企业遭到黑客攻击怎么处理，应急响应的整体思路和基本流程 _黑客攻击

我们大致从八个方面阐述，分别是：应急响应的整体思路、应急响应的基本流程、应急工具集简介、系统日志及日志分析、威胁情报的作用、常见病毒及分类、理解漏洞和补丁、技能提升建议。
一、应急响应的整体思路应急响应的整体思路，就是上层有指导性原则和思想，下层有技能、知识点与工具，共同推进和保障应急响应流程的全生命周期。

文章插图

原则和指导性思路

3W1H原则：3W即Who、What、Why，1H即How，做应急响应要带着疑问来做事，一定要收集清楚这些信息。网络拓扑是怎么样的？需求是啥？发生了什么事？你能做什么？用户用了什么产品？产品版本多少？病毒库版本多少？多少主机中了？主机是普通PC还是服务器？服务器是做什么的？……信息收集越多，对应急响应越有利。
易失性原则：做应急响应免不了要做信息收集和取证的，但这里是有一定的先后顺序的，即最容易丢失的据，应该最先收集，其它的依次类推。
要素原则：做应急响应，主要是抓关键证据，即要素，这些要素包括样本、流量、日志、进程及模块、内存、启动项。
避害原则：做应急响应，要做到趋利避害，不能问题还没有解决，反而引入了新的问题。譬如，自己使用的工具被感染而不知情；给用户使用不恰当的工具或软件造成客户主机出现问题；给别人发样本，不加密，不压缩，导致别人误点中毒，最极端的场景就是给别人发勒索样本不加密压缩，导致别人误点中毒。

技能、知识点与工具

应急工具集：应急响应必要的一套工具集合，可协助应急人员做分析，提高效率。
日志分析：能对日志进行分析，包括但不限于系统日志（windows/linux等）、应用日志、安全设备日志（防火墙、防病毒、态势感知等）。
威胁情报：安全事件可能不是孤立的，安全站点或搜索站点能找到安全事件的关联信息。
漏洞补丁知识：知道漏洞与补丁的关系，它们在应急响应中的角色，了解常见漏洞及补丁。
常见病毒及分类：知道病毒大致的分类以及常见的病毒。
样本分析：至少能对样本进行一次简单动态的分析。
操作系统知识：至少对Windows系统和Linux系统的有一定的知识储备，知道其基础的工作原理。

二、应急响应的基本流程应急响应大致可以分为五个部分，其基本流程包括收集信息、判断类型、深入分析、清理处置、产出报告。

文章插图

收集信息：收集客户信息和中毒主机信息，包括样本。
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS等等。
深入分析：日志分析、进程分析、启动项分析、样本分析。
清理处置：直接杀掉进程，删除文件，打补丁，抑或是修复文件。
产出报告：整理并输出完整的安全事件报告。

文章插图

勒索和挖矿事件，可以占比50%以上，而且这两种安全事件业务特征极其鲜明，因此可以单独提流程出来处置。
信息收集表客户名称什么区域的什么客户感染主机数感染了多数台主机补丁情况打了哪些补丁，是否存在补丁漏打中毒现象勒索/挖矿/DoS/僵尸网络/后门/木马帐号密码确认是否有弱密码对外开发端口对外开发了哪些端口开启的服务开启了哪些服务操作系统版本操作系统版本信息客户需求确认客户具体需求

文章插图

取证要素：取证并非毫无头绪的，病毒本身必然有网络行为，内存必然有其二进制代码，它要么是单独的进程模块，要么是进程的dll/so模块，通常，为了保活，它极可能还有自己的启动项、网络心跳包。
总之，可以归结为如下4点要素：流量、内存、模块、启动项。
流量分析可以使用Wireshark，主要分析下当前主机访问了哪些域名、URL、服务，或者有哪些外网IP在访问本地主机的哪些端口、服务和目录，又使用了何种协议等等。
例如，使用Wireshark观察到，主机访问了sjb555.3322.org这种动态域名，即可粗略猜测这是一个C&C服务器（如何判断一个域名是可疑域名，可以参考后文）。