应急响应/入侵排查
HVV笔记——应急响应/入侵排查
- 1 应急响应概述
- 1.1 安全事件分类
- 1.1.1 恶意程序
- 1.1.2 网络攻击
- 1.1.3 信息破坏
- 1.1.4 设备设施故障和灾害
- 1.2 hacker攻击的目的
- 1.3 应急响应的定义
- 1.3.1 事前准备
- 1.3.2 事后处理
- 1.4 应急响应流程
- 1.4.1 信息收集
- 1.4.2 类型判断
- 1.4.3 原因分析
- 1.4.4 事件处置
- 1.4.5 编写报告
- 2 Linux入侵排查
- 2.1 Linux被入侵症状
- 2.1.1 系统资源
- 2.1.2 用户和日志
- 2.1.3 文件和命令篡改
- 2.1.4 启动项和定时任务
- 2.2 Linux应急措施
- 2.3 Linux应急checklist和自动化工具
- 3 Windows入侵排查
- 3.1 异常特征
- 3.2 系统账号安全
- 3.2.1 弱口令
- 3.2.2 可疑账号
- 3.2.3 隐藏账号
- 3.2.4 克隆账号
- 3.2.5 登录时间(日志)
- 3.3 端口和进程
- 3.3.1 端口
- 3.3.2 进程
- 3.4 启动项、计划任务
- 3.5 检查系统相关信息
1 应急响应概述
1.1 安全事件分类
1.1.1 恶意程序
病毒、蠕虫、木马、僵尸网络、网页嵌入恶意代码
1.1.2 网络攻击
DDos、后门、漏洞、扫描、窃听、钓鱼、干扰
1.1.3 信息破坏
信息篡改、信息假冒、信息泄露、信息窃取、信息丢失
1.1.4 设备设施故障和灾害
1.2 hacker攻击的目的
窃取数据、加密勒索、瘫痪服务、挖矿、跳板机
1.3 应急响应的定义
1.3.1 事前准备
数据备份、风险评估、安全巡检、应急演练、防范措施、安全培训
1.3.2 事后处理
切断网络→病毒检测→后门检测→清除病毒或后门隔离→系统恢复→修复漏洞→调查与追踪→入侵者取证
1.4 应急响应流程
1.4.1 信息收集
-
基础信息:运行的服务,开放的端口,启动项等
-
影响范围
1.4.2 类型判断
何种安全事件
威胁情报网站
| 平台 | 地址 |
|---|---|
| 360威胁平台 | https://ti.360.net/#/homepage |
| 绿盟威胁情报平台 | https://ti.nsfocus.com/ |
| venuseye威胁情报平台(启明星辰) | https://www.venuseye.com.cn/ |
| 安恒威胁情报平台 | https://ti.dbappsecurity.com.cn/ |
| 微步威胁情报平台 | https://x.threatbook.com/ |
| 天际友盟RedQueen安全智能服务平台 | https://redqueen.tj-un.com/ |
| 奇安信威胁情报中心 | https://ti.qianxin.com/ |
| 安天威胁情报中心 | https://www.antiycloud.com/ |
| 深信服安全中心 | https://wiki.sec.sangfor.com.cn/index/abroad |
| 永安在线 | https://www.yazx.com/ |
| 阿里云漏洞库 | https://avd.aliyun.com/ |
1.4.3 原因分析
判断漏洞所在,入侵思路
1.4.4 事件处置
进程、文件、网络、设备、补丁等
1.4.5 编写报告
2 Linux入侵排查
2.1 Linux被入侵症状
2.1.1 系统资源
-
CPU、内存、磁盘占用
top -c -o %CPU
top -c -o %MEM
ps -aux --sort=-pcpu|head -10
df -Th
-
系统进程
ps -ef ps -auxpstree
-
网络连接
#查看文件,通过网络的方式展示 lsof -i
#网络端口信息 netstat -antpl
#查看防火墙进出规则 iptables -L
2.1.2 用户和日志
-
系统用户
#查看超级用户(UID=0) awk -F: '$3==O{print $1}' /etc/passwd正常情况下只有一个root
#查看当前登录的用户及登录时间等信息 who #查看已登录的用户,及在执行的命令 w #查看登录成功的用户及登录地址和时间等信息 last #查看最近登录失败的信息 lastb #查看所有用户最近登录的时间 lastlog -
审计日志
#整体日志 /var/log/message #登录注销日志 last /var/log/wtmp #登录日志 lastlog /var/log/lastlog #登录失败日志 lastb /var/log/btmp #当前用户 w.whousers /var/log/utmp #定时任务日志 /var/log/cron #系统应用登录日志 /var/log/secure #软件安装日志 /var/log/yum.log#各种应用的日志 /va/log/vsftp.log /var/log/httpd/access.log /var/log/samba /var/log/nfs -
历史命令
#查看 history #清除 echo "" >~/.bash_history
2.1.3 文件和命令篡改
-
系统文件篡改
#指定目录7天内被修改的文件 find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -7 | xargs ls -alh -
系统命令篡改
