安全圈 | 专注于最新网络信息安全讯息新闻

首页

freebuf互聯網安全新媒體平臺

作者 gigliotti 时间 2020-03-04
all

檔案在自己的資料夾靜靜的躺了快半年了,好吧,先把應急回應流程步驟(乙方視角)和windows拆出來,在進行應急回應事件處置時需嚴格遵守公司的應急回應制度。

一、服務流程

溝通確認安全事件

在與客戶第一次溝通時,應及時提醒客戶對受害機器及時進行斷網隔離操作。已知的安全事件包括但不限於如下:

1. 惡意程式碼威脅,即僵屍網路、惡意木馬、蠕蟲病毒、勒索病毒等惡意程式碼導致的安全事件

2. 高級持續性威脅(APT)攻擊事件,即具有潜伏性、隱蔽性、目的性、持續性等特點的安全事件

3. 非法入侵事件,包括但不限於業務系統受到入侵致使數據洩露、遺失等;外網網站被入侵,導致網站被惡意篡改植入暗鏈或出現其他非法的宣傳標語;服務器被入侵導致受到勒索攻擊等安全事件

4. 漏洞事件,即0day公佈;在野漏洞發現;已知漏洞被發現受到通報等安全事件

5. 數據洩露事件,即重要數據因受到了入侵導致的洩露;應用配寘不當導致的洩露;員工誤操作導致的洩露;內鬼洩露等安全事件

6. 分佈式拒絕服務攻擊(DDOS)事件,即網站受到了各類DOS攻擊,包括但不限於CC攻擊、洪水攻擊、流量放大攻擊等安全事件

7. 流量劫持,DNS劫持、HTTP劫持

8. 其他歸於網路安全的事件

注意事項:一定要親自確認,切不可盲目相信他人所述。

確認後,應儘量收集與本次安全事件相關的資訊,例如什麽時候發現的攻擊,之前有無出現過安全事件等。

在確認安全事件後明確應急目的:

1. 病毒、後門清除工作

2. 協助業務系統安全的恢復上線

3. 攻擊溯源工作。(僅溯源至攻擊者的攻擊切入點)

現場保護

在與客戶溝通時,應提醒客戶注意保護現場,千萬不要直接重裝系統,以方便後續的溯源工作及可能存在的電子取證工作。在處置受害機器時,應儘量保持受害機器的原樣,如虛擬機器處置時,可以讓客戶進行快照存儲。

瞭解客戶網絡狀況

對客戶的網路拓撲應儘早進行瞭解,特別是網絡的進出口、負載均衡、防火牆、DNS伺服器。

確定事件影響 確定工作方向 確立工作目標

明確現場工作任務歸屬

無論現場的環境,主導本次安全事件,合理分配現場工作為應急人員的必備技能。

對現場的可能存在的工作應具備清晰的認知。通常會存在以下工作內容:病毒分析處置、業務恢復、安全加固、溯源分析、臨時需求處置、產品對接與使用、應急指揮與協調。

二、科技部分

1. 系統

1.1  Windows

1.1.1熟悉現場環境

對受害機器進行瞭解,分析可能存在的共同弱點,進而提供溯源思路。

如:是否存在弱口令(例如3389、FTP、中介軟體、資料庫)

是否存在對外映射的埠,或WEB應用等

1.1.2帳號安全風險分析

查看當前已登入的帳號

query user

使用logoff ID命令註銷已登入用戶,當可疑帳號處於登入狀態時,也可以使用mimikatz抓取密碼。

查看用戶目錄 是否存在新建用戶目錄

C:\Documents and Settings

C:\Users

C:\Documents and Settings

C:\Users

查看對應用戶的desktop與download目錄下是否存在异常檔案

查看是否存在可疑帳號、新增帳號(注意Guest用戶是否開啟)

Win+R輸入lusrmgr.msc    net user username查看詳細

查看是否存在隱藏帳號、尅隆帳號

運行—regedit.exe查看註冊表

或使用工具PC hunter與D盾進行排查

建立隱藏用戶參攷連結:

https://www.cnblogs.com/lunachy/p/4602228.html

1.1.3日誌風險分析

Win+R輸入eventvwr.msc

打開事件檢視器,注意日誌事件是否存在缺失現象(日誌出現中斷點或發現存在清除痕迹)。

日誌事件檢視器本身支持篩選功能。也可以匯出為CSV或者TXT使用Excel或者Notepad進行分析

使用微軟Log Parser進行分析(Log ParserUI封裝了語句gui介面)

