Der gesamte Prozess der Notfallreaktion

1. Den Erkenntnissen zufolge muss zunächst beurteilt werden, welche Art von Ereignis ein Notfall sein muss.

Gängige Veranstaltungstypen:

massiver Sturz
Art der Situation
Inhalt der Situation
Bergbauvirus
Ransomware
Keine Dokumentenlandung
Untotes (hartnäckiges) Pferd
Angeln
Datendiebstahl

2. Behalten Sie die erste Szene

Das erste Feld enthält:

erster Entdecker
erste Intelligenz
Gefallenes Subjekt, Gruppe
Subjekt, Gruppenverhalten
Gefallene Umgebung

Drei, Blockieren

Die sogenannte Sperrung besteht aus nur drei Schritten:

Bahnhof schließen;
außer Betrieb;
Ziehen Sie das Netzwerkkabel ab (die Netzwerkkarte ist deaktiviert).

4. Spurenanalyse

Analysieren Sie drei Hauptbestandteile: Protokolle, Datenverkehr und Beispiele.

Das Protokoll achtet hauptsächlich auf Folgendes: Zeit, Aktion und Ergebnis; Wann beginnt diese Aktion und wann endet sie? Diese Aktion ist Anmelden, Beenden, Ändern usw. und das Ergebnis ist Anmeldeerfolg, Fehler, Hochladen und Herunterladen von Dateien , und Code ausführen, warten.
Die Hauptpunkte des Verkehrsflusses sind: Statuscode, Interaktionsprozess und Datenrationalität; der Statuscode jeder Interaktion, ob der Interaktionsprozess dem korrekten Interaktionsprozess des Protokolls entspricht, ob das Ausfüllen jedes Felds und die Darstellung Jeder Verkehrsfluss ist normal.
Das Hauptaugenmerk des Beispiels liegt auf: Startmethode, Tarnmethode und Funktion; Sandbox oder Analysetool entsprechend der Startmethode auswählen; Tarnmethode zur Beurteilung, ob Anti-Kill- und Öffnungsmethode gepackt werden soll; Beurteilung des Schadensbereichs anhand der Funktion.

1. Grundlegende Systeminformationen

Fokus:

Ob es illegale Konten im System gibt;
Ob im System ein Ausnahmedienstprogramm vorhanden ist;
Ob einige Dateien im System manipuliert wurden oder neue Dateien gefunden wurden;
Ungewöhnliche Anmeldungen im Systemsicherheitsprotokoll;
Gibt es im Website-Protokoll Aufzeichnungen über unbefugten Zugriff auf die Verwaltungsseite?
Anzeigen von Trojaner-Aktivitätsinformationen basierend auf Programmen, die mit Informationen wie Prozessen und Verbindungen verknüpft sind;
Wenn die Systembefehle (z. B. netstat ls usw.) ersetzt werden, müssen Sie zur weiteren Untersuchung einen neuen herunterladen oder den neuen Befehl von anderen nicht infizierten Hosts kopieren.
Wenn Sie eine verdächtige ausführbare Trojaner-Datei finden, löschen Sie diese nicht überstürzt, sondern erstellen Sie zunächst eine Sicherungskopie.
Finden Sie verdächtige Trojaner-Dateien und analysieren Sie deren Inhalte mithilfe von Texttools, einschließlich Link-Back-IP-Adressen, Verschlüsselungsmethoden, Schlüsselwörtern (um die Dateifunktion für die Extraktion des gesamten Verzeichnisses zu erweitern) usw.

2. Fehlerbehebung bei abnormalen Verbindungen

Windows

Beheben Sie Fehler bei abnormalen Verbindungen	Befehl
Aktuelle Netzwerkverbindungen anzeigen, Lokalisieren Sie verdächtige etablierte Prozesse	netstat -ano \| findstr Etabliert
Sehen Sie sich die PID an, die dem Port entspricht	netstat -ano \| findstr <PORT>
Zeigen Sie ausführbare Dateien an, die an Verbindungen oder Überwachungsports beteiligt sind (erfordert Administratorrechte)	netstat -nb

Beispiel: Zeigen Sie das ausführbare Programm an, das an der Verbindung oder dem Überwachungsport beteiligt ist (erfordert Administratorrechte).

Linux

Beheben Sie Fehler bei abnormalen Verbindungen	Befehl
Listen Sie alle Prozesse mit offenen Netzwerk-Sockets auf	lsof -i lsof -i \| grep -E "LISTEN\|ESTABLISHED
Zeigt alle offenen Ports und den Verbindungsstatus an	netstat -anptul netstat -ano

Beispiel: Alle offenen Ports und Verbindungsstatus anzeigen

3. Fehlerbehebung bei abnormalen Prozessen

Windows

Beheben Sie abnormale Prozesse	Befehl
Alle Prozesse anzeigen (Task-Manager)	Taskmgr
Sehen Sie sich alle Prozesse an, die auf einem lokalen oder Remote-Computer ausgeführt werden	Aufgabenliste Aufgabenliste \| findstr <KEY_WORDS>
Sehen Sie sich den vollständigen Befehl des Prozesses an	wmic-Prozess \| findstr „cmd.exe“
Prozessdetails anzeigen	msinfo32/Softwareumgebung/Ausführende Aufgaben
Prozess schließen	WMIC-Prozess, bei dem ProcessID=<PID> ist, löschen

zB: Alle Prozesse anzeigen (Task-Manager)

Linux

Beheben Sie abnormale Prozesse	Befehl
Finden Sie die Prozess-PID	netstat -anptl lsof -i:<PID>
Suchen Sie Dateien nach PID	cd /proc/<PID> ls -ail ls -ail \| grep exe
Zeigen Sie die von jedem Prozess belegten Systemressourcen an	Spitze bpytop
Aktuelle Prozessinformationen anzeigen	ps an
Verwirklichen Sie die präzise Suche eines Prozesses	ps -ef \| grep <KEY_WORDS>
Prozess beenden	kill -9 <PID>
Prozessbaum anzeigen	pstree -p
Suche Schlüsselwörter	find / -name <KEY_WORDS>

eg:查看各进程占用的系统资源

4、异常账号排查

Windows

排查异常账号	命令
查看当前的账户和用户组	lusrmgr.msc
查看当前账户情况	net user net user aa$
查看当前组的情况	net localgroup administrators
查看当前系统会话 * 是否有人使用远程终端登陆服务器	query user
踢掉用户	logoff <USERID>

eg: 查看当前的账户和用户组

Linux

排查异常账号	命令
查看当前系统正在登陆账户的信息	w
查看当前登陆用户（tty 本地登陆，pts 远程登录）	who
查看账号情况	cat /etc/passwd cat /etc/shadow
查看所有账户最后一次登陆时间	lastlog
查看用户登陆错误的记录（检查暴力破解）	last lastb
查看登陆多久，多少用户，负载	uptime

eg:查看当前系统正在登陆账户的信息

5、异常文件分析

Windows

分析异常文件	命令
查看文件时间	右键查看文件属性，查看文件时间
查看某个用户相关文件	%UserProfile%\Recent

根据文件夹内文件列表时间进行排序，查找可疑文件。当然也可以搜索指定日期范围的文件及查看文件时间，创建时间、修改时间、访问时间，黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。

Linux

分析异常文件	命令
分析文件日期	stat <FILE_PATH>
查看最近24 小时内修改过的文件	find ./ -mtime 0 find ./ -mtime 1 find ./ -mtime 0 -o -mtime 1 -o -mtime 2 find ./ -mtime 0 -name "*.php"
按照时间顺序查找敏感目录文件	ls –alht /tmp/
查找特殊权限文件	find / .jsp -perm 777 find / -perm 777 find / .sh -perm 777
查找隐藏的文件	ls -ar \| grep "^\."
查看拥有不可修改权限的文件（不可修改，不能删除，只能追加）	lsattr <FILENAME>
查看SSH 公钥	ls -alh ~/.ssh

eg:查找隐藏的文件

五、清除日志

情况	做法
常态	* 全盘重装 * 数据迁移、系统盘重装 * 杀进程、删文件、清除账号等
攻防演习（对抗）	* 存在不死马、内存马、顽固马、APT 等威胁 * 修复漏洞、打补丁 * 恢复生产，保障业务正常 * 取证、溯源

六、总结报告

分析事件原因

攻击来源：IP 等信息
攻击行为分析：方式（攻击手法与漏洞利用）、路径（攻击途径）等信息。

输出应急报告

时间
报告人
项目
应急前症状
应急措施
领导确认签字
...