top、ps被修改
alias别名被修改
vim ~/.bashrc source ~/.bashrc # 格式为 alias 自定义的命令=完整的命令 # 比如 alias www='cd /www' -
SSH key
cd /root/.ssh cat authorized_keys
2.1.4 启动项和定时任务
-
chkconfig
# 查看系统服务 systemctl list-unit-files|grep sshd # 开启telnet服务 chkconfig telnet on #关闭telnet服务 chkconfig telnet off -
systemctl
# 查看系统服务 systemctl list-unit-files --type=service | grep sshd # 开启mysql服务 systemctl enable mysqld.service # 关闭mysql服务 systemctl disable mysqld.service
-
文件
/etc/rc.d/rc /etc/rc /etc/rc.local /etc/rc.d/rc.local /etc/rc.d/rc /etc/init/*.conf /etc/rc$runlevel.d/ /etc/profile /etc/profile.d/ -
定时任务
crontab -l cat /etc/crontab ll /etc/cron.*
2.2 Linux应急措施
-
隔离主机
-
阻断通信
iptables -A INPUT -s 可疑地址 -j DROP iptables -A OUTPUT -d 可疑地址 -j DROP -
清除病毒
kill -9 [pid] kill -9 -[pid] #杀掉进程组 -
可疑用户
cat /etc/password userdel 可疑用户名 -
启动项和服务
chkconfig --del 可疑的服务名 systemctl disable 服务名 -
文件与后门
系统命令被篡改→拷贝其他系统的命令文件,运行busybox
定时任务→
crontab -lcat /etc/anacrontabSSH key→
cd /root/.sshSUDO→
sudo -lvisudoSUID→
find / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -40000 -print 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {} \; -
杀毒、重装系统、恢复数据
2.3 Linux应急checklist和自动化工具
自动化工具下载地址
3 Windows入侵排查
3.1 异常特征
-
操作异常
卡顿、报错、重启、蓝屏
-
资源异常
CPU、内存、网络
-
文件异常
恶意文件、加密文件
-
设备告警
防火墙、杀软、检测平台、态势感知平台
3.2 系统账号安全
3.2.1 弱口令
#远程桌面
netstat -an|findstr 3389
3.2.2 可疑账号
net user
net user 用户名
lusrmgr.msc
3.2.3 隐藏账号
#查看注册表
HKEY_LOCAL_MACHINE\SAM\SAM
#管理员打开cmd
net user 用户名$ /delete
打开注册表查看管理员对应键值,使用D盾_web查杀工具。
3.2.4 克隆账号
wmic useraccount get name
或者在注册表以下路径查看对比键值
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\
3.2.5 登录时间(日志)
-
事件查看器
eventvwr.msc -
Windows日志
# 应用程序日志 C:\Windows\System32\Winevt\Logs\Application.evtx # 系统日志 C:\Windows\System32\Winevt\Logs\System.evtx # 安全日志 C:\Windows\System32\Winevt\Logs\Security.evtx借记大佬的日志分析文章
3.3 端口和进程
3.3.1 端口
查看端口情况
netstat -ano
根据端口号查看进程情况
tasklist|findstr "端口号"
杀进程
taskkill /f /t/im 进程或程序名称
查看系统预定义的端口号
C:\Windows\System32\drivers\etc\services
3.3.2 进程
微软提供的高级任务管理器:Process Explorer v17.03
3.4 启动项、计划任务
msfconfig
注册表:HKEY_CURRENT_USER\Software\Microsoft\wiindows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
计划任务:
taskschd.msc
commgmt.msc
schtasks.exe
检查服务 services.msc
检查组策略
3.5 检查系统相关信息
查找可以目录及文件 C:\Users
最近打开的文件 %userprofile%\AppData\Roaming\Microsoft\Windows\Recent\
回收站、浏览器下载目录、浏览器历史记录
根据内容搜索恶意文件
findstr /m/i/s "eval" *.php
可以用everything搜索最近修改的文件
查看系统版本和补丁信息