应急响应

一、应急响应基础

流程:事件状态判断-临时处置-信息收集分析-事件处置-事件防御

1、事件状态判断

  • 了解现状、发生时间、系统架构、确认感染主机

2、临时处置

  • 被感染主机:网络隔离、禁止使用U盘和移动硬盘
  • 未感染主机:ACL隔离、关闭SSH、RDP等协议、禁用U盘和移动硬盘

3、信息收集分析

  • windows系统:文件排查、进程排查、系统信息排查、日志排查
  • linux系统:文件排查、进程排查、日志排查

4、事件处置

  • 已感染主机:断网隔离、等待解密进展
  • 未感染主机
    • 补丁修复:在线补丁、离线补丁
    • 事件加固:安全软件防护、开启实时防护、及时更新病毒库和规则库

5、事件防御

  • 预防
    • 定期打补丁
    • 口令策略加固
  • 监控
    • 部署杀毒软件
    • 部署流量监测设备

二、应急技能基础

1、系统命令

  • net user:获取本机用户列表
  • net localgroup administrator:本机管理员
  • net session:查看当前会话
  • net start:查看当前运行的服务

2、创建windows隐藏用户

  • net user wilson$ 123456 /add
  • net localgroup administrators wilson$ /add

3、查看隐藏用户

  • net user wilson$
  • 注册表(SAM)
  • 组策略-用户管理

4、netstat

  • netstat -ano:查看开启了哪些端口
  • netstat -ano > netstat.txt:重定向到文件
  • tasklist:查看运行了哪些进程
  • tasklist > tasklist.txt :重定向到文件
  • tasklist | findstr PID:根据PID查找进程
  • netstat -an | findstr 3389 :查看3389端口
  • REG query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber   :查看远程登录的端口号

5、schtasks

  • schtasks /query /fo LIST /v :获取本机计划任务
  • schtasks /create /sc minute /mo 20 /tn "demo" /tr D:\a.vbs  :创建一个名为demo的计划任务
  • schtasks /delete /tn "demo" /f :删除名为demo的计划任务

6、find

  • find /c "ext" demo.txt  :在demo.txt文件中搜索exe字符串出现此熟
  • find /n /i "ext" demo.txt :在demo.txt文件中忽略大小写查找exe

7、findstr

  • findstr /s /i "Hello" *.*  :不区分大小写,搜索在当前目录和所有子目录中的含有”hello“的文件

8、wmic

  • wmic process:获取系统进程信息

9、attrib

  • attrib file :查看文件属性

10、系统日志收集工具

  • Sglab_ir
  • gather_log

11、敏感文件路径

  • %WINDIR%
  • %WINDIR%\system32\
  • %LOCALAPPDATA%
  • %TEMP%

12、日志

  • windoes系统日志:C:\Windows\System32\winevt\Logs
  • 着重查看安全日志和系统日志
  • 查看:eventvwr
  • 应用程序和服务日志-Microsoft-windows-ternimalservice-localSessionManager:查看登录session日志

13、登录类型

  • 10 - 远程交互:mstsc(远程桌面)
  • 3   - 网络
  • 2   - 本地

14、windows日志工具

  • Event log Explorer  :日志浏览工具
  • LogParser :日志分析工具

15、抓包工具

  • wireshark、
  • tcpdump
    • tcpdump host ip1 and ip2
    • tcpdump -i eth0
  • micrp network monitor

16、分析工具

  • PCHunter:※
  • autoruns:启动项
  • peocess explorer:进程管理

17、frdpb

  • 爆破工具

三、案例分析

  • lesuobingdu.360.cn:解密网站
  • everthing:查找所有文件
  • 情报分析平台:360威胁情报中心、微步、VT、IBM XFORCE

1、GlobelImposter

  • 传播方式:RDP弱口令爆破远程登录植入病毒
  • 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
  • 样本MD5计算
    • certutil -hashfile file md5
    • 上传md5到微步在线校验

2、GandCrab

  • 传播方式:RDP弱口令爆破远程登录植入病毒
  • 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能

