应急响应
宏观题
基本思路流程
- 收集信息:收集客户信息和中毒主机信息,包括样本
- 判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
- 抑制范围:隔离使受害⾯不继续扩⼤
- 深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源
- 清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产
- 产出报告:整理并输出完整的安全事件报告
Windows入侵排查思路
- 检查系统账号安全
- 查看服务器是否有弱口令,远程管理端口是否对公网开放(使用netstat -ano命令、或者问服务器管理员)
- lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉
- 用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号
- 结合日志,查看管理员登录时间、用户名是否存在异常
- 检查方法:Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”,导出 Windows 日志--安全,利用 Log Parser 进行分析
- 检查异常端口、进程
- netstat -ano检查端口连接情况,是否有远程连接、可疑连接
- 任务管理器-进程
- 检查启动项、计划任务、服务
- 检查系统相关信息