【安全服务】应急响应1:流程、排查与分析

已于 2024-03-22 16:54:19 修改
阅读量1.9w 收藏 126
点赞数 23
分类专栏: 安全服务 应急响应 文章标签: 应急响应 安全服务 安全事件
于 2021-09-08 17:27:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kongzhian/article/details/120141747
版权
本文详细介绍了网络安全应急响应的流程,包括准备、检测、抑制、根除、恢复和总结六个阶段,以及现场处置流程。系统排查方面,涵盖了系统信息、用户信息、启动项、任务计划和防火墙规则。在进程、服务和文件痕迹排查中,提供了Windows和Linux的具体检查方法。日志分析、内存分析和流量分析提供了深入的排查策略。同时,文章还强调了威胁情报在应急响应中的重要性,列举了一些常用的威胁情报库和社区。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、应急响应流程

1 准备阶段

2 检测阶段

3 抑制阶段

4 根除阶段

5 恢复阶段

6 总结阶段

现场处置流程

二、系统排查

1、系统信息

2、用户信息

3 启动项

4 任务计划

5 其他Windows防火墙规则

 三、进程排查

1 windows

1.1 任务管理器

1.2 cmd > tasklist

1.3 查看正在进行网络连接的进程cmd > netstat -ano | findstr 'ESTABLISHED'

2 Linux

2.1 netstat -ap 

2.2 特定pid对应的执行程序:ls -alt /proc/PID

2.3查看进程打开的文件 lsof -p PID

2.4 kill -9 PID 杀死进程

2.5 查看隐藏进程

2.6 查看占用资源较多的进程top

四、服务排查

1 windows服务

2 Linux 服务

五、文件痕迹排查

1 windows

1.1敏感目录

1.2时间点查找

1.3 webshell文件

2 linux

2.1敏感目录

2.2时间点查找

六、日志分析

1 windows日志

 1.1 系统日志

 1.2安全性日志

 1.3应用程序日志

 1.4 应急响应中常见的事件id

 1.5日志分析

 2 Linux日志

1 查看日志

2 日志分析

3 其他日志

七、内存分析

1 内存的获取

1.1 基于内核模式程序的内存获取

1.2 基于系统崩溃转储的内存获取

1.3 基于虚拟机快照

2 内存的分析

2.1 Redline

2.2 Volatility

八、流量分析

筛选器

1 特定目的地址:ip.addr==ip

2特定源地址:ip.src==ip

3特定协议:直接输入http、http2、arp(小写)等

4特定端口:tcp.port==port / udp.port==port

5关键字:tcp contains 关键字

九、威胁情报

威胁情报金字塔

常用的威胁情报库/社区

一、应急响应流程

应急响应分为六个阶段,分别是

准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结

这种划分方法也称PDCERF方法

实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析

1 准备阶段

以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。

2 检测阶段

这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。

常见的安全事件有:

  • 中病毒(勒索、挖矿等)
  • 信息泄露(账号信息、敏感资料)
  • 业务服务被破坏(网页篡改、破坏,数据被删等)
  • 系统崩溃、网络瘫痪(ddos、批量请求)

 3 抑制阶段

抑制阶段主要是尽可能降低安全事件带来的损失,限制安全事件发生的范围和时长

一些抑制手段有:

  • 断开网络
  • 关闭受影响的系统
  • 暂停受影响账号的使用
  • 修改ACL
  • 关闭未受到影响的其他业务
  • 蜜罐

4 根除阶段

这个阶段是找出安全事件的根源,并完成清除掉隐患,避免安全事件二次发生,

5 恢复阶段

这个阶段是系统恢复到安全事件发生前的正常运行状态,并把备份数据恢复过来

6 总结阶段

这个阶段是总结这个安全事件的发生过程,并以此对涉事单位的安全技术配置、安全管理制度等进行分析评审,并以此为基础确定是否还会有新的风险,最后输出整改建议,包括安全设备采购、安全管理制度修订等

这个阶段可以输出

  • 应急响应报告,包括安全事件发生流程、造成的危害、处置的方法
  • 企业问题清单

现场处置流程

在现场中,首先通过访谈和现场确认,大概确认事件类型,再以此作针对性访谈和检查,然后制定应急方案,再逐步排查系统、进程、服务、文件痕迹、日志等

二、系统排查

1、系统信息

1.1 windows

系统信息工具:msinfo32.exe

命令行msinfo即可打开

 展开软件环境:

 此工具可进行以下信息的排查

  • 系统驱动(描述、文件、开启状态等)
  • 正在运行的任务(名称、路径、进程ID)
  • 加载的模块
  • 服务(名称、路径、状态等)
  • 启动程序(命令、用户名、位置等)

 查看系统信息

cmd > systeminfo

1.2 linux

OS信息 uname -a

OS版本信息 :cat proc/version

 已载入模块信息:lsmod

 

