对某客户的OA被攻击的安全应急响应记录

是的,可以说,用户通常也认同(我以前就这样干,倍感不够),因为不可置否,俗话说:巧妇难为无米之炊。可是用户企业的业务管理系统就得带有高风险漏洞曝露在网络:

outputo-20211222-091859-422-parh.png

1.用户领导干部会如何想?

2.服务企业的销售会出现怎样的担忧?会如何想这名技术,做为技术被销售这样想应该怎么办?

3.做为想造就机遇的安服企业销售正处于想些什么?

那毫无疑问惦记着是怎么拿下这一企业?系关比不上、商品价格谈不下去..,靠哪些呢,靠的便是这种你搞不懂我能拿下的机遇。机遇从哪来?机遇来源于咱们专业技术人员,这就是技术可以创造财富的工作能力。那这样的事情该怎么带有科学方法论进到到这一安全事件应急处置环节中呢:

“其他网络节点千万别卡在自个这,一定要向前推动,想方设法向前推动,假如不行,那你是尽力了”

2情况简述

2021年13月13日18:56:30用户企业对网络对外开放的致远OA被攻击,文件被数据加密,后缀名为.locked。接到有关通报后随后入场应急。

检索了一些这一后缀名,绝大多数的结果全是这一病毒全是依据smb纵横散播的。目标服务器已禁止使用网卡断开连接处理。

3攻击检测

3.1特定时间段内被更改的对象

依照以前文章内容种描述的方式,依据事发时长,应用dm:20211212搜索了exe、jsp等关键词,在exe关键词中出现异常:

3.2常规检测

依据事发时长搜索痕迹再无实用信息内容,因而常规检测了服务器系统。因为劳动量大,应用以前文章内容中的软件开展自动化技术搜集。一样未出现异常,敲诈勒索程序并没有运转。

3.3检测可攻击区域

因为可以用信息内容较少,因而反向思维逻辑推理:

1.从内网横向渗透的概率:因为仅一台服务器被敲诈勒索,因而消除该概率。

2.从网络纵向渗透:清查网络网关ip,发觉仅映射业务端口,因而消除服务器系统方面被攻击的概率。

3.因而将检测重中之重放到软件系统上。

3.4检测攻击痕迹

没找到,之后才发觉是致远自个写的java程序,载入的也不是tomcat的配置文件,沒有形成系统日志即不可能被第三方平台异机备份数据。与此同时也并没有流量追踪机器设备。

分享: