1. Den Erkenntnissen zufolge muss zunächst beurteilt werden, welche Art von Ereignis ein Notfall sein muss.
Gängige Veranstaltungstypen:
- massiver Sturz
- Art der Situation
- Inhalt der Situation
- Bergbauvirus
- Ransomware
- Keine Dokumentenlandung
- Untotes (hartnäckiges) Pferd
- Angeln
- Datendiebstahl
2. Behalten Sie die erste Szene
Das erste Feld enthält:
- erster Entdecker
- erste Intelligenz
- Gefallenes Subjekt, Gruppe
- Subjekt, Gruppenverhalten
- Gefallene Umgebung
Drei, Blockieren
Die sogenannte Sperrung besteht aus nur drei Schritten:
- Bahnhof schließen;
- außer Betrieb;
- Ziehen Sie das Netzwerkkabel ab (die Netzwerkkarte ist deaktiviert).
4. Spurenanalyse
Analysieren Sie drei Hauptbestandteile: Protokolle, Datenverkehr und Beispiele.
- Das Protokoll achtet hauptsächlich auf Folgendes: Zeit, Aktion und Ergebnis; Wann beginnt diese Aktion und wann endet sie? Diese Aktion ist Anmelden, Beenden, Ändern usw. und das Ergebnis ist Anmeldeerfolg, Fehler, Hochladen und Herunterladen von Dateien , und Code ausführen, warten.
- Die Hauptpunkte des Verkehrsflusses sind: Statuscode, Interaktionsprozess und Datenrationalität; der Statuscode jeder Interaktion, ob der Interaktionsprozess dem korrekten Interaktionsprozess des Protokolls entspricht, ob das Ausfüllen jedes Felds und die Darstellung Jeder Verkehrsfluss ist normal.
- Das Hauptaugenmerk des Beispiels liegt auf: Startmethode, Tarnmethode und Funktion; Sandbox oder Analysetool entsprechend der Startmethode auswählen; Tarnmethode zur Beurteilung, ob Anti-Kill- und Öffnungsmethode gepackt werden soll; Beurteilung des Schadensbereichs anhand der Funktion.
1. Grundlegende Systeminformationen
Fokus:
- Ob es illegale Konten im System gibt;
- Ob im System ein Ausnahmedienstprogramm vorhanden ist;
- Ob einige Dateien im System manipuliert wurden oder neue Dateien gefunden wurden;
- Ungewöhnliche Anmeldungen im Systemsicherheitsprotokoll;
- Gibt es im Website-Protokoll Aufzeichnungen über unbefugten Zugriff auf die Verwaltungsseite?
- Anzeigen von Trojaner-Aktivitätsinformationen basierend auf Programmen, die mit Informationen wie Prozessen und Verbindungen verknüpft sind;
- Wenn die Systembefehle (z. B. netstat ls usw.) ersetzt werden, müssen Sie zur weiteren Untersuchung einen neuen herunterladen oder den neuen Befehl von anderen nicht infizierten Hosts kopieren.
- Wenn Sie eine verdächtige ausführbare Trojaner-Datei finden, löschen Sie diese nicht überstürzt, sondern erstellen Sie zunächst eine Sicherungskopie.
- Finden Sie verdächtige Trojaner-Dateien und analysieren Sie deren Inhalte mithilfe von Texttools, einschließlich Link-Back-IP-Adressen, Verschlüsselungsmethoden, Schlüsselwörtern (um die Dateifunktion für die Extraktion des gesamten Verzeichnisses zu erweitern) usw.
2. Fehlerbehebung bei abnormalen Verbindungen
Windows
Beheben Sie Fehler bei abnormalen Verbindungen
|
Befehl
|
Aktuelle Netzwerkverbindungen anzeigen,
Lokalisieren Sie verdächtige etablierte Prozesse
|
netstat -ano | findstr Etabliert
|
Sehen Sie sich die PID an, die dem Port entspricht
|
netstat -ano | findstr <PORT>
|
Zeigen Sie ausführbare Dateien an, die an Verbindungen oder Überwachungsports beteiligt sind
(erfordert Administratorrechte)
|
netstat -nb
|
Beispiel: Zeigen Sie das ausführbare Programm an, das an der Verbindung oder dem Überwachungsport beteiligt ist (erfordert Administratorrechte).
