【安全服务】应急响应1：流程、排查与分析_csdn kzaaa

目录

一、应急响应流程

1 准备阶段

2 检测阶段

3 抑制阶段

4 根除阶段

5 恢复阶段

6 总结阶段

现场处置流程

二、系统排查

1、系统信息

2、用户信息

3 启动项

4 任务计划

5 其他：Windows防火墙规则

 三、进程排查

1 windows

1.1 任务管理器

1.2 cmd > tasklist

1.3 查看正在进行网络连接的进程cmd > netstat -ano | findstr 'ESTABLISHED'

2 Linux

2.1 netstat -ap 

2.2 特定pid对应的执行程序:ls -alt /proc/PID

2.3查看进程打开的文件 lsof -p PID

2.4 kill -9 PID 杀死进程

2.5 查看隐藏进程

2.6 查看占用资源较多的进程top

四、服务排查

1 windows服务

2 Linux 服务

五、文件痕迹排查

1 windows

1.1敏感目录

1.2时间点查找

1.3 webshell文件

2 linux

2.1敏感目录

2.2时间点查找

六、日志分析

1 windows日志

 1.1 系统日志

 1.2安全性日志

 1.3应用程序日志

 1.4 应急响应中常见的事件id

 1.5日志分析

 2 Linux日志

1 查看日志

2 日志分析

3 其他日志

七、内存分析

1 内存的获取

1.1 基于内核模式程序的内存获取

1.2 基于系统崩溃转储的内存获取

1.3 基于虚拟机快照

2 内存的分析

2.1 Redline

2.2 Volatility

八、流量分析

筛选器

1 特定目的地址：ip.addr==ip

2特定源地址：ip.src==ip

3特定协议：直接输入http、http2、arp(小写)等

4特定端口：tcp.port==port / udp.port==port

5关键字：tcp contains 关键字

九、威胁情报

威胁情报金字塔

常用的威胁情报库/社区

---

一、应急响应流程

应急响应分为六个阶段，分别是

准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结

这种划分方法也称PDCERF方法

实际上，应急响应并不是严格遵从这个方法的，大多数情况都要具体问题具体分析

1 准备阶段

以预防为主，主要是要进行风险评估等工作，包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。

2 检测阶段

这个阶段是在安全事件发生后的，主要是判断安全事件是否还在发生，安全事件产生的原因，对业务的危害程度以及预计如何处理。

常见的安全事件有：

• 中病毒（勒索、挖矿等）
• 信息泄露（账号信息、敏感资料）
• 业务服务被破坏（网页篡改、破坏，数据被删等）
• 系统崩溃、网络瘫痪（ddos、批量请求）

 3 抑制阶段

抑制阶段主要是尽可能降低安全事件带来的损失，限制安全事件发生的范围和时长

一些抑制手段有：

• 断开网络
• 关闭受影响的系统
• 暂停受影响账号的使用
• 修改ACL
• 关闭未受到影响的其他业务
• 蜜罐

4 根除阶段

这个阶段是找出安全事件的根源，并完成清除掉隐患，避免安全事件二次发生，

5 恢复阶段

这个阶段是系统恢复到安全事件发生前的正常运行状态，并把备份数据恢复过来

6 总结阶段

这个阶段是总结这个安全事件的发生过程，并以此对涉事单位的安全技术配置、安全管理制度等进行分析评审，并以此为基础确定是否还会有新的风险，最后输出整改建议，包括安全设备采购、安全管理制度修订等

这个阶段可以输出

• 应急响应报告，包括安全事件发生流程、造成的危害、处置的方法
• 企业问题清单

现场处置流程

在现场中，首先通过访谈和现场确认，大概确认事件类型，再以此作针对性访谈和检查，然后制定应急方案，再逐步排查系统、进程、服务、文件痕迹、日志等

二、系统排查

1、系统信息

1.1 windows

系统信息工具：msinfo32.exe

命令行msinfo即可打开

 展开软件环境：

 此工具可进行以下信息的排查

• 系统驱动（描述、文件、开启状态等）
• 正在运行的任务（名称、路径、进程ID）
• 加载的模块
• 服务（名称、路径、状态等）
• 启动程序（命令、用户名、位置等）

 查看系统信息

cmd > systeminfo

1.2 linux

OS信息 uname -a

OS版本信息 ：cat proc/version

 已载入模块信息：lsmod

 

 CPU信息：lscpu

2、用户信息

2.1 windows用户信息

cmd > net user

cmd > net user username

 上面的方法查看不了隐藏账户，解决：计算机管理—本地用户和组

 注册表-HKEY_LOCAL_MACHINE-SAM-SAM-Domains-Account-Users-Names

 这种方法可排查windows是否利用隐藏账户进行提取（导出F值查看是否有一样的）

2.2 linux

查看所有用户信息：cat etc/passwd

 用户名:x(代表密码加密):用户ID:用户组:注释:用户主目录:默认登录shell

bin/bash 可登录    sbin/nologin 不可登录

查看超级权限账户：awk-F： '{if（$3==0）print $1}'/etc/passwd

-F fs 指定描绘一行中数据字段的文件分隔符 默认为空格，这里为:

以:分隔字符，分割所有行，形成二维的字符矩阵，如果矩阵中第三列的值为0(即超级权限账户)，打印出第一列字符(即账户名)

查看可登录账户：cat etc/passwd | grep 'bin/bash'

查看错误的用户登录信息：lastb

查看所有用户最后一次登录信息：lastlog

 查看用户最近登录信息：/$  last

 数据源：

• /var/log/wtmp   wtmp存储登录成功的信息
• /var/log/btmp    btmp存储登录失败的信息
• /var/log/utmp）utmp存储当前正在登录的信息

3 启动项

3.1 windows系统

任务管理器 - 启动项

 注册表

• HKEY_CLASSES_ROOT  确保在Windows资源管理器中执行时打开正确的程序
• HKEY_CURRENT_USER 登录用户的配置、有用户的文件夹、屏幕颜色、控制面板设置
• HKEY_LOCAL_MACHINE 计算机硬件信息、驱动
• HKEY_USERS 所有用户配置文件的配置信息
• HKEY_CURRENT_CONFIG 系统当前配置

3.2 Linux

rc.local 启动加载文件

Linux中有两个，分别在etc/re.local和etc/init.d/rc.local，修改这两个文件可修改启动项

查看init.d下的文件

 

 4 任务计划

攻击者可利用任务计划实现病毒的长期驻留

 4.1 windows

计算机管理 — 任务计划程序 — 任务计划程序库 — 

powershell > Get-ScheduledTask 

 cmd > schtasks

 4.2 Linux

terminal /$ crontab -l 

term