IR & SE 工作比例分佈

• Web + Reverse + Misc + 通靈
• 溝通技巧 20%ㄌ
  • 安撫或取得信任
  • 了解事件的概況
  • 取得所需資料
• 技術能力 75%
  • 快速了解各產品 log
  • Log 分析
  • 惡意程式分析
  • 找出 root cause (如何被入侵)
  • 封包分析
• 報告撰寫 5%

事件調查思路

• 人
  • 確認誰被攻擊
  • 確認攻擊者來源
• 時
  • 確認攻擊的時間點
• 事
  • 確認事件的類別
  • 過去是否發生過
• 地
  • 確認發生的網段
  • 誰可以存取
  • 平時如何管理
• 物
  • 確認有什麼東西產生
  • 確認是否有東西流出

分析類型

分析方向主要可以分成 Network、File、Process & Memory。

Web shell 特性

• 通常放在少數人知道的位置，一般人不會直接存取該頁面