发布时间 : 星期四 文章网络与信息安全应急响应技术规范与指南更新完毕开始阅读
QB-XX-XXX-2004
检测阶段流程图:
发现系统异常 形成安全事件报告 查找安全事件的原因 确定安全事件的原因、性质和影响范围 确定安全事件的应急处理方案
2.1.3 检测阶段操作说明
1)对系统的影响:本章操作不会对系统造成影响,在系统正常运行情况下执行各个步骤,但在事件驱动检测方式中,确定有安全事件发生的情况下必须根据流程采取相应的措施,会中断系统或网络的正常运行;
2)操作的复杂度(容易/普通/复杂/):初级检测,普通;高级检测,复杂;
3)操作效果:例行检测是一种积极的方式,能预先发现系统和网络存在的漏洞,可根据流程采取补救措施;事件驱动方式的检测方法对安全事件能迅速响应,不会让安全事件扩大; 4)操作人员:系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员 2.2系统安全事件初步检测方法 2.2.1 Windows系统检测技术规范
2.2.1.1 Windows服务器检测技术规范
本小节详细描述了Windows服务器入侵检测技术规范和操作流程,共十一项检测内容: 1)日志检查:
目标:从系统日志中检测出未授权访问或非法登录事件; 从IIS/FTP日志中检测非正常访问行为或攻击行为;
说明:检查事件查看器中的系统和安全日志信息,比如:安全日志中异常登录时间,未知用名登录。
检查 %WinDir%\\System32\\LogFiles 目录下的WWW日志和FTP日志,比如WWW日志中的对cmd.asp文件的成功访问。
第 37 页 共 89 页
QB-XX-XXX-2004
2)帐号检查:
目标:检查系统非正常帐号,隐藏帐号
说明:使用net user,net group,net local group命令检查帐号和组的情况,使用计算机管理查看本地用户和组。利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比。 3)进程检查:
目标:检查是否存在未被授权的应用程序或服务
说明:使用任务管理器检查或使用微软件工具包进程察看工具pulist。利用这些获得的信息和前面准备阶段做的进程快照工作进行对比。 4)服务检查:
目标:检查系统是否存在非法服务
说明:使用“管理工具”中的“服务”查看非法服务或使用sc工具察看当前服务情况,利用这些获得的信息和准备阶段做的服务快照工作进行对比。 5)自启动检查:
目标:检查未授权自启动程序
说明:检查系统各用户“启动”目录下是否存在未授权程序 6)文件检查:
目标: 检查病毒、木马、蠕虫
说明:使用防病毒软件检查文件,扫描硬盘上所有的文件。 7)网络连接检查:
目标:检查非正常网络连接和开放的端口
说明:使用ipconfig, netstat –an或其它第三方工具查看所有连接,检查服务端口开放情况,利用这些获得的信息和准备阶段做的网络连接快照工作进行对比。 8)共享检查:
目标:检查非法共享目录
说明:使用net share检测当前开放的共享,使用$是隐藏目录共享,利用这些获得的信息和前面准备阶段做的共享快照工作进行对比。 9)定时作业检查:
目标:检查是否存在不明定时执行作业
说明:使用at命令,检查当前定时作业情况,利用这些获得的信息和前面准备阶段做的定时作业快照工作进行对比。 10)注册表检查:
目标:检查注册表中是否存在非正常程序
说明:检查以下注册表项,并和前面做的注册表快照工作进行对比。
HKEY_LOCAL_MACHINES\\System\\CurrentControlSet\\Control\\SessionManager\\KnownDLLs HKEY_LOCAL_MACHINES\\System\\ControlSet001\\ Control\\SessionManager\\ KnownDLLs HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_LOCAL_MACHINES\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows(―run=‖line)
HKEY_LOCAL_MACHINES\\sam\\sam
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER \\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
第 38 页 共 89 页
QB-XX-XXX-2004
