必須要知道的9大網(wǎng)絡(luò)安全常識(shí)！【微步課堂】

時(shí)間：2023-05-15 06:27:02 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-05-15 06:27:02 來(lái)源：網(wǎng)站運(yùn)營(yíng)

必須要知道的9大網(wǎng)絡(luò)安全常識(shí)！【微步課堂】：1.問(wèn)：內(nèi)存馬怎么檢測(cè)、清除？

答：常規(guī)的內(nèi)存馬，如冰蝎，可以使用河馬WebShell查殺工具；Java內(nèi)存馬檢測(cè)serlet，可以專門針對(duì)內(nèi)存來(lái)檢測(cè)。

2.問(wèn)：Linux網(wǎng)絡(luò)鏈接隱藏和進(jìn)程隱藏有沒(méi)有什么好的排查和清除方法？

Linux下如果實(shí)現(xiàn)進(jìn)程和網(wǎng)絡(luò)隱藏的話主要是利用Rootkit，這種目前在業(yè)內(nèi)也是一個(gè)挑戰(zhàn)，同時(shí)很多的黑灰產(chǎn)都在將Rootkit在實(shí)戰(zhàn)中使用，針對(duì)Rootkit的話，通過(guò)IOC能關(guān)聯(lián)到家族或使用的具體Rootkit再去針對(duì)性的排查效果好一些。不過(guò)，目前來(lái)看，Rootkit檢測(cè)這一塊還是個(gè)挑戰(zhàn)。

3.問(wèn)：橫移的流量怎么能更好地檢測(cè)出來(lái)？

答：必須具備基礎(chǔ)的流量檢測(cè)手段（如流量鏡像、EDR、蜜罐等）；主要還是針對(duì)其行為來(lái)檢測(cè)的，通過(guò)端、流量、情報(bào)等方面。

4.問(wèn)：企業(yè)內(nèi)部的東西向流量很難被完全檢測(cè)，在關(guān)注東西向流量的時(shí)候，怎么設(shè)置這個(gè)鏡像點(diǎn)的？還是只關(guān)注出口的南北向流量？

答：東西向流量一方面可以通過(guò)部署流量鏡像產(chǎn)品來(lái)檢測(cè)，但是可能無(wú)法做到全面；同時(shí)也可在服務(wù)器或主機(jī)上部署EDR（可了解微步OneEDR）來(lái)進(jìn)行攻擊的檢測(cè)，同時(shí)，蜜罐這種也得到越來(lái)越多用戶的認(rèn)可與部署。

5.問(wèn)：我們?cè)诹髁總?cè)看到服務(wù)器有很多的請(qǐng)求解析惡意域名的記錄，但是去到服務(wù)器底層查看卻沒(méi)找到任何異常，這個(gè)可以怎么排查？

答：一方面可能和情報(bào)的質(zhì)量有一定的關(guān)系，另一方面可能相關(guān)主機(jī)只是被感染了一個(gè)Downloader或存在漏洞，其要下載惡意文件落地才有后續(xù)的行為，這個(gè)時(shí)候我們看到的只是DNS請(qǐng)求，需要定位發(fā)起這個(gè)DNS請(qǐng)求的具體進(jìn)程和文件，然后再來(lái)分析。

6.問(wèn)：發(fā)現(xiàn)攻擊隊(duì)打進(jìn)來(lái)了，有沒(méi)有快速篩選出當(dāng)前內(nèi)網(wǎng)有哪些失陷主機(jī)的方法？

答：主機(jī)被攻擊者攻入以后，可以基于流量（攻擊的payload）、終端（有無(wú)惡意的文件、掃描行為、橫向行為）以及情報(bào)來(lái)綜合研判。

7.問(wèn)：黑客攻擊的跳板主機(jī)相關(guān)日志被刪除后，溯源一般依托什么手段來(lái)做呢？態(tài)勢(shì)感知？

答：日志被清除再去溯源的話，如果有網(wǎng)絡(luò)檢測(cè)類產(chǎn)品可以利用其來(lái)檢測(cè)，如無(wú)的話可以關(guān)聯(lián)用戶服務(wù)器的開(kāi)放端口、指紋來(lái)關(guān)聯(lián)漏洞，同時(shí)可以利用滲透的方式來(lái)分析攻擊者的入侵方式。

8.問(wèn)：態(tài)勢(shì)感知平臺(tái)經(jīng)常會(huì)報(bào)挖礦的告警信息，但去服務(wù)器查看卻只是一些病毒告警，怎么樣能判別是否是真實(shí)的挖礦呢？

答：挖礦這個(gè)主要是服務(wù)器連接礦池，前期可能就是一個(gè)下載器的DNS通信，還有可能就是服務(wù)器存在漏洞被攻擊者利用來(lái)進(jìn)行挖礦行為，所以定位具體的進(jìn)程和方式是前提。

9.問(wèn)：zip后綴的文件打開(kāi)也有可能被上線嗎？溯源報(bào)告一定要找到攻擊人身份才算得分嗎？

答：很多解壓器是存在漏洞的，如CVE-2018-20250，可以被利用來(lái)上線。按照前期的溯源評(píng)判標(biāo)準(zhǔn)來(lái)看是需要關(guān)聯(lián)到攻擊隊(duì)，并且攻擊隊(duì)真實(shí)有攻擊行為才算得分的。

關(guān)于網(wǎng)絡(luò)安全常識(shí)，你還想了解哪些？歡迎評(píng)論區(qū)進(jìn)行留言交流，微步在線定會(huì)知無(wú)不言言無(wú)不盡！