1.攻击归类
要进行应急响应,通俗来讲,首先你得知道攻击你的是啥。
常见的攻击归类如下:
1.系统入侵:病毒木马、勒索软件、远控后门
2.web入侵:网页挂马、主页篡改、Webshell
3.网络攻击:DDOS攻击、DNS劫持、ARP欺骗
分类在应急响应整个流程里面还是相对容易的,比如你的网站出事了,被人挂了马或图片,很明显就是web入侵。
如果你被勒索或者被挖矿,或者病毒入侵,都可以视为系统入侵,因为已经打到了你的系统层面,可以调用你的一些系统权限,很明显就是一个系统入侵。
网络攻击查看一手流量分析,实时监控网络就可以看出,不必多说。
2.系统入侵响应
首先你得先明白,此时黑客可能已经获得了部分你的系统权限。
(1)账号的检查
首先调用windows命令窗口,使用
net user
可以查看有无多出来的一个系统用户。
如果没有找到,有可能黑客在在进行权限维持的时候进行了使用了隐藏账户。此时直接使用
管理员权限进入注册表编辑器
计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account
查看Users表项与net user表项中的项数量是否一致
之前的net user只出现了五个账户,但是这里却又六个names,很明显admin$有问题
那么最后进行克隆账户的一个排查。
这里建议直接使用D盾,进行克隆检测
如果发现你的电脑上面没有多出来的一个账户,那么接下来:
(2)进行任务管理器进程排查
这里用我这边的一个事例比较容易讲的清楚:
起因是朋友的充电线有些发黄,很明显是发热过大,他说是这几天才这样的。