1. De acordo com a inteligência, primeiro julgue que tipo de evento precisa ser emergencial.
Tipos de eventos comuns:
- queda maciça
- tipo de situação
- conteúdo da situação
- vírus de mineração
- ransomware
- Sem desembarque de documentos
- Cavalo morto-vivo (teimoso)
- pescaria
- sequestro de dados
2. Mantenha a primeira cena
O primeiro campo contém:
- primeiro descobridor
- primeira inteligência
- Sujeito caído, grupo
- assunto, comportamento de grupo
- ambiente caído
três, bloqueando
O chamado bloqueio tem apenas três etapas:
- Fechar estação;
- fora de serviço;
- Desconecte o cabo de rede (a placa de rede está desativada).
4. Análise de Traços
Analise três partes principais: logs, tráfego e amostras.
- O log presta atenção principalmente em: tempo, ação e resultado; quando esta ação começa e quando termina?
- A principal atenção do tráfego é: código de status, processo de interação e racionalidade dos dados; o código de status de cada interação, se o processo de interação está de acordo com o correto processo de interação do protocolo, se o preenchimento de cada campo e a renderização de cada o trânsito está normal.
- A principal atenção da amostra é: método de inicialização, método de camuflagem e função; escolha caixa de areia ou ferramenta de análise de acordo com o método de inicialização; método de camuflagem para julgar se deve embalar para anti-assassinato e método de abertura; julgar o alcance do dano de acordo com a função.
1. Informações básicas do sistema
Foco:
- Se existem contas ilegais no sistema;
- Se existe um programa de serviço de exceção no sistema;
- Se alguns arquivos do sistema foram adulterados ou novos arquivos foram encontrados;
- Logins anormais no log de segurança do sistema;
- Se existe algum registro de acesso não autorizado à página de gerenciamento no log do site;
- Visualizar informações de atividade de cavalos de Tróia com base em programas associados a informações como processos e conexões;
- Se os comandos do sistema (como netstat ls, etc.) forem substituídos, para uma investigação mais aprofundada, você precisará baixar um novo ou copiar o novo comando de outros hosts não infectados;
- Se você encontrar um arquivo Trojan executável suspeito, não se apresse em excluí-lo, mas faça uma cópia de backup primeiro;
- Encontre arquivos suspeitos de cavalos de Tróia e use ferramentas de texto para analisar seu conteúdo, incluindo endereços IP de link-back, métodos de criptografia, palavras-chave (para expandir a extração de recurso de arquivo de todo o diretório), etc.
2. Solucionar problemas de conexões anormais
janelas
|
Solucionar problemas de conexões anormais
|
Ordem
|
|
Veja as conexões de rede atuais,
Localize Processos ESTABELECIDOS Suspeitos
|
netstat -ano | findstr ESTABELECIDO
|
|
Visualize o PID correspondente à porta
|
netstat -ano | findstr <PORTA>
|
|
Visualize executáveis envolvidos em conexões ou portas de escuta
