Reagowanie na potencjalne zagrożenie – Threat hunting w praktyce
Reagowanie na potencjalne zagrożenie to kluczowy etap threat huntingu. Zobacz jak wygląda threat hunting w praktyce. Oto kroki, jak zareagować w sytuacji, gdy podejrzewasz obecność zagrożenia:
Identyfikacja zagrożenia
Pierwszym krokiem jest identyfikacja potencjalnego zagrożenia. Może to być nietypowe zachowanie systemu, nieoczekiwane zdarzenie czy alarm z narzędzi monitorujących.
Izolacja i odseparowanie
W przypadku pewności, że zagrożenie istnieje, należy izolować lub odseparować podejrzane elementy. To może oznaczać odłączenie zainfekowanego komputera od sieci lub wyłączenie podejrzanych procesów.
Zgłoszenie incydentu
Niezwłocznie należy zgłosić potencjalny incydent odpowiednim służbom ds. bezpieczeństwa w organizacji. To może być zespół ds. bezpieczeństwa informacji lub odpowiedni dział IT.
Dokumentacja zdarzenia
Warto dokładnie udokumentować wszystkie informacje dotyczące potencjalnego zagrożenia. To obejmuje datę, godzinę, źródło incydentu, opis podejrzanej aktywności oraz wszelkie dostępne dane z monitoringu.
Analiza i wyizolowanie źródła
Na tym etapie należy przeprowadzić głębszą analizę źródła zagrożenia. Czy jest to złośliwe oprogramowanie, podejrzany plik czy atak sieciowy? Trzeba wyizolowć źródło, jeśli to możliwe, i przeprowadzic analizę, jakie działania zostały podjęte.
Ocena szkód
Ocenić, jakie potencjalne szkody mogą wyniknąć z zagrożenia. Czy dane zostały naruszone, czy systemy zostały uszkodzone? To pomoże w określeniu skali incydentu.
Reagowanie i rozprzestrzenianie informacji
W oparciu o analizę zagrożenia, podjęcie działań w celu zneutralizowania incydentu. Jednocześnie ważne jest rozprzestrzenianie informacji na temat zagrożenia w organizacji, aby inni pracownicy byli świadomi sytuacji i mogli podjąć odpowiednie kroki ostrożności.
Przywracanie normalnego funkcjonowania
Po usunięciu zagrożenia nalezy przeprowadzić proces przywracania normalnego funkcjonowania systemów. Ważne jet aby upewnić się, że wszelkie błędy lub uszkodzenia zostały naprawione.
Analiza incydentu
Po zakończeniu incydentu trzena przeprowadzić dokładną analizę całego procesu reagowania. To pomoże w zrozumieniu, jakie kroki były skuteczne a które można poprawić, aby lepiej przygotować się na przyszłe zagrożenia.
Dokumentacja i raportowanie
Na konieć należy zapisać wszystkie informacje dotyczące reakcji na incydent, w tym działania podjęte, wyniki analizy i środki zaradcze. Nie mozna również zapominać o raportowaniu incydentu wewnętrznym zespołom oraz instytucjom odpowiedzialnym za cyberbezpieczeństwo.
Powyższy krok po kroku pomaga zorganizować reakcję na potencjalne zagrożenie, minimalizując szkody i zwiększając zdolność organizacji do reagowania na incydenty. To kluczowa część threat huntingu, która pozwala na efektywne działanie w przypadku ataku.
Zapraszamy na darmowe szkolenie "Grafana dla początkujących".
Widzimy się 17 października o 13:00! . Zapisz się: https://asdevops.pl/s43/
Praktyczny przykład z użyciem narzędzia Wireshark
Na podstawie analizowanego pliku pcapng widać że osoba atakująca próbuje zalogować się do określonej usługi.
Na podstawie analizy widać iz tą usługą jest FTP.
Można również probowac poznać nazwę użytkownika której atakującu używal podczas prób logowania do serwisu FTP. W tym celu warto zastosować odpowiedni filtr.
Analiza wykazała jakiego username używał atakujący w celu zalogowania się do serwisu.
Warto również sprawdzić czy atakujący przypadkiem nie odniósł sukcesu w procesie logowania. Aby zidentyfikować pomyślne logowanie, należy szukać kodu stanu 230. Pomocne będzie wykorzsytanie odpowiedniego zapytania aby uzyskać potrzebną informacje.
Wchodząc głębiej widzimy jakie hasło pozwoliło atakującemu zalogować się na konto użytkownika.
Osoba atakująca może wyświetlić bieżący katalog roboczy dzieki uruchomieniu polecenia PWD. Można utworzyć filtr, aby to znaleźć, lub można użyć funkcji „find” i wyszukać ciąg „pwd” w bajtach pakietu.
Dodatkową opcją na jaką można zwrócić uwagę jest to czy atakujący przypadkiem nie załadował złośliwego pliku. Można zastosować odpowiedni filtr.
W wynikach widać plik którego użył atakujący.
W tym momencie warto również sprawdzić z którego adresu URL można pobrać backdoora, ponieważ adres URL znajduje się w złośliwym pliku. Tutaj można również skorzystać z określonego filtru.
Tutaj dokładnie widać który to adres URL
Za pomocą Wireshark można również sprawdzić jaką komendę wykonał atakujący po uzyskaniu reverseshella.Dostęp do tej powłoki odwrotnej odbywa się za pośrednictwem protokołu HTTP, więc musimy sprawdzić ten ruch.
Podsumowanie – Threat hunting w praktyce
Jak widać można uzyskać bardzo wiele ciekawych informacji w momencie gdy przyjrzymy się pakietom. Warto również wspomnieć o tym iż Wireshark to przydatne narzędzie do monitorowania i diagnostyki działań użytkowników oraz reagowania na ewentualne zagrożenia lub nieprawidłowości. Jednakże warto pamiętać o zachowaniu ostrożności oraz działaniu zgodnie z przepisami i regulacjami dotyczącymi prywatności i bezpieczeństwa w czasie analizy ruchu sieciowego.
Chcesz wiedzieć więcej na temat bezpieczeństwa? Przeczytaj nasze artykuły lub weź udział w kursach!