结合威胁情报的Webshell事件处理谈(1)–结合kill chain的攻击还原

围观次数:963 views

1 概述

   整个过程主要包含了三个阶段。

   1、战术情报:主要通过kill chain的还原,描述了攻击的整个过程。

   2、战略情报:结合样本与威胁情报库,对攻击者、攻击工具、攻击手法等进行深入分析与画像。

   3、通过前面的分析,形成机读的IOC,进行信息共享,达到预警、预防、反制的目的。

51

2 战术情报:基于流量,结合kill chain的Webshell的检测与取证

   基于流量的webshell分析,比日志分析、样本分析而言,可获得的信息更多,可以做到:

   1、基于行为的payload分析,发现未知的、伪装性的webshell;

   2、攻击过程的还原,可以从kill chain的角度来还原整个攻击过程。

下面是一个案例分析,攻击总体过程分析如下:

52

2.1告警(线索)

   首先通过基于流量的webshell分析引擎,告警发现多个疑似webshell流量。

53

2.2过程还原

   依据此线索,我们开始逐步的深入分析,还原整个的攻击过程。下面主要上图为主。

Act

54

C2

55

installation

56

exploitation

57

delivery

53

 上面完整的还原此次事情的攻击过程。后面会介绍结合样本与威胁情报库,对攻击者、攻击工具、攻击手法等进行深入分析与画像。

请关注下篇《结合威胁情报的Webshell事件处理谈(2)–攻击者的深入画像》

感谢大家关注“守望者实验室”!

qrcode_for_gh_2f57bf1ba29f_430

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助