Linux
Beheben Sie Fehler bei abnormalen Verbindungen
|
Befehl
|
Listen Sie alle Prozesse mit offenen Netzwerk-Sockets auf
|
lsof -i
lsof -i | grep -E "LISTEN|ESTABLISHED
|
Zeigt alle offenen Ports und den Verbindungsstatus an
|
netstat -anptul
netstat -ano
|
Beispiel: Alle offenen Ports und Verbindungsstatus anzeigen
3. Fehlerbehebung bei abnormalen Prozessen
Windows
Beheben Sie abnormale Prozesse
|
Befehl
|
Alle Prozesse anzeigen (Task-Manager)
|
Taskmgr
|
Sehen Sie sich alle Prozesse an, die auf einem lokalen oder Remote-Computer ausgeführt werden
|
Aufgabenliste
Aufgabenliste | findstr <KEY_WORDS>
|
Sehen Sie sich den vollständigen Befehl des Prozesses an
|
wmic-Prozess | findstr „cmd.exe“
|
Prozessdetails anzeigen
|
msinfo32/Softwareumgebung/Ausführende Aufgaben
|
Prozess schließen
|
WMIC-Prozess, bei dem ProcessID=<PID> ist, löschen
|
zB:
Alle Prozesse anzeigen (Task-Manager)
Linux
Beheben Sie abnormale Prozesse
|
Befehl
|
Finden Sie die Prozess-PID
|
netstat -anptl
lsof -i:<PID>
|
Suchen Sie Dateien nach PID
|
cd /proc/<PID>
ls -ail
ls -ail | grep exe
|
Zeigen Sie die von jedem Prozess belegten Systemressourcen an
|
Spitze
bpytop
|
Aktuelle Prozessinformationen anzeigen
|
ps an
|
Verwirklichen Sie die präzise Suche eines Prozesses
|
ps -ef | grep <KEY_WORDS>
|
Prozess beenden
|
kill -9 <PID>
|
Prozessbaum anzeigen
|
pstree -p
|
Suche Schlüsselwörter
|
find / -name <KEY_WORDS>
|
eg:查看各进程占用的系统资源
4、异常账号排查
Windows
排查异常账号
|
命令
|
查看当前的账户和用户组
|
lusrmgr.msc
|
查看当前账户情况
|
net user
net user aa$
|
查看当前组的情况
|
net localgroup administrators
|
查看当前系统会话
* 是否有人使用远程终端登陆服务器
|
query user
|
踢掉用户
|
logoff <USERID>
|
eg:
查看当前的账户和用户组
Linux
排查异常账号
|
命令
|
查看当前系统正在登陆账户的信息
|
w
|
查看当前登陆用户
(tty 本地登陆,pts 远程登录)
|
who
|
查看账号情况 |
cat /etc/passwd
cat /etc/shadow
|
查看所有账户最后一次登陆时间
|
lastlog
|
查看用户登陆错误的记录
(检查暴力破解)
|
last
lastb
|
查看登陆多久,多少用户,负载
|
uptime
|
eg:查看当前系统正在登陆账户的信息
5、异常文件分析
Windows
分析异常文件
|
命令 |
查看文件时间
|
右键查看文件属性,查看文件时间
|
查看某个用户相关文件
|
%UserProfile%\Recent
|
根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。
Linux
分析异常文件
|
命令
|
分析文件日期
|
stat <FILE_PATH>
|
查看最近24 小时内修改过的文件
|
find ./ -mtime 0
find ./ -mtime 1
find ./ -mtime 0 -o -mtime 1 -o -mtime 2
find ./ -mtime 0 -name "*.php"
|
按照时间顺序查找敏感目录文件
|
ls –alht /tmp/
|
查找特殊权限文件
|
find / *.jsp -perm 777
find / -perm 777
find / *.sh -perm 777
|
查找隐藏的文件
|
ls -ar | grep "^\."
|
查看拥有不可修改权限的文件
(不可修改,不能删除,只能追加)
|
lsattr <FILENAME>
|
查看SSH 公钥
|
ls -alh ~/.ssh
|
eg:查找隐藏的文件
五、清除日志
情况
|
做法
|
常态
|
* 全盘重装
* 数据迁移、系统盘重装
* 杀进程、删文件、清除账号等
|
攻防演习
(对抗)
|
* 存在不死马、内存马、顽固马、APT 等威胁
* 修复漏洞、打补丁
* 恢复生产,保障业务正常
* 取证、溯源
|
六、总结报告
分析事件原因
- 攻击来源:IP 等信息
- 攻击行为分析:方式(攻击手法与漏洞利用)、路径(攻击途径)等信息。
输出应急报告
- 时间
- 报告人
- 项目
- 应急前症状
- 应急措施
- 领导确认签字
- ...