企业内网失陷后应急响应

内网横向移动应急响应

现象：

已知道内网主机被远控应急处理。

止损：

联系业务切断snat访问公网权限、隔离该主机，备份环境（快照备份、日志打包下载）

应急处置步骤：

1、防御产品：预警详情快速排查确认
2、攻击者目的评估：
1）HW网演练核心是靶标拿、系统权限和获取各类数据,突破后横向常见数据库、中间件的未授权和弱口令以及RCE扩展控制节点。
2）互联脚本攻击利用-挖矿计算资源利用
3）白帽子不定项向，证明漏洞存在类
4）其他攻击者APT行为，商业目的获取数据和破坏。
3、渗透行为排查：
业务日志（http 常见命令执行函数、服务可能有payload）、操作记录
4、横向范围排查：
1）安全产品蜜罐预警;
2）远控端IP地址与其他资产通信行为，http、snat日志等
3）攻击者入侵时间和入侵痕迹和操作行为判断，攻击者报告和留下的文件
4）情报IOC监控
5）扫描全网痕迹文件
5、修洞恢复业务
6、根据安全事件影响范围在不同阶段上报反馈以及上级决策指导
7、复盘：根据攻击链路增加安全拦截感知能力以及流程等