蓝队面试知识点整理

蓝队面试知识点整理

整理自网络

1.应急响应基本思路流程

1. 收集信息：收集客户信息和中毒主机信息，包括样本
2. 判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
3. 抑制范围：隔离使受害⾯不继续扩⼤
4. 深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
5. 清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
6. 产出报告：整理并输出完整的安全事件报告

2.Windows入侵排查思路

1. 检查系统账号安全

   1.1 查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano 命令、或者问服务器管理员）

   1.2 lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的（Administrators）里的新增账户，如有，立即禁用或删除掉

   1.3 用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号
   　　
   在cmd中输入：net user 看看有没有陌生用户
   在cmd中输入：regedit 找到注册表分支 “HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”看看有没有克隆用户
   　　
   1.4 结合日志，查看管理员登录时间、用户名是否存在异常

   检查方法：Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”，导出 Windows 日志–安全，利用 Log Parser 进行分析
   系统日志包含Windows系统组件记录的事件。应用程序日志包含由应用程序或程序记录的事件。安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。

2. 检查异常端口、进程

   netstat -ano检查端口连接情况，是否有远程连接、可疑连接
   在cmd命令行中输入 netstat -ano 查看目前的网络连接，定位可疑的pid。
   根据定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”
   发现的感觉异常的 IP 地址可以在威胁情报平台上查询，如果是已知的恶意 IP，可以比较快速的确认攻击方式。

   任务管理器-进程
   进程查看工具：procexp.exe

3. 检查启动项、计划任务、服务

   启动项查看工具：autoruns.exe
   计划任务查看：按下win+r键打开运行，输入taskschd.msc 打开任务计划，查看有没有可疑的计划任务。

4. 检查系统相关信息

   查看系统版本以及补丁信息
   查找可疑目录及文件

5. 日志分析
   如果数据库被入侵，查看数据库登录日志等，如Sqlserver数据库支持设置记录用户登录成功 和失败的日志信息。

3.Linux入侵排查思路

• 1 账号安全

  who		查看当前登录用户（tty本地登陆 pts远程登录）
  w 		查看系统信息，想知道某一时刻用户的行为
  uptime	查看登陆多久、多少用户，负载
  

  a) 用户信息文件/etc/passwd
  
  root:x:0:0:root:/root:/bin/bash
  account:password:UID:GID:GECOS:directory:shell
  用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell
  注意：无密码只允许本机登陆，远程不允许登陆
  
  b) 影子文件/etc/shadow
  
  root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
  用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留
  

  /etc/passwd 存储一般的用户信息，任何人都可以访问；/etc/shadow 存储用户的密码信息，只有 root 用户可以访问

• 2 历史命令

  1、root的历史命令 histroy
  2、打开 /home 各帐号目录下的 .bash_history，查看普通帐号的历史命令
  
  历史操作命令的清除