基于NOP Team团队发布的《Windows应急响应手册》学习笔记
-------------------------------------------------------排查思路--------------------------------------------------------------
一、确定ioc信息
IOC 主要以域名、IP地址、文件md5 为主,通过内网dns服务器、dns防火墙、流量审计设备、主机安全等设备获取。
IOC信息表(微步在线)
根据 IOC 信息确定挖矿程序具体家族类型。
二、获取异常进程的PID
2.1 检查CPU占用情况
2.2 检查内存使用情况
2.3 检查网络占用情况
恶意软件或病毒可能会导致 CPU、内存、网络占用率异常高。通过检査占用情况,可以发现是否有可疑进程或程序在后台运行。
2.4 内存中搜索关键词
将已获取的域名、IP等信息作为关键词,使用僵尸网络查杀工具在内存中进行搜索。
三、寻找恶意样本
确定恶意进程的PID后,通过PID找到恶意文件位置以及恶意文件启动时的参数。
【描述】 -> 【选择列】可以调整显示的信息。
四、确定进程启动时间
对比进程启动时间与恶意文件的相关时间,确定在进程启动后,该文件是否修改过。
根据上述信息简单判断一下启动该异常进程的文件是否为我们找到的文件。
五、处理异常进程
5.1 恶意文件样本取样
通过网络或者u盘保留恶意文件样本。
5.2 威胁分析
通过人工或在线平台进行分析。
https://s.threatbook.com/ 微步云沙箱
奇安信情报沙箱 奇安信情报沙箱
360沙箱云 360沙箱云
5.3 寻找病毒分析报告
微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 微步在线X情报社区
FreeBuf网络安全行业门户 Freebuf
最新资讯 火绒安全
5.4 进程查杀
进程查杀是一个危险操作,可以考虑先暂停,再决定是否杀死进程,暂停后网络可能仍然连通,但一般无法发送/接收数据。
pssuspend.exe (暂停进程)
pssuspend.exe -r (恢复进程)
taskkill /F /PID (杀死进程)
Stop-Process -Id -Force (杀死进程)
pskill64.exe (杀死进程)
或者图形化工具【结束进程】即可。
六、删除恶意文件
6.1 确定文件占用情况
通过搜索文件句柄检查。
6.2 查询注册表
Win + r 输入regedit打开注册表
恶意程序可能对注册表进行修改,内容包含恶意软件的名字,进行全局搜索。
6.3 删除恶意文件
不要着急删除或修改,与各方人员确认沟通好,再处理。
七、排查处理
检查是否存在潜在的受害服务器。
八、常规安全检查阶段
找出当前系统中存在的隐藏后门。