以通過告警發現時間+告警進程MD5進行精確查詢,例如:
3.日志hunting分析:
終端進程定位
對網絡告警通報進行終端定位核實,在“威脅追蹤”頁面直接搜索IP和域名查到具體的終端和進程信息。
根據進程樹及運行命令進行分析判斷。
對釣魚郵件等終端攻擊行為進行調查
通過威脅追蹤,對釣魚攻擊行為進行調查及影響面評估
事例:疑似發現一個“采購表”的釣魚郵件,調查攻擊影響面。
方法:搜索釣魚郵件附件標題,找到“郵件附件傳輸”日志,點擊+按照“發件人”或者“收件人”統計。
對內部員工敏感信息暴露等行為進行檢查
對日常辦公場景下敏感數據暴露進行檢查及評估范圍
事例:通過威脅追蹤搜索“密碼”關鍵字,發現員工把公司重要資產的賬號密碼寫到了excel或者txt,並放在電腦桌面或者移動硬盤上。
一旦域賬戶被竊取,公司的服務器權限都會被拿下。
根據移動存儲設備SN號,確認攻擊失陷范圍
當發現某個病毒或者攻擊樣本疑似通過U盤進行投遞,需要確認該攻擊影響終端范圍
事例:通過威脅追蹤搜索U盤SN號,添加+篩選條件,按終端統計,則可以看到插入過該U盤的終端列表。
遠控類等非辦公軟件使用檢測
有些客戶禁止終端使用遠控類軟件,但有員工還是為了遠程運維方便,會偷偷使用向日葵或者teamviewer等工具
事例:通過查詢進程名可以了解是否有相關進程的運行記錄,例如:
非辦公時間聯網終端異常檢測
某些客戶單位會對要求終端下班了關機,對非辦公時間的使用情況進行異常監控,有可能會成為遠控的目標機
事例:通過選擇具體某一天,或者過去30天,然后搜索語句限定具體的時間段,例如凌晨到早8點前的日志信息。
無簽名進程注入系統進程檢測
類似CS,通常會運用進程注入到系統進程,來達到持續在終端駐留的目的
事例:選擇篩選條件,選出注入進程無簽名,往帶微軟簽名進程進行注入,查看詳情,根據上下文信息判斷是否為可疑。
對疑似淪陷終端進行調查
一個終端是否被攻擊,往往需要配合該終端多個跡象或證據來輔助判斷。
遠程調查提供了可以一鍵提取聚合終端的日志信息的能力,如可以查看終端啟動項,終端服務和計划任務等關鍵項信息。
事例:主要查看計划任務和啟動項,是否有包括powershell,wmic或者定期遠程訪問某站C2站點的地址。
EDR常用高級查詢語句
天眼&EDR聯動處置
天眼與EDR配置了skyC2組件進行聯動,當天眼通過流量檢測發現某終端出現異常網絡訪問時,能通過天眼分析平台對出發IOC告警的惡意終端進程進行隔離處置。
處置的請求會從天眼分析平台,通過skyc2組件發送到天擎控制台進行執行,並把處置后的結果返回給天眼。
4.報告編寫
- 前言
- 簡報
- 事件分析
- 附錄