(requer privilégios de administrador)
|
netstat -nb
|
por exemplo: Ver o programa executável envolvido na conexão ou porta de escuta (requer privilégios de administrador)
Linux
|
Solucionar problemas de conexões anormais
|
Ordem
|
|
Listar todos os processos com soquetes de rede abertos
|
lsof -i
lsof -i | grep -E "ESCUTA|ESTABELECIDO
|
|
Exibir todas as portas abertas e o status da conexão
|
netstat -anptul
netstat -ano
|
por exemplo: Exibir todas as portas abertas e o status da conexão
3. Solucionar problemas de processos anormais
janelas
|
Solucionar problemas de processos anormais
|
Ordem
|
|
Ver todos os processos (gerenciador de tarefas)
|
taskmgr
|
|
Visualize todos os processos em execução em um computador local ou remoto
|
lista de tarefas
lista de tarefas | encontrarstr <KEY_WORDS>
|
|
Veja o comando completo do processo
|
processo wmic | findstr "cmd.exe"
|
|
Ver detalhes do processo
|
msinfo32/Ambiente de software/Tarefas em execução
|
|
fechar processo
|
processo wmic onde processid=<PID> deletar
|
ex.:
visualizar todos os processos (gerenciador de tarefas)
Linux
|
Solucionar problemas de processos anormais
|
Ordem
|
|
Encontrar processo PID
|
netstat -anptl
lsof -i:<PID>
|
|
Encontrar arquivos por PID
|
cd /proc/<PID>
ls -ail
ls -ail | grep exe
|
|
Veja os recursos do sistema ocupados por cada processo
|
principal
bpytop
|
|
Exibir informações do processo atual
|
ps para
|
|
Realize a busca precisa de um processo
|
ps-ef | grep <KEY_WORDS>
|
|
fim do processo
|
matar -9 <PID>
|
|
visualizar a árvore do processo
|
pstree -p
|
|
Procure palavras-chave
|
encontrar / -nome <KEY_WORDS>
|
eg:查看各进程占用的系统资源
4、异常账号排查
Windows
|
排查异常账号
|
命令
|
|
查看当前的账户和用户组
|
lusrmgr.msc
|
|
查看当前账户情况
|
net user
net user aa$
|
|
查看当前组的情况
|
net localgroup administrators
|
|
查看当前系统会话
* 是否有人使用远程终端登陆服务器
|
query user
|
|
踢掉用户
|
logoff <USERID>
|
eg:
查看当前的账户和用户组
Linux
|
排查异常账号
|
命令
|
|
查看当前系统正在登陆账户的信息
|
w
|
|
查看当前登陆用户
(tty 本地登陆,pts 远程登录)
|
who
|
| 查看账号情况 |
cat /etc/passwd
cat /etc/shadow
|
|
查看所有账户最后一次登陆时间
|
lastlog
|
|
查看用户登陆错误的记录
(检查暴力破解)
|
last
lastb
|
|
查看登陆多久,多少用户,负载
|
uptime
|
eg:查看当前系统正在登陆账户的信息
5、异常文件分析
Windows
|
分析异常文件
|
命令 |
|
查看文件时间
|
右键查看文件属性,查看文件时间
|
|
查看某个用户相关文件
|
%UserProfile%\Recent
|
根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。
Linux
|
分析异常文件
|
命令
|
|
分析文件日期
|
stat <FILE_PATH>
|
|
查看最近24 小时内修改过的文件
|
find ./ -mtime 0
find ./ -mtime 1
find ./ -mtime 0 -o -mtime 1 -o -mtime 2
find ./ -mtime 0 -name "*.php"
|
|
按照时间顺序查找敏感目录文件
|
ls –alht /tmp/
|
|
查找特殊权限文件
|
find / *.jsp -perm 777
find / -perm 777
find / *.sh -perm 777
|
|
查找隐藏的文件
|
ls -ar | grep "^\."
|
|
查看拥有不可修改权限的文件
(不可修改,不能删除,只能追加)
|
lsattr <FILENAME>
|
|
查看SSH 公钥
|
ls -alh ~/.ssh
|
eg:查找隐藏的文件
五、清除日志
|
情况
|
做法
|
|
常态
|
* 全盘重装
* 数据迁移、系统盘重装
* 杀进程、删文件、清除账号等
|
|
攻防演习
(对抗)
|
* 存在不死马、内存马、顽固马、APT 等威胁
* 修复漏洞、打补丁
* 恢复生产,保障业务正常
* 取证、溯源
|
六、总结报告
分析事件原因
- 攻击来源:IP 等信息
- 攻击行为分析:方式(攻击手法与漏洞利用)、路径(攻击途径)等信息。
输出应急报告
- 时间
- 报告人
- 项目
- 应急前症状
- 应急措施
- 领导确认签字
- ...