it-swarm-korea.com

내 서버가 손상되었다고 의심되면 즉시 연결을 해제해야합니까? 전원 또는 네트워크에서?

Mandiant에 따르면 다음을 수행해서는 안됩니다.

실수 # 1 : 즉시 "교정 모드"로 들어가기 – "Whack-A-Mole"재생이라고도 함
... 여기에 설명 된대로 : http://blog.mandiant.com/archives/1525

연결을 해제하여 즉각적인 조치를 취하는 것이 현명한 시나리오가 있습니까?

답변이 유용하고 유사해야하므로이 질문과 병합 :

서버가 루팅되면 (예 : 이와 같은 상황), 가장 먼저 할 일 중 하나는 격리입니다. 일부 보안 전문가는 즉시 교정을 시작하지 말고 포렌식이 완료 될 때까지 서버를 온라인 상태로 유지하도록 권장합니다. 이러한 조언은 일반적으로 APT를위한 것입니다. 가끔 Script 아동용 위반이 발생하는 경우에는 다르므로 조기에 수정 (문제 해결)을 결정할 수 있습니다. 교정 단계 중 하나는 서버 격리입니다. Robert Moir의 답변에서 인용- "피해자를 강도로부터 분리".

네트워크 케이블이나 전원 케이블을 당겨 서버를 포함 할 수 있습니다.

어떤 방법이 더 낫습니까?

다음에 대한 필요성 고려 :

  1. 추가 피해로부터 피해자 보호
  2. 성공적인 포렌식 실행
  3. (가능) 서버의 중요한 데이터 보호

편집 : 5 가지 가정

가정 :

  1. 24 시간 일찍 감지했습니다.
  2. 조기 복구를 원합니다 : 1 명의 시스템 관리자가 3 일 동안 작업 (포렌식 및 복구)합니다.
  3. 서버는 서버 메모리의 내용을 캡처하는 스냅 샷을 찍을 수있는 가상 머신 또는 컨테이너가 아닙니다.
  4. 기소를 시도하지 않기로 결정했습니다.
  5. 공격자가 어떤 형태의 소프트웨어 (정교 할 수 있음)를 사용하고 있으며이 소프트웨어가 여전히 서버에서 실행되고 있다고 의심합니다.
9
Tate Hansen

@AviD가 말한 것과 비슷합니다.이 손상된 앱/호스트/네트워크가 다른 공격과 함께 적극적으로 진행 중인지 어떻게 든 판단 할 수 있다면 적어도 네트워크 케이블을 당기는 것이 현명 할 수 있습니다. 이것은 또한 다른 방법으로 공격을 제어 할 수 없거나 상황이 극도로 통제 불능 상태가되었다고 가정합니다.

이것은 아마도 모든 프로세스 또는 인프라를 배제하고 매우 낮은 기술 또는 비 지식적인 직원이 필요합니다.

손상된 시스템에서 전원, 네트워크 또는 디스크를 가져 오는 것은 아마추어 시간입니다.

6
atdre

대답은 정교함 수준, 공격자의 정교함 수준 및 목표에 따라 다릅니다.

사고 대응 및 컴퓨터 포렌식 서비스를 제공하는 선도적 인 제공 업체 중 하나 인 Mandiant 블로그 게시물은 APT (Advanced Persistent Threat)에 대응하는 정교한 조직을 대상으로합니다. 그들의 우려 중 하나는 공격자가 네트워크의 다양한 시스템에서 작업하는 것을 관찰 할 수 없으면 실제로 문제를 해결하지 못할 수도 있다는 것입니다.

그러나 대부분의 보안 사고는 제대로 관리되지 않는 시스템에 대한 덜 정교한 공격입니다. 이 경우에는 Server Fault 질문 " 내 서버가 해킹당했습니다 EMERGENCY "에 대한 높은 등급의 답변에있는 조언을 따르는 것이 더 낫다고 생각합니다. 이는 서버 연결을 끊는 것이 실제로 첫 번째 응답이라는 것을 의미합니다. , 서두르지 말아야합니다.

9
nealmcb

여기 에 대한 유용한 답변-Robert Moir-이것에 대한 Serverfault에 대한 아주 좋은 채팅.

3
Rory Alsop

나는 nealmcb에 전적으로 동의합니다.

  1. "APT"에 직면하고 있고 손상된 서버에 대해 조사하려는 경우 서버를 손상된 상태로두고 서버에서 송수신되는 네트워크 트래픽을 분석 할 수 있습니다. 조사하는 데 시간이 필요하며 해커는 IT 인프라를 계속 탐색합니다.

  2. 상식은 인프라의 무단 사용을 방지하기 위해 즉시 서버 연결을 끊는 것입니다.

제 조언은 포렌식을 할 시간이 많지 않다면 서버 연결을 끊는 것입니다.

1
user933

예, 활성 공격을 감지하면 현재 진행 중 그리고 감지 메커니즘은 공격자가 아직 시스템을 "pwn"하지 않았거나 목표를 달성하지 않았 음을 보장합니다.

이는 인라인 상관 관계 및 활성 알림과 함께 강력하고 지능적인 감지 메커니즘이있는 경우에만 관련이있을 수 있습니다.

1
AviD

RAM 포렌식 (예 :/dev/shm)이 도움이 될 수 있습니다.

하지만 저는 전원 케이블을 뽑는 것을 선호합니다 (하지만 바로 전에 로그인하고 rsync/proc을 시도합니다).

전원 케이블을 사용하는 이유는 다음과 같습니다.

  1. 해킹 된 시스템에서 법의학을 수행하면 "범죄 현장 전체를 밟고있는 것"입니다.
  2. 루트 키트는 계속 실행됩니다. Network Link Down 이벤트에서 악의적 인 사람이 무언가 (예 : 시스템 삭제)를 실행하기에는 그리 어렵지 않습니다.

Kyle Rankin은 Nice Intro to Forensics 토크를했습니다. 거기서 그는 전원 케이블을 당기는 것이 좋습니다.

1

때에 따라 다르지.

Mandiant 블로그는 APT에 중점을 둡니다. 그것이 당신의 주요 관심사라면 그들의 조언이 장점이 될 수 있습니다.

그러나 APT가 주된 관심사가 아닐 수있는 조직도 많으며, 이러한 조직의 경우 손상을 감지하는 즉시 손상된 시스템에 대한 네트워크 액세스 연결을 끊는 것이 합리적 일 수 있습니다.

예를 들어, 제가 잘 알고있는 한 조직에서 보안은 상당히 합리적으로 상대적으로 낮은 우선 순위입니다. 손상된 각 컴퓨터에 대해 법의학 조사를 할 방법이 없습니다. 그들은 그것을 감당할 수 없었습니다. 너무 파괴적 일 수도 있습니다. 감염된 모든 시스템에 대해 법의학 조사를 수행하지 않을 것이라는 것을 알고 있다면 플러그를 뽑을 이유가 거의 없습니다. 마찬가지로 APT의 대상이 될 가능성이 없습니다. 대부분의 경우 충분한 가치의 데이터가 없습니다. 그들의 주요 과제는 사용자 관리 시스템의 일상적인 "스크립트-키디"침투입니다.

1
D.W.