应急响应思路

应急响应简单来说要干的其实就是看内外网日志，然后有异常就断网，封ip，清除权限，有的时候（其实是大部分时候）断网才是应急响应的最有效措施，尤其是半夜不影响业务的情况

应急响应基本思路

事件发生后（态势感知等设备发觉攻击成功）->紧急处置封堵（直接找倒叙关键点）->封ip+下线机器（断网）+清除权限->还原攻击链+修漏洞->旁站复测隐患排查+写报告

准备-检测-抑制-根除-恢复-书写报告

1. 准备工作，收集信息：收集告警信息、客户反馈信息、设备主机信息等。
2. 检测，判断类型：安全事件类型的判断（钓鱼邮件，webshell，爆破，中毒等）
3. 抑制，控制范围，隔离失陷设备
4. 根除，分析研判，将收集的信息分析
5. 恢复，处置事件类型（进程、文件、邮件、启动项，注册表等）
6. 输出报告

windows

初步排查

1.系统账号排查(通过本地用户组去可疑账号、隐藏账号，有的话就删除掉)

2.事件管理器检测登陆日志,用微软的Log parser导出后分析

3.可疑端口，建立的链接，排查他对应的进程，用微软的msinfo32查看进程的路径和签名是否可疑。

后门排查

权限维持:一个进程杀掉了，过段时间重新派生

系统排查

1. 检查系统账号安全
2. 检查异常端口、进程
3. 检查启动项、计划任务、服务
4. 日志分析

日志分析

1. 搜索关键字，如：union，select等
2. 分析状态码

1xx information

200 successful

300 redirection

4xx client error

5xx server error

查找可疑文件,webshell

分析文件修改日期

系统日志分析

思路：

1. 定位被入侵的主机并且立即对该主机进行断网隔离
2. 确定攻击类型
3. 确定被入侵的时间范围
4. 定位恶意文件和入侵痕迹
5. 溯源入侵来源
6. 清理恶意文件/修复漏洞
7. 事件复盘

常见命令

1.检测补丁情况:看看有没有打了最新的补丁,看看是不是用漏洞搞进来的

systeminfo | uname -a

2.日志分析:定位入侵路线,是系统配置出了问题(ssh 弱口令,域管理员hash 泄漏)还是WEB 服务出了问题(传马,WEB 漏洞利用)

eventvwr | /var/log , .bash_history

access.log mysql_log.log

3.账户信息:先看看是不是帐户有弱口令,再看看用户的登录时间,也观察一下有没有给留后门账户

quser | who last

4.进程分析:定位一下看看有没有运行恶意进程

procxp , pchunter | ps -aux , chkrootkit , rkhunter

还可用火绒剑、TCPview、Process monitor等进程监测工具排查

5.文件分析:找找Shell 和后门,看看这个是什么样的Shell

lchangedfiles | find / -ctime -1 -print

6.系统分析:计划任务,自启动服务等

shell:startup直接跳转到自启动文件夹：

Windows系统应急响应中常用的指令

查看用户账号和组 lusrmgr

打开lusrmgr.msc，查看是否有新增/可疑的账号

敏感事件id:

4624 登录成功

4625 登录失败

4634 注销成功