映像劫持 REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

屏保&登录 reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

Win d o w s - 后门 - 常规 & 权限维持 & 内存马

### Lin u x - 后门 - 常规 & 权限维持 & R o o t kit & 内存马

web层面-后门

子主题 1
通用系统层面
1、常规后门
2、内存马（无文件马）
PHP php内存马 ---146 --重启服务--再删
.NET
JAVA
Python

挖矿脚本检测指南

挖矿样本-Win&Linux-危害&定性

危害：CPU 拉满，网络阻塞，服务器卡顿等
判断:GPU,CPU,
拿到挖矿的样本,数据包,URL,ip,
IP,域名,钱包...
--上传分析,平台,样本,
定性：威胁情报平台上传解析分析，文件配置查看等

Linux-Web 安全漏洞导致挖矿事件

Windows-系统口令爆破导致挖矿事件

Linux-个人真实服务器被植入挖矿分析

勒索病毒检测指南

1、什么是勒索病毒？

勒索病毒是一种新型电脑病毒，主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。2019年末，勒索已然呈现出“双重勒索”的趋势，即先窃取商业数据，然后实施勒索，如果未能在规定时间内支付赎金，将于网上（通常暗网）公开售卖企业的商业数据

2、勒索病毒危害影响？

（1）系统瞬时CPU占用高，接近100%，这个现象主要是在批量加密文件。
（2）所有应用都被无法使用和打开。
（3）系统应用文档被加密无法修改。
（4）文件后缀被修改并留下勒索信。
(5）桌面主题被修改。
(6)杀毒软件告警。（可能你并不懂告警了CrySiS是什么东西）

4.勒索病毒常见家族及确定？

（1）LockBit：LockBit于2019年9月首次以ABCD勒索软件的形式出现，2021年发布2.0版本，江相比第一代，LockBit2.0号称是世界上最快的加密软件，加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务（RaaS）模型，并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力（加密和窃取数据），据作者介绍和情报显示LockBi3.0版本已经诞生，并且成功地勒索了很多企业。
（2）Gandcrab/Sodinokibi/REvil：REvil勒索软件操作，又名Sodinokibi，是一家臭名昭著的勒索软件即服务（RaaS）运营商，可能位于独联体国家（假装不是老毛子）。它于2019年作为现已解散的GandCrab勒索软件的继任者出现，并且是暗网上最多产的勒索软件之一，其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商，一直保持着60家合作商的模式。（2021年暂停止运营，抓了一部分散播者）。
（3）Dharma/CrySiS/Phobos：Dharma勒索软件最早在2016年初被发现，其传播方式主要为RDP暴力破解和钓鱼邮件，经研究发现Phobos勒索软件、CrySiS勒索软件与Dharma勒索软件有许多相似之处，故怀疑这几款勒索软件的作者可能是同一组织。
（4）Globelmposter（十二生肖）：Globelmposter又名十二生肖，十二主神，十二....他于2017年开始活跃，2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分，比如国内最常见的一个攻击者邮箱为China.Helper@aol.com
（5）WannaRen（已公开私钥）：WannaRen勒索家族的攻击报道最早于2020年4月，通过下载站进行传播，最终在受害者主机上运行，并加密几乎所有文件；同时屏幕会显示带有勒索信息的窗口，要求受害者支付赎金，但WannaRen始终未获得其要求的赎金金额，并于几天后公开密钥。
（6）CoHti：Conti勒索家族的攻击最早追踪到2019年，作为“勒索软件即服务（RaaS）”，其幕后运营团伙管理着恶意软件和Tor站点，然后通过招募合作伙伴执行网络漏洞和加密设备。在近期，因为分赃不均，合作伙伴多次反水，直接爆料攻击工具、教学视频、以及部分源代码。
（7）WannaCry:WannaCry（又叫WannaDecryptor），一种“蠕虫式”的勒索病毒软件，由不法分子利用NSA（NationalSecurityAgency，美国国家安全局）泄露的危险漏洞“EternalBlue"（永恒之蓝）进行传播，WannaCry的出现也为勒索病毒开启了新的篇章。
（8）其他家族：当然，勒索病毒的家族远远不止如此。

人工分析：

1通过加密格式来判断
2通过桌面的形式来判断
(3)通过勒索者的邮箱来判断家族
4通过勒索者留下的勒索信为例
(5)通过微步云沙箱/威胁情报/暗网论坛

平台分析：

勒索病毒搜索引擎
360:http//lesuobingdu.360.cn
腾讯：勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家
启明：VenusEye勒索病毒搜索引擎
奇安信：勒索病毒搜索
深信服：深信服EDR

