应急响应

Posted ruowei

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应相关的知识,希望对你有一定的参考价值。

一、应急响应基础
流程:事件状态判断-临时处置-信息收集分析-事件处置-事件防御
 
1、事件状态判断
  • 了解现状、发生时间、系统架构、确认感染主机
2、临时处置
  • 被感染主机:网络隔离、禁止使用U盘和移动硬盘
  • 未感染主机:ACL隔离、关闭SSH、RDP等协议、禁用U盘和移动硬盘
3、信息收集分析
  • windows系统:文件排查、进程排查、系统信息排查、日志排查
  • linux系统:文件排查、进程排查、日志排查
4、事件处置
  • 已感染主机:断网隔离、等待解密进展
  • 未感染主机
    • 补丁修复:在线补丁、离线补丁
    • 事件加固:安全软件防护、开启实时防护、及时更新病毒库和规则库
5、事件防御
  • 预防
    • 定期打补丁
    • 口令策略加固
  • 监控
    • 部署杀毒软件
    • 部署流量监测设备
 
二、应急技能基础
1、系统命令
  • net user:获取本机用户列表
  • net localgroup administrator:本机管理员
  • net session:查看当前会话
  • net start:查看当前运行的服务
2、创建windows隐藏用户
  • net user wilson$ 123456 /add
  • net localgroup administrators wilson$ /add
3、查看隐藏用户
  • net user wilson$
  • 注册表(SAM)
  • 组策略-用户管理
4、netstat
  • netstat -ano:查看开启了哪些端口
  • netstat -ano > netstat.txt:重定向到文件
  • tasklist:查看运行了哪些进程
  • tasklist > tasklist.txt :重定向到文件
  • tasklist | findstr PID:根据PID查找进程
  • netstat -an | findstr 3389 :查看3389端口
  • REG query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber   :查看远程登录的端口号
5、schtasks
  • schtasks /query /fo LIST /v :获取本机计划任务
  • schtasks /create /sc minute /mo 20 /tn "demo" /tr D:\a.vbs  :创建一个名为demo的计划任务
  • schtasks /delete /tn "demo" /f :删除名为demo的计划任务
6、find
  • find /c "ext" demo.txt  :在demo.txt文件中搜索exe字符串出现此熟
  • find /n /i "ext" demo.txt :在demo.txt文件中忽略大小写查找exe
7、findstr
  • findstr /s /i "Hello" *.*  :不区分大小写,搜索在当前目录和所有子目录中的含有”hello“的文件
8、wmic
  • wmic process:获取系统进程信息
9、attrib
  • attrib file :查看文件属性
10、系统日志收集工具
  • Sglab_ir
  • gather_log
11、敏感文件路径
  • %WINDIR%
  • %WINDIR%\system32\
  • %LOCALAPPDATA%
  • %TEMP%
12、日志
  • windoes系统日志:C:\Windows\System32\winevt\Logs
  • 着重查看安全日志和系统日志
  • 查看:eventvwr
  • 应用程序和服务日志-Microsoft-windows-ternimalservice-localSessionManager:查看登录session日志
13、登录类型
  • 10 - 远程交互:mstsc(远程桌面)
  • 3   - 网络
  • 2   - 本地
14、windows日志工具
  • Event log Explorer  :日志浏览工具
  • LogParser :日志分析工具
15、抓包工具
  • wireshark、
  • tcpdump
    • tcpdump host ip1 and ip2
    • tcpdump -i eth0
  • micrp network monitor
16、分析工具
  • PCHunter:※
  • autoruns:启动项
  • peocess explorer:进程管理
17、frdpb
  • 爆破工具
 
三、案例分析
  • lesuobingdu.360.cn:解密网站
  • everthing:查找所有文件
  • 情报分析平台:360威胁情报中心、微步、VT、IBM XFORCE
1、GlobelImposter
  • 传播方式:RDP弱口令爆破远程登录植入病毒
  • 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
  • 样本MD5计算
    • certutil -hashfile file md5
    • 上传md5到微步在线校验
2、GandCrab
  • 传播方式:RDP弱口令爆破远程登录植入病毒
  • 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
3、驱动人生
  • 处置方案:卸载或更新、
 

以上是关于应急响应的主要内容,如果未能解决你的问题,请参考以下文章

应急响应第一篇之基础篇

讲清楚,说明白! Linux系统应急响应流程

应急响应和安全运营基础

应急响应和安全运营基础

应急响应排查思路

应急响应介绍