HKEY_CURRENT_USER \\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx HKEY_CURRENT_USER \\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows(―run=‖line)
11)资源使用检查
目标:检查CPU/内存等系统资源使用情况是否正常。
说明:利用Windows任务管理器检测系统CPU,内存系统资源占用情况,利用Windows资源管理器检查系统硬盘使用情况,利用netstat命令检测当前系统网络连接状态是否正常。 2.2.1.2 Windows检测典型案例
情况描述:
国家XX局Windows服务器主页页面被删除,服务器被黑客非法安装多个后门的入侵检测事件。根据Windows初级检测技术,分析该系统服务、帐号、进程等情况,查找出攻击者在系统中留下的后门及一些操作。 入侵分析: 帐号检测:
使用net user 命令,发现存在缺省用户之外的用户test,经过与安全快照对比,系统维护人员确认,此用户不是系统维护人员增加,为黑客留下的后门帐号。 进程检测:
使用任务管理器,发现telnet进程,经过与安全快照对比,系统维护人员并没打开该服务,而系统缺省情况下telnet服务也是关闭的。 服务检测:
打开“管理工具”中的“服务”,经过与安全快照对比,发现telnet服务被启动并被设置到自动启动模式,同时新增加VNC服务,该服务提供一个远程图形界面的控制台,是国内黑客常用的后门程序。 网络连接检测:
利用netstat –an 命令,发现TCP23(telnet程序开放的端口)、TCP5800,5900(VNC后门程序开放的端口)端口开放,经过与安全快照对比,为黑客所为。 2.2.2 Unix系统检测技术规范
2.2.2.1 Solaris 系统检测技术规范
1)日志检查:
目标:检查日志和用户历史记录文件,检查是否存在入侵行为
说明:/var/log,/var/adm./etc/syslog.conf,/.sh_history,/.bash_history和其它用户目录的历史记录文件。如: cd /var/log strings syslog cd /var/adm strings messages 2)帐号检查:
第 39 页 共 89 页
QB-XX-XXX-2004
目标:检查非正常帐号
说明:检查/etc/passwd,/etc/shadow文件,通过和初始化的快照对比发现是否被更改,如果发现了新的超级用户或者是发现了新的shell账户等等, 就可能存在入侵行为。 3)进程检查:
目标:检查系统是否运行未被授权的应用程序或服务
说明:利用ps –ef或ps –aux 命令检测非法进程,通过和快照进行对比,查看是否有异常的进程。
4)服务检查:
目标:检查系统是否存在未被授权服务;
说明:检查/etc/inetd.conf文件中的服务进程是否已被替换;
检查/etc/rc*.d目录下的所有启动服务脚本文件是否被更改; 5)文件和目录检查:
目标:检查系统非正常隐藏文件或可疑文件
说明:检查带setuid和setgid位文件:find / \\(-perm –2000 –o –perm –4000 \\) –type f –exec ls
–la{} \\;
检查无用户或组的文件:find / -nouser –o –nogroup –print
检查/etc/hosts.equiv, /etc/hosts.lpd 和所有目录下的.rhosts文件:find / -name .rhosts –exec –-ls –la {} \\;
检查隐藏目录或文件 find / -name ―.*‖ –print –mdev 6)网络连接检查:
目标:检查非正常网络连接和服务端口开放情况
说明:使用netstat –an查看所有连接,检查当前网络连接和服务端口开放情况 7)定时作业检查:
目标:检查所有cron和at定时调用执行作业中是否存在非法作业
说明:检查如下文件或目录:/etc/default/cron /etc/cron.d/ /var/cron/log /var/spool/cron/* 2.2.2.2 Unix检测典型案例
情况描述:
某省电信Solaris8主机被入侵者安装上rootkit的入侵检测事件。现场分析主要依据是规范里的一些命令,并分析输出和快照进行对比, 查找出攻击行为。 入侵分析: 1)日志检测:
cd /var/log时出错,很可能是入侵者删除了些目录。
通过strings lastlog 和 strings messages和其它一些文件,没有发现明显的不正常记录。
第 40 页 共 89 页