勒索软件解密工具集

腾讯哈勃：腾讯哈勃分析系统
金山毒霸：金山毒霸防范勒索病毒
火绒：火绒安全工具 - 火绒安全软件
瑞星：瑞星防勒索病毒专题 - 瑞星
Nomoreransom:主页面 | The No More Ransom Project
MalwareHunterTeam: https://id-ransomware.malwarehunterteam.com
卡巴斯基：No Ransom: Free ransomware file decryption tools by Kaspersky
Avast: 免费勒索软件解密工具 | 解锁您的文件 | Avast
Emsisoft:
Emsisoft: Free Ransomware Decryption Tools
Github勒索病毒解密工具收集汇总：https://github.com/jiansiting/Decryption-Tools

附录目前国内外收集的工具：

Lin u x - G o n n a C r y - 感染 & 识别 & 解密

Win d o w s - S a t a n 3.X - 感染 & 识别 & 解密

Win d o w s - W a n n a C r y - 感染 & 识别 & 解密

拒绝服务

cc

DDOS

防御手段：CC 防火墙，CDN 服务，高防服务等

内网应急-日志分析-爆破&横向&数据库

1、协议口令爆破事件

2、口令传递横向事件

3、数据库安全入侵事件

了解：数据库日志，系统日志，中间件日志，其他应用日志等

windows日志

红队 APT-钓鱼邮件-内容&发信人&附件

#红队 APT-钓鱼邮件-内容&发信人&附件

如何分析邮件安全性：

1、看发信人地址

--代发,代发域名, 邮箱自己提示,警告,

2、看发信内容信息

--垃圾无效内容,不相关,

3、看发信内容附件

--下载下来直接报毒. (反虚拟机)平台检测,

右键检测网页源代码(显示原文) --from,x-mailer,ip,指纹特征

库里面搜一下邮箱,账号,

--把指纹改了,--有域,--子域名查询.--找到发送邮件的平台 --漏洞???

4、查询发信域名反制

红队 APT 钓鱼邮件内容分析

个人邮箱洽谈人发送的内容分析

==========

邮件原文源码：

1、看指纹信息（什么发送工具平台）

2、看发送 IP 地址（服务器 IP 或攻击 IP）

3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)

4、可能存在个人的 ID 昵称用户名（利用社工的技术手段进行画像）

钓鱼邮件:

日志自动提取分析项目

自动提取

七牛 Logkit&观星应急工具
- 1、七牛 Logkit：(Windows&Linux&Mac 等) --简单直观, 社区版,专业版,功能更多
- https://github.com/qiniu/logkit/
- 2、观星应急工具：（Windows 系统日志）
- SglabIr_Collector 是 qax 旗下的一款应急响应日志收集工具，能够快速收集服务器
- 日志,并自动打包，将收集的文件上传观心平台即可自动分析。

自动分析

操作系统-Gscan&LogonTracer
- 1、Linux系统-GScan
- https://github.com/grayddq/GScan
- 2、Windows系统-LogonTracer ---搭建配置要高,
- https://github.com/ffffffff0x/f8x（自动搭建项目)
Web-360 星图&Goaccess&ALB&Anolog
- 1、Web-360星图 (IIS/Apache/Nginx) --good网站日志,能判断漏洞库--安全
- 2、Web-GoAccess （任何自定义日志格式字符串）--针对cc,网站流量,异常 --更偏向于访问者,不会引入安全功能问题
- https://github.com/allinurl/goaccess
- 3、Web－自写脚本（任何自定义日志格式字符串） --关键词判断,没图形化(txt) --安全
- 参考：https://github.com/Lucifer1993/ALB
- 4、Web-机器语言（任何自定义日志格式字符串）
- https://github.com/Testzero-wz/analog
- https://analog.testzero-wz.com/

