当前位置:   article > 正文

网络安全应急响应(归纳)_安全事件id 应急响应

安全事件id 应急响应

net user:查看用户账户信息(看不到以$结尾的隐藏用户); net user
username:查看用户名为username用户的详细信息; lusrmgr.msc:打开本地用户与组,可查看隐藏用户;
打开计算机管理-本地用户与组可查看隐藏用户; wmic useraccount get name,sid:查看系统中的所有用户;
注册表查看是否存在克隆账户:regedit打开注册表,选择HKEY_LOCAL_MACHHINE下的SAM选项,为该项添加允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的目标和用在此显示的可以应用到子对象的项目替代所有子对象的权限项目权限,使当前用户拥有SAM的读取权限。添加之后F5刷新即可访问子项并查看用户信息。同时,在此项下导出所有00000开头的项,将所有导出的项与000001F4(对应Administrator用户)导出内容做比较,若其中的F值相同,则表示可能为克隆账户。

Linux

查看所有用户信息:cat /etc/passwd
后续各项由冒号隔开,分别表示用户名、密码加密、用户ID、用户组ID、注释、用户主目录、默认登录shell。最后显示
bin/bash的,表示账户状态可登录,显示sbin/nologin的,不可登陆。 awk -F: ‘{if($3==0)print
$1}’ /etc/passwd :查询登录账户UID=0的账户,root是uid等于0的账户,如果出现其它的账户,就要重点排查;
查看可登录账户:cat /etc/passwd | grep ‘/bin/bash’
查看用户错误的登录信息:lastb(包括错误的登录方法、ip、时间等) 查看所有用户最后的登录信息:lastlog
查看用户最近登录信息:last 查看当前用户登录系统信息:who 查看空口令账户:awk -F: ‘length($2)==0 {print
$1}’ /etc/shadow

启动项:开机系统在前台或者后台运行的程序,是病毒等实现持久化驻留的常用方法。
Windows

msconfig:可查看启动项的详细信息; 注册表查看:
HKEY_CLASSES_ROOT:此处存储的信息可确保在windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息;
HKEY_CURRENT_USER:包含当前登录系统的用户的配置信息,有用户的文件夹、屏幕颜色和控制面板设置;
HKEY_LOCAL_MACHINE:包含运行操作系统的硬件特定信息,有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置;
HKEY_USERS:包含系统上所有用户的配置信息,有应用程序配置和可视配置;
HKEY_CURRENT_CONFIG:存储有关系统当前配置信息。 查看注册表中的信息:reg query
“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

Linux

cat /etc/init.d/rc.local cat /etc/rc.local ls -alt /etc/init.d
查看init.d文件夹下的所有文件的详细信息

任务计划:由于很多计算机都会自动加载“任务计划”,因此任务计划也是病毒实现持久化驻留的一种常用手段。
Windows

eventvwr:打开事件查看器,可看日志
打开计算机管理——系统工具——任务计划程序——任务计划程序库:可查看任务计划的名称、状态、触发器等信息;
命令行输入schtasks:可获取任务计划信息,要求是本地Administrator组的成员;
在PowerShell下输入get-scheduledtask 可查看当前系统中所有任务计划信息,包括路径、名称、状态等详细信息。

Linux

crontab -l:可查看当前任务计划 crontab -u root -l:查看root用户的任务计划(指定用户)

查看etc目录下的任务计划文件:一般在linux系统中的任务计划文件是以cron开头的,可以利用正则表达式的筛选出etc目录下的所有以cron开头的文件,具体表达式为/etc/cron,例如查看etc目录下的所有任务计划文件就可以输入ls
/etc/cron命令。
/etc/crontab
/etc/cron.d/

/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab

其它

windows防火墙的入站规则和出站规则 netsh :查看 netsh firewall show
state:显示当前防火墙的网络配置状态

进程排查

是计算机中的程序关于某数据结合的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了不被查杀,还会启动相应的守护进程来对恶意进程进行守护。

