Rootkit
拉網還是拉電?(用於包含有根伺服器)
當伺服器被 root 時(例如這種情況),您可能決定做的第一件事就是遏制。一些安全專家建議不要立即進行補救,並在取證完成之前保持伺服器線上。這些建議通常是針對APT的。如果您偶爾遇到Script Kiddie違規行為,情況會有所不同,因此您可能會決定儘早補救(修復問題)。修復的步驟之一是包含伺服器。引用Robert Moir 的回答- “將受害者與搶劫者聯繫起來”。
拉動網線或電源線即可容納伺服器。
哪種方法更好?
考慮到以下需求:
- 保護受害者免受進一步傷害
- 執行成功的取證
- *(可能)*保護伺服器上的有價值數據
編輯:5個假設
假設:
- 您提前檢測到:24 小時。
- 您想儘早恢復:1 名系統管理員在工作中的 3 天(取證和恢復)。
- 伺服器不是能夠拍攝快照以擷取伺服器記憶體內容的虛擬機或容器。
- 您決定不嘗試起訴。
- 您懷疑攻擊者可能正在使用某種形式的軟體(可能很複雜),並且該軟體仍在伺服器上執行。
如果您面臨 APT,那麼您最好的選擇是設置一個honeypot並徹底調查流入和流出它的所有流量,此外還要監控伺服器。
遍歷記憶體的措施在時間和精力方面非常昂貴,除非您嘗試過所有其他方法,否則通常不值得,如果您確定它值得,通常最好設置一個honeypot,讓您輕鬆轉儲動態將記憶體和系統狀態傳輸到另一台機器,這樣您就可以在機器啟動並執行時進行分析,減少被檢測到的威脅。
我曾經遇到過一種情況,攻擊者將所有內容都保存在記憶體中,以至於除了日誌之外,機器在關閉並重新打開後看起來與它的圖像完全一樣。然後他們會重新入侵並再次開始使用它,因為漏洞仍然存在——他們不需要為自己留下任何後門。記憶體評估在這裡可能會有所幫助,但在這種情況下,觀察流量足以快速辨識漏洞。
所以:
避免拉斷電源和進行離線磁碟評估的唯一原因是,如果您要在威脅就位並執行時對威脅進行徹底的記憶體分析,這會很痛苦。如果您已經到了需要這樣做的地步,那麼就沒有理由拔掉任何一個插頭。
如果您不進行記憶體分析,那麼拔掉電源插頭是最好的選擇——拔掉乙太網(或使用關機命令)只會提前通知攻擊者的軟體——這偶爾會很重要。
所以:
拉他們兩個,除非你正在做一個記憶體分析,在這種情況下,不要拉。