 CPU信息:lscpu

2、用户信息

2.1 windows用户信息

cmd > net user

cmd > net user username

 上面的方法查看不了隐藏账户,解决:计算机管理—本地用户和组

 注册表-HKEY_LOCAL_MACHINE-SAM-SAM-Domains-Account-Users-Names

 这种方法可排查windows是否利用隐藏账户进行提取(导出F值查看是否有一样的)

2.2 linux

查看所有用户信息:cat etc/passwd

 用户名:x(代表密码加密):用户ID:用户组:注释:用户主目录:默认登录shell

bin/bash 可登录    sbin/nologin 不可登录

查看超级权限账户:awk-F: '{if($3==0)print $1}'/etc/passwd

-F fs 指定描绘一行中数据字段的文件分隔符 默认为空格,这里为:

以:分隔字符,分割所有行,形成二维的字符矩阵,如果矩阵中第三列的值为0(即超级权限账户),打印出第一列字符(即账户名)

查看可登录账户:cat etc/passwd | grep 'bin/bash'

查看错误的用户登录信息:lastb

查看所有用户最后一次登录信息:lastlog

 查看用户最近登录信息:/$  last

 数据源:

  • /var/log/wtmp   wtmp存储登录成功的信息
  • /var/log/btmp    btmp存储登录失败的信息
  • /var/log/utmp)utmp存储当前正在登录的信息

3 启动项

3.1 windows系统

任务管理器 - 启动项

 注册表

  • HKEY_CLASSES_ROOT  确保在Windows资源管理器中执行时打开正确的程序
  • HKEY_CURRENT_USER 登录用户的配置、有用户的文件夹、屏幕颜色、控制面板设置
  • HKEY_LOCAL_MACHINE 计算机硬件信息、驱动
  • HKEY_USERS 所有用户配置文件的配置信息
  • HKEY_CURRENT_CONFIG 系统当前配置

3.2 Linux

rc.local 启动加载文件

Linux中有两个,分别在etc/re.local和etc/init.d/rc.local,修改这两个文件可修改启动项

查看init.d下的文件

 