Windows

通过任务管理器查看; tasklist:可显示计算机中的所有进程,可查看进程的映像名称、PID、会话等信息; tasklist
/svc:可以显示每个进程和服务对应的情况; tasklist /m:查询加载的DLL tasklist /m wmiutils.dll
:查询特定dll的调用情况 tasklist /svc /fi “pid eq
284”:过滤器功能,eq等于、nq不等于、gt大于、lt小于、ge大于等于、le小于等于、

netstat:可显示网络连接的信息,包括活动的TCP连接、路由器和网络接口信息,是一个监控TCP/IP网络的工具。
端口定位程序:通过netstat定位处PID,然后用tasklist查看具体的程序,例如:netstat -ano |findstr
“3306” 定位出pid=6616 tasklist |find “6616” netstat -anb
3306:端口快速定位程序,需要管理员权限; powershell排查:对于有守护进程的进程,许确认子父进程之间的关系
get-wmiobject win32_process | select
name,processid,parentprocessid,path
wmic命令查询:可对进程进行查询以csv格式来显示进程名称、父进程id、进程id wmic process get
name,parentprocessid,processid/format:csv

Linux

netstat:分析可以端口、分析可疑ip地址、可疑pid及程序进程; ls -alt
/proc/PID:查看PID为600的进程可执行程序; lsof -p PID:查看进程所打开的文件; kill -9 PID:结束进程;
rm -rf filename :删除名为filename的文件;
如果root用户都无法删除相关文件,可能是因为该文件被加上了i属性,使用lsattr filename 查看文件属性,然后用chattr
-i filename 可移除i属性,进而删除文件。也有因为进程存在守护进程而无法被删除,可先将进程挂起,查杀守护进程后,再返回将进程删除。补充:chattr +i
filename 加i属性。 查看隐藏进程:顺序执行以下三条命令
ps -ef | awk ‘{print}’|sort -n |uniq>1
ls /proc |sort -n |uniq>2
diff 1 2 top:可用于挖矿进程排查,显示占用率较高的进程。

服务排查

服务可以理解为运行在后台的进程,服务可以在计算机启动时自动启动,也可暂停和重启,而且不显示任何用户界面,服务非常适合在服务器上使用,通常在为了不影响在同一天计算机上工作的其它用户,且需要长时间运行功能时使用。在应急响应中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方法。

Windows

services.msc:打开服务窗口,查看所有的服务项,包括服务的名称、描述、状态等。

Linux

chkconfig --list:可查看系统运行的服务;
service --status-all:可查看所有服务的状态;

文件痕迹排查

恶意软件、木马、后门都会在文件维度上留下痕迹,排查思路:

对恶意软件常用的敏感路径进行排查;
在确定了应急响应事件的时间点后,对时间点前后的文件进行排查;
对带有特征的恶意软件进行排查,包括代码关键字或关键函数、文件权限特征。

Windows

敏感目录
各个盘下的temp(tmp)相关目录,有些恶意程序释放字体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但临时文件的路径相对统一,因此在程序中写好的路径一般是临时路径;

查看浏览器历史记录、下载文件和cookie信息:攻击者可能会下载一些后续攻击工具;

查看用户Recent文件:存储最近运行文件的快捷方式,一般在windows中的路径为: C:\Document and
Settings\Administrator(系统用户名)\Recent C:\Document and Settings\Default
User\Recent
Prefetch:预读取文件夹,存放系统已经访问过的文件的读取信息,扩展名为pf,可加快系统启动进程,启动:%systemroot%\prefetch
amcache.hve:可查看应用程序执行路径、上次执行时间及sha1值。启动:%systemroot%\appcompat\programs
时间点查找 forfiles 攻击者可能会对时间动手脚 webshell
D盾、HwsKill、WebshellKill等工具对目录下的文件进行规则查询,