日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana

商业版
- #日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana
- #其他项目：
- 其他专业商业优秀日志分析工具：
- 1、SolarWindsLog&EventManager:Windows的日志分析工具，可提供集中的日志
- 监控体验和事件时间检测，拥有超强的响应能力，能够快速找出问题所在。检测到问题之后，自动响应阻止IP，关闭应用，改变访问权限，禁用帐户，USB设备等，将风险降至最低。该工具适合需要高度合规性的大型企业，提供一个30天的免费试用。
- 2、PRTGNetworkMonitor：是一个网络监控平台，它提供的通知系统具有高度可定制性，这意味着几乎可以在任何设备上从PRTG接收网络性能更新。它的免费版本最多支持100个传感器，之后就必须使用付费版本，此外，它也提供30天的免费试用。
- 3、Papertrail：是Windows的日志分析器，可自动扫描日志数据，还可以选择希望扫描结
- 3、Papertrail：是Windows的日志分析器，可自动扫描日志数据，还可以选择希望扫描结果显示的信息，能够更快地找到安全事件的原因，可以按时间，来源或选择的自定义字段筛选日志事件，消除最重要的不相关数据。此外，它还可以通过另一种类似过滤选项允许你检测日志数据的趋势。可以按源，数据，严重性级别，工具或消息内容过滤事件。过滤后的搜索完成后，能够在屏幕底部查看结果图表。该工具是易于部署的日志分析器的理想选择。它提供免费的计划，允许每月监控多达100MB的数据。
- 4、Splunk：使用最广泛的日志管理平台之一，能够实时监控日志和数据。它的多功能性使其能够从网络中的几乎任何设备或应用中获取日志数据，轻松搜索栏查看实时和历史数据，更快找到所需信息。实时警报，能够让你不错过任何问题，有效缩短事件解决时间。SplunkFree是免费提供的，每位用户最多可以支持500MB的数据。
- 5、XpoLog：可以通过网络收集和分析来自设备的日志，通过实时监控日志，迅速发现问
- 5、XpoLog：可以通过网络收集和分析来自设备的日志，通过实时监控日志，迅速发现问题，发出警报。最突出的一个特点是它的A驱动的错误检测，及时把控安全风险，并区分表明性能不佳的日志模式。XpoLog的价格取决于你需要的用户数、保留数和数据量Basic版本是免费的，每天支持1GB，5天数据保留。
- 6、ManageEngineEventLogAnalyzer：提供简化的用户体验，能够从各种安全解决方案中收集日志。它的警报系统可以帮助你导航日志数据。该工具适用于32位和64位的Windows和Linux，可以下载两个版本：免费版和高级版。免费版最多支持五个日志源而高级版支持多达1000个日志源。
- 7、LOGalyze：是一款面向企业用户的开源日志分析器和网络监控工具，支持具有实时事件检测功能的设备、Windows主机和Linux/Unix服务器。可以使用搜索功能查找所需的日击数屏用户可自定必护关鼓城创建故障记灵问题这种工具是一种低成木替代
- 日志数据，用户可以自定义相关警报，创建故障，记录问题。这种工具是一种低成本替代方案，特别适合寻求经济实惠的日志管理解决方案的小型企业。
- 8、Datadog：可以记录和搜索来自各种设备和应用程序的日志数据，以图形的形式显示日志数据，随时看到网络性能的变化情况，并通过过滤器来确定列出的信息。“集中存储”的方法可以更好地防止日志泄露。Datadog提供14天免费试用版
- 9、EventTracker:可以收集和分析Windows事件、Sylog和W3C/lIS日志文件中的日志数据，实时检测安全事件，提供数百种不同的警报外的开箱与EventTracker。
- 10、LogDNA：可以实时监控日志数据，在云的基础上，可以在不到两分钟的时间内配置为从AWS，Heroku，Elastic，Docker和其他供应商收集日志，并立即使用带宽聚合来自网络中应用程序和服务器的日志，以处理每秒一百万个日志事件。该工具适用于需要基于云的可扩展日志管理解决方案的企，免费版支持单个用户。

ELK 日志分析系统

Elasticsearch:用于存储收集到的日志信息；
Logstash:用于收集日志转发给 Elasticsearch；
Kibana:通过 Web 端的可视化界面来查看日志。
快速搭建：
5分钟快速安装ELK（一）
三种模式：上传文件，特定分析，代理加入。
1、导入 Web 日志
2、导入系统日志
3、自动监控日志

Yara 规则

识别攻击
可已知，可自定义
平台分析，
yara怎么分析呢？？？
把exe复制到规则里面 --yar就是规则
1、利用已知规则库分析-挖矿样本&后门木马&勒索病毒
yara64.exe malware_index.yar -r C:\Users\Administrator\Desktop\1
--》文件指向
检测范围：
1、样本文件 2、内存数据 3、网络流量
特征提取：
1、多个样本同时对比筛选通用的数据
2、要根据样本的应用(分类,走的协议,文件头固定等)

溯源反制

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/运维做开发/article/detail/822788

应急响应--小结

应急响应

内容点

1、抗拒绝服务攻击防范应对指南

2、勒索软件防范应对指南

3、钓鱼邮件攻击防范应对指南

4、网页篡改与后门攻击防范应对指南

5、网络安全漏洞防范应对指南

6、大规模数据泄露防范应对指南

7、僵尸网络感染防范应对指南

8、APT 攻击入侵防范应对指南

9、各种辅助类分析工具项目使用

朔源反制：

网站入侵篡改指南

IIS&.NET-注入-基于时间配合日志分析

Apache&PHP-漏洞-基于漏洞配合日志分析

Tomcat&JSP-弱口令-基于后门配合日志分析 (推荐)

Webshell 查杀-常规后门&内存马-各脚本&各工具

后门攻击检测指南

Win d o w s - 后 门 - 常 规 & 权 限 维 持 & 内 存 马

### Lin u x - 后 门 - 常 规 & 权 限 维 持 & R o o t kit & 内 存 马