 4 任务计划

攻击者可利用任务计划实现病毒的长期驻留

 4.1 windows

计算机管理 — 任务计划程序 — 任务计划程序库 — 

powershell > Get-ScheduledTask 

 cmd > schtasks

 4.2 Linux

terminal /$ crontab -l 

term

最低0.47元/天 解锁文章
服务安全应急响应流程
weixin_30632089的博客
10-12 961
参考:https://mp.weixin.qq.com/s?__biz=MzI4NTA1MDEwNg==&mid=2650759483&idx=1&sn=c98277d4f9eb252409a177756b222b8a&chksm=f3f9d4aec48e5db85e07e998cc7052eeac3165f549e4f43dc0fa0789c3d3da00...
网络安全——应急响应之Windows入侵排查
CoffeMilk的博客
11-08 971
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)
安全应急响应流程
安全之乐
04-18 2839
        根据业界的经验,可以通过分阶段的方式来更清晰地看待整个安全应急响应过程。任何一个具体的安全应急响应过程都多多少少地涉及到六个阶段,即准备、检测、抑制、根除、恢复和跟踪阶段。  ◆ 准备阶段——实现其他安全环节的互动  ◆ 检测阶段——初步事件分析、把事件分析业务恢复进程分离  ◆ 抑制阶段——抑制事件对业务影响  ◆ 根除阶段——事件分析  ◆ 恢复阶段——恢复受害系统
应急响应--流量分析
最新发布
leaf_lucky的博客
03-10 1051
固定的user-agent头:老版本的cobalt strike中user-agent头是固定不变的,可以作为一个特征,新版本的cobalt strike中的user-agent头是会每次都变化的。在流量中,通过http协议的url路径,在checksum8解密算法计算后,32位的后门得到的结果是92,64位的后门得到的结果是93,该特征符合未魔改Cobalt Strike的流量特征。例如,在cobalt strike4.8中两个不同的cobalt strike数据包的user-agent头是不同的。
windows 应急流程及实战演练
3569
10-11 1546
对于windows方面的,目前我涉及的比较少,近期打算主攻代码审计吧。 php、java的框架各种的提上日程,感觉初步可以了之后再转 windows 注册表 日志 ps 等 逐步了解 域渗透。 微信 竟然不允许 图片引用,原链接在此,方便日后查看 ~   原 URL https://mp.weixin.qq.com/s/odo2Fjtklj-ibStAsyUjHw 当企业发生黑客入侵、系...
应急响应排查思路
xbn1873942785的博客
01-18 6237
1.应急响应概念: 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 应急响应基本流程: 总体来说: 表现—>收集—>攻击—>追查—>修复: 表现:(发现异常) 1. 网站部分:篡改、丢失乱码 2. 文件部分:丢失、篡改、泄露 3. 系统部分:系统卡顿、CPU爆满、服务宕机 4. 流量部分:大量数据包、陌生外部连接、网速网络卡顿 5. 第三方服务部分:服务异常、运行异常 收集:(收集信息) 1. 操作系统:linux、windows、mac 2.
应急响应-分析(windows)
tlucky的博客
07-20 889
恶意代码在windows系统中运行过程中,将以进程的方式进行展示,其中恶意进程进行着各种恶意行为,对于可执行程序,可以直接使用杀毒软件进行查杀,但是并非所有的恶意进程都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析,对恶意相关的服务进行关闭。如果修改时间要早于创建时间那么这个文件存在很大可疑,使用中国菜刀等工具修改的,修改时间通过文件属性可以查到创建时间,修改时间,访问时间。右击文件,属性,查看文件创建时间、修改时间、访问时间。......
应急响应流程
热门推荐
Chur的博客
08-16 1万+
初步了解应急响应流程以及基础方法
Linux服务应急响应:入侵排查安全策略
- 定期进行安全演练可以帮助团队熟悉应急响应流程,提高响应速度和效率。 - 演练应模拟真实场景,包括识别异常、定位问题、恢复服务和修复漏洞。 通过以上措施,企业能够提高其Linux环境的安全性,及时应对和处理...
Linux系统安全应急响应:账号日志检查及异常进程端口排查技术
02-20
内容概要:本文档详细讲解了Linux环境下应对安全事件时进行系统安全应急响应的方法和技术。涵盖查询限制账户权限(特别是超级用户),检查异常的系统组件,例如端口和服务,并提供了一系列具体的命令实例以及排查...
网络安全——应急响应之Linux入侵排查
CoffeMilk的博客
11-13 1099
本文主要介绍关于Linux系统被入侵后的应急响应工作流程排查内容
Windows应急响应流程思路
mashiro_hibiki的博客
04-25 3431
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
应急响应场景及排查思路
aihua002的博客
06-19 779
正向连接即为本地监听端口,这种情况下多数为 4 位数或以下的端口号,且因为监听端口号是人为设定所以端口号有序,例如 1234、 5555、888、666、6666、7788、99、123 等。通常来讲,反弹 shell 的链接是长时间的连接,可以每间隔 60 秒查看一次,如果连续 2-3 次查看后依旧保持连接状态,则可判定为长期连接,需要重点关注。通过端口排查我们所发现的异常端口,可以通过排查进程进行详细确认,排查进程应养成习惯,无论是否找到异常端口对应的进程,都应该对所有的进程进行查看。
Linux应急响应之进程排查
qq_42671480的博客
05-20 905
Linux应急响应之进程排查篇 木马执行后,必然出现一个恶意进程。那么,该如何寻找这个进程呢? 我是通过这四个特征判断 (1)进程占用cpu,内存耗能高。 (2)进程运行时间,开始时间,差异化明显 (3)进程路径,使用命令参数异常 (4)多数病毒会替换系统命令 1.ps -aux USER 哪个用户启动了这个命令 PID 进程ID CPU CPU占用率 MEM 内存使用量 VSZ 如果一个程序完...
应急响应排查
S_cx666的博客
02-08 650
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 **信息内容安全事件** 违反宪法和
windows 查看进程_应急响应手册Windows排查流程
weixin_39883906的博客
11-25 594
溯源系列文章已经写完,其他姿势可以私下交流。今天接之前目录内容继续。应急响应手册-溯源篇(一)应急响应手册-溯源篇(二)应急响应手册-溯源篇(三)应急响应手册-溯源篇(四)01—系统用户排查点:(1)当前登录账号的登录时间(2)克隆账号、隐藏账号(3)Guest账号查看当前已登录账户 query user如果该台主机被远程登录,执行query user可以看到会话名字段包含rdp字符 ...
应急响应-windows-系统排查
qq_50765147的博客
01-21 1440
系统排查 在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。 系统基本信息 Windows系统 在基础排查时,可以使用Microsoft系统信息工具(Msinfo32.exe),他是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。 系统信息工具 在命令行中输入【msinfo32】命令,打开【系统信息】窗口,如图所示,可以显示本地计算机的硬件资源、组件和软件环境的信息。除了各方面的概述信息,还可以对
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 2036
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
安全应急响应
m0_57379855的博客
03-04 1068
安全应急响应企业安全应急响应流程分析方向日志分析进程分析身份信息分析网络分析 企业安全应急响应流程 1.事件发生 2.收集时间信息,分析是否为安全事件 3.是否上报法务部、各部门 4.对于安全员来说需要处理事件,修补漏洞,清除后门 5.处理事件后,关闭事件,并编写应急响应报告 分析方向 find 文件日期 文件增改 最近使用文件 find / -mmin -2 从根目录开始查找,并且指定事件为两分钟 useradd test1 假设先创建一个用户 find / -mmin -2 | grep etc
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值