Linux

敏感目录 /tmp、 /usr/bin、 /usr/sbin:经常作为恶意软件下载目录及相关文件被替换的目录;
~/.ssh、/etc/ssh:经常作为后门配置的路径

时间点查找 find:可对某一时间段内增加的文件进行查找;
stat:对文件的创建时间、修改时间、访问时间进行排查;

特殊文件
查找777权限的文件:find /tmp -perm 777

webshell查找
初筛:find /var/www/ -name “*.php”
工具:findWebshell、Scan_Webshell.py扫描排查

对系统命令进行排查
ls、ps可能被攻击者替换,ls -alt /bin 查看命令目录中的系统命令的修改时间进行排查;
ls -alh /bin:查看相关文件大小,若明显偏大,则文件很可能被替换;

linux后门检测
工具:chkrootkit(出现infected说明有后门)、rkhunter 排查suid程序
find /-type f -perm -04000 -ls -uid 0 2 >/dev/null

日志排查
Windows:在运行对话框中输入eventvwr,打开事件查看器窗口,可查看windows相关日志。

系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 系统中的各个组件在运行中产生的各种事件

安全性日志:%SystemRoot%\System32\Winevt\Logs\security.evtx
记录各种安全相关的事件,登录操作、对系统文件进行创建、删除、更改等操作。

应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx

日志常用事件id 4624:登陆成功 4625:登录失败

日志分析
日志筛选器进行分析
PowerShell分析 Get-WinEvent Get-WinEvent Security -InstanceId 4625:获取安全性日志下事件id为4625的所有日志信息。
使用工具

Linux

日志概述
linux系统日志一般在/var/log/下

/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,及last
/var/log/cron:记录与定时任务相关的日志信息;
/var/log/message:记录系统启动后的信息和错误日志;
/var/log/apache2/access.log:记录apache的访问日志;
/var/log/auth.log:记录系统授权信息,包括用户登录和使用的权限机制等;

日志分析

其它日志
除了windows、linux系统日志分析外,还有Web日志、中间件日志、数据库日志、FTP日志等进行分析。

IIS日志
%systemdrive%\inetpub\logs\logfiles
%systemroot%\system32\logfiles\w3svc1

Apache日志
/var/log/httpd/access.log
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd-access.log

Nginx日志
默认在/usr/local/nginx/logs目录下,access.log代表访问日志,error.log代表错误日志。若没在默认路径下,则可到nginx.conf配置文件中查找。

Tomcat日志 tomcat/log下 Vsftp日志
/var/log/messages 可通过编辑/etc/vsftp/vsftp.conf配置文件来启用单独的日志,启用后,可访问vsftp.log和xferlog。

Weblogic日志
有三种日志:access log、 server log 、 domain log。

数据库日志

			Oracle
				select * from v$logfile:查询日志命令,默认在$ORACLE/rdbms/log目录下,
				select * from v$sql:可查询之前使用的sql;
			Mysql
				默认路径:/var/log/mysql/
				可查看日志是否开启:show variables like 'general';
				开启日志:set global general_log = 'ON';
			Mssql
				一般无法查看,需要登录到SQL Server Management Studio,在管理——SQL Server日志 中查看。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
内存分析
流量分析

ip.addrip:对指定ip地址进行过滤;
ip.src
ip:对指定的源ip地址进行过滤;
直接输入http、https、smtp、arp等协议进行筛选;
top.port端口号或tcp.port端口号对端口进行过滤;
tcp contains stings :对数据包中的关键字进行检索。

威胁情报

三、工具

四、场景

1、勒索病毒网络安全应急响应

1、常见勒索病毒

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!

7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.

如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
img

网络安全工程师企业级学习路线

img
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

img
一些笔者自己买的、其他平台白嫖不到的视频教程。
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/天景科技苑/article/detail/969241
推荐阅读
相关标签
  

闽ICP备14008679号