運行—%UserProfile%\Recent,分析最近打開可疑檔案,或根據最近修改時間進行排查

查看U盤使用痕迹,對比各時間點,排查可疑使用記錄

//*注意採集日誌時,應注意日誌是否存在時間中斷點、或部分日誌遺失情况

1.1.4病毒風險排查

使用360殺毒離線版,並下載最新病毒庫下載地址:http://sd.360.cn/download_center.html

使用其他殺軟,並注意客戶現場是否存在友商產品。

1.1.5异常風險分析

1.1.5.1埠狀態

cmd命令

netstat -ano

netstat -ano | findstr“port”查看埠對應的活動連接

tasklit | findstr“PID”查看相應PID的行程

TCP埠狀態說明

https://www.cnblogs.com/jessezeng/p/5617105.html

工具使用

PC Hunter、D盾

1.1.5.2行程

運行—msinfo32–軟件環境–正在運行任務,查看詳細

運行—taskmgr工作管理員進行查看,可由行程打開相應檔案位置,及相應服務。

排查可疑行程及子行程(多涉及感染型病毒)

觀察內容包括:

沒有簽名驗證資訊的行程

沒有描述資訊的行程

屬主异常的行程

路徑不合法的行程

CPU或記憶體資源長時間或過高佔用的行程

存在异常活動連接的行程

工具使用:

PC Hunter、D盾、Process Explorer、Process Hacker、Autoruns

1.1.5.3啟動項

注意當前系統時間是否有問題,病毒可能存在篡改系統時間,或利用系統時間异常的可能性。

按一下–開始–所有程式–啟動

輸入命令查看啟動項wmic startup list full

運行 –輸入msconfig查看是否存在可疑的啟動項目

打開註冊表,查看是否存在可疑開機啟動項,特別注意如下三個註冊表項:

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

運行—gpedit.msc群組原則中查看啟動

工具使用:

Autoruns、PC Hunter、360安全衛士

1.1.5.4計畫任務

控制台—管理工具—任務計畫程式

或運行—taskschd.msc

通過命令查看計畫任務schtasks /query /fo table /v

或者註冊表下手動排查(其使用了XML格式,若出現特殊字元,可導致打開報錯)

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tree

運行—管理員運行cmd—at檢查電腦與網絡上其他電腦之間的會話或者計畫任務,如有確認是否為正常連接。

1.1.5.5系統服務

運行—services.msc注意服務狀態和啟動類型,檢查是否存在可疑服務。

運行—taskmgr工作管理員內查看服務

工具使用:

PC Hunter

1.1.6系統風險分析

1.1.6.1系統後門排查

對當前作業系統版本、作業系統補丁、應用版本進行確認,分析可能存在的威脅因素。

如“永恆之藍”漏洞未打補丁,是否存在利用痕迹。

IIS低版本漏洞。

檢查方法:

1. 運行—systeminfo查看系統資訊

2. Shift後門排查使用OD分析C:\WINDOWS\system32\dllcache\sethc.exe

3. 對於一些windows常見的持久化痕迹基本都很明顯,如有需要可以參考

https://www.freebuf.com/vuls/195906.html

1.1.6.2敏感目錄排查

可能存在問題的敏感目錄

   %WINDIR%

%WINDIR%\system32%TEMP%

%LOCALAPPDATA%

%APPDATA% 各盘下的tmp缓存目录,例如C:\Windows\Temp

   %WINDIR%

%WINDIR%\system32%TEMP%

%LOCALAPPDATA%

%APPDATA%各盤下的tmp緩存目錄,例如C:\Windows\Temp

1.1.7綜合分析得出結論

1.系統漏洞直接造成的入侵事件。如“永恆之藍”、弱口令

2.系統漏洞間接造成的入侵事件。如WebShell後,本地提權。

3.應用漏洞直接或間接造成的入侵事件。如Struts 2遠程命令執行、WebLogic弱口令或遠程程式碼執行、IIS PUT上傳漏洞、FTP弱口令或溢出攻擊等。

*本文作者:PinkWolf,轉載請注明來自FreeBuf.COM