3、驱动人生

  • 处置方案:卸载或更新、

原文地址:https://www.cnblogs.com/ruowei/p/10852208.html

时间: 2024-10-07 20:45:44

应急响应的相关文章

安全等级划分依据与应急响应流程

查看等保要求及相关安全建设视频(郑歆炜cnhawk:企业安全那些事 – 应急响应http://open.freebuf.com/live/181.html)后整理,不成熟处还望指正. 安全等级划分:(是在平时对网络环境的评估) 1,  依据不同业务系统受到不同侵害时将造成的损失(即业务系统的重要性)见表一 2,  进行基于物理安全,网络安全,主机安全,应用安全,数据安全五方面评估(即在等保的基础上根据实际情况作相应修改) 见表二 综合以上两点,对整个网络进行安全评估 表一 业务系统侵害等级 受侵

一些关于Linux入侵应急响应的碎碎念

近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个字,顺藤摸瓜.我们常常需要找到比较关键的信息后通过一些指令查询或者分析日志,逐步分析黑客的具体步骤. 入侵后需要被关注的Linux系统日志 var/log/cron 记录crontab命令是否被正确的执行,一般会被黑客删除 var/log/lastlog 记录登录的用户,可以使用命令lastlog查

渗透测试02------windows日常巡检,应急响应等总结

一:日常巡检: 1.日志: a:事件查看器中,查看日志.应用程序,安全性,系统,观察是否被入侵. b:查看历史记录在c:\DOCUMENTS AND SETTINGS c:修改后门账号密码.进去查看历史浏览网页等一些东西 2.进程,端口,网络连接,服务: a:tasklisk 查看进程 b:netstatt -an 查看端口连接状态 c:使用一些安全工具,分析后台木马等 d:在服务中,查看是否插入了系统进程.. 4.cpu,内存,流量: 可能用服务器发动DDOS攻击,或者扫描其它服务器,导致cp

Linux应急响应姿势浅谈

一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大量发包: .... 不要着急,喝一杯82年的美年达压压惊,希望本文可以对你有所帮助. 二.排查流程 0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被修改的JS

某流媒体协议应急响应事件回放

某流媒体协议应急响应事件回放 1.背景:          2014的X月Z号,我收到公司信息安全委员会的一封邮件,说收到了一封来自老外的Email,Email里面描述到我们的传统行业设备存在一些安全问题,并在他们公司的官网上发布了相关的信息,之后我瞧了一下他们的分析报告,才刚看一小段我就已经明白一切了,理由是,在2014的X月Z-9号的时候,我们自己内部也已经发现了此漏洞,在互联网设备上已经迅速打补丁修复,我同时也考虑到代码复用的问题,当时也立马给传统行业部门的人打电话发了邮件要求处理此事,但

服务器安全应急响应流程

参考: https://mp.weixin.qq.com/s?__biz=MzI4NTA1MDEwNg==&mid=2650759483&idx=1&sn=c98277d4f9eb252409a177756b222b8a&chksm=f3f9d4aec48e5db85e07e998cc7052eeac3165f549e4f43dc0fa0789c3d3da006dac3c4135bb&scene=0#rd 1. 服务器安全应急响应流程 服务器安全应急响应流程分为发现

Windows应急响应常识

Windows 应急响应 常见事件ID 1102 清理审计日志 4624 账号登陆成功 4625 账号登陆失败 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启用安全的全局组中 4729 将成员从安全组移除 4732 将成员添加到启用安全的本地组中 4733 将成员从启用安全的本地组移除 4756 将成员添加到启用安全的通用组中 4757 将成员从启用安全的通用组中移除 4719 系统审计策略修改 常见登陆类型 2 交互式登陆(用户从控制台登陆) 3 网络

windows应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入

Linux应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash

Window应急响应(五):ARP病毒

0x00 前言 ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见.发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多. 0x01 应急场景 某天早上,小伙伴给我发了一个微信,说192.168.64.76 CPU现在负载很高,在日志分析平台查看了一下这台服务器的相关日志,流量在某个时间点暴涨,发现大量137端口的UDP攻击. 0x02 分析过程 登录服务器,首先查看137端口对应的进程,