Windows应急响应简述

最新推荐文章于 2024-05-11 21:12:44 发布
最新推荐文章于 2024-05-11 21:12:44 发布
阅读量3.6k 收藏 9
点赞数 1
分类专栏: 渗透测试 服务器 网络安全 文章标签: 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/124245197
版权
渗透测试 同时被 3 个专栏收录
55 篇文章 11 订阅
订阅专栏
网络安全
46 篇文章 24 订阅
订阅专栏
服务器
10 篇文章 1 订阅
订阅专栏

Windows应急响应

0x01、什么是应急响应

应急响应概述

首先我们来了解一下两个概念:应急响应和安全建设,这两者的区别就是应急响应是被动响应、安全建设是主动防御。

常见的有:
安全设备告警、数据被勒索加密、数据泄露在网上贩卖、网页被篡改、服务器CPU爆满卡死等。

在应急响应的时候,你会发现一个非常有用的经验技巧,就是:一旦你能够确定本次安全事件的类型,猜测出攻击者或者恶意代码的攻击思路,然后去验证排查这些猜想,就会加速你的分析过程,而这些从事件起因中就能够获取到一些信息。

应急响应目的

  • 遏制事件发酵
  • 找到恶意代码
  • 分析入侵路径
  • 整理入侵时间线
  • 分析恶意代码行为
  • 追踪溯源

应急响应人员工作

  • 找到恶意代码:通过各种动静态分析找到恶意代码、感染文件,进行取样然后清除。
  • 分析入侵路径、入侵时间线:结合各类日志以及恶意代码本身,将有关证据进行关联分析,构造证据链,重现攻击过程。
  • 分析恶意代码:找到恶意程序的特征,包括行为、释放的文件、网络通信等,从而得到识别、防御和删除该病毒的方法,使得我们的其他机器能够防得住该恶意程序的攻击。
  • 解决问题,根除隐患,分析导致事故发生的系统脆弱点,并采取补救措施,恢复系统,使系统正常运行

应急响应流程

  • 安全事件报警
  • 安全事件确认
  • 启动应急预案
  • 安全事件处理
  • 撰写安全事件报告
  • 应急工作总结

遏制影响

  • 网站下线(篡改、挂反标)
  • 断网隔离(远控后门、APT)
  • 流量清洗(DOS的进行)
  • 联系运营商(劫持类) /一般不关我们事**/

0x02、应急响应的思路

整个应急响应都是建立在恶意代码的基础上的,那么我们第一步就是找到恶意代码
恶意程序需要进行网络通讯,内存中必然有其二进制代码,它要么是进程的DLL/so模块,通常为了保活,它极可能还有自己的启动项,网络心跳包。总结下来可以分为四大要素

  • 网络连接
  • 进程
  • 启动项
  • 内存

找到各种可疑的IP、进程、域名、URL,搜索相关的IOC,然后排查相关特征

  • 网络连接
  • 进程信息
  • 系统启动项
  • 账号情况
  • 日志信息
  • 其他

现场分析

当发生安全事件时,我们去到现场首先需要先了解一些外部信息:

  • 问题主机/服务器使用人员有谁?
  • 一般使用时间段是什么时候?
  • 是否重启过
  • 查看杀毒软件、防护软件的查杀、隔离、告警日志。(如果有)
  • 各种服务应用如:FTP、SSH、数据库、RDP,是否攻击者开启及是否存在弱口令。
  • 网络中是否有防火墙、行为管理器等防御设备,查看相应告警。

0x03、取证

前面分析完思路以及记录需要了解到的一些外部信息,都是为了我们的关键环节取证溯源做准备。当然思路归思路,由于安全漏洞不是存在于特定的场景或应用,Web应用可能存在漏洞、软件程序可能存在漏洞、我们使用的操作系统也可能存在漏洞,因此实际的安全事件,我们需要尽可能的检查到每一个薄弱点。而不是网页篡改就只检查web应用、挖矿木马就只排查恶意程序。
检查得越多(做好记录),后面整理报告的时候越有用,经常遇到的是应急只有几个小时的,然后没有做好记录回去无法写报告,只能再找客户联系。

进程检查

重点检查没有厂商名字、没有签名验证信息、没有描述信息、CPU或内存资源占用长时间过高的进程。检查可疑进程的属主、路径、参数是否合法。
工具:Process Explorer、火绒剑、PChunter

image-20220417200617469

常见的dll文件都是在C:\Windows\System32目录下,当然还有其他几个系统目录,我们要找的就是路径不对,名称可疑的。路径不对可以很直观的看出来,但是有时候路径没错,然后名称是不对的,比如正常的是Kernel32.dll。然后恶意程序把自己的dll文件命名为Kerne132.dll。

image-20220417200747643

利用火绒剑查看到两个异常的dll文件,虽然有公司名和描述,但是这个描述有点随意,而且查这两个dll文件的路径,在Windows的tmep文件夹下,那么我们也可以猜测这两个dll文件是恶意的dl文件。

启动项检查

检查启动项、计划任务、服务
这个一般就检查三个地方:
【开始】>【所有程序】>【启动】
计算机管理
gpedit.msc

image-20220417201106185

取证点

系统日志、网站访问日志(搜索l0g文件)、本地用户情况(是否有隐藏、克隆用户)。

保存系统当前信息:

systeminfo > c:\Temp\sysinfo.txt
netstat -ano > c:\Temp\net.txt
tasklist > c:\Temp\task.txt
net user > c:\Temp\user.txt
xcopy %systemroot%\system32\winevt\logs\* C:\Temp\eventlog

0x04、安全报告

  • 安全事件发生的日期时间
  • 参加人员
  • 事件发现的途径
  • 事件类型
  • 事件涉及的范围
  • 现场记录
  • 事件导致的损失和影响
  • 事件处理的过程
  • 从本次事故中应该吸取的经验和教训
Shadow丶S
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows应急响应
m0_67401055的博客
05-15 2993
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、准备工作 在
ASP.Net 请求响应流程简述
10-28
ASP.Net 请求响应流程简述,需要的朋友可以参考下。
Windows应急响应
weixin_44727454的博客
07-04 1834
Windows应急响应、入侵排查
2024年网络安全最全windows应急响应基础(基础和常用命令)_win7 紧急命令,腾讯T2手把手教你
最新发布
2401_84300239的博客
05-11 484
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
windows应急响应
h1825819493的博客
04-16 421
当企业发生黑客入侵、系统崩溃或其他影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。应急响应:应急排查、加固、溯源、审计、加固安全事件识别。
Windows应急响应流程与思路
mashiro_hibiki的博客
04-25 1182
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
windows应急响应基础命令
siu~
04-16 482
windows应急响应基础知识
windowsce操作系统简述.pdf
06-27
windowsce操作系统简述.pdfwindowsce操作系统简述.pdfwindowsce操作系统简述.pdfwindowsce操作系统简述.pdfwindowsce操作系统简述.pdfwindowsce操作系统简述.pdf
应急响应实例分享1
08-04
应急响应实例分享1 本文旨在分享一份应急响应实例,旨在帮助读者了解如何应对网站篡改事件。该实例中,网站首页被发现篡改,插入了恶意内容。本文将详细描述事件的排查过程和解决方法。 一、事件简述 在某天,...
简述频率响应的一般概念
08-20
本文主要简单介绍了频率响应的一般概念
应急响应流程及windows/linux用到的命令
人若无名,便可专心练剑
03-09 350
护网面试
C 怎么处理windows路径_应急响应手册Windows系统进程介绍
weixin_39947501的博客
11-21 310
“本篇介绍Windows系统上常见进程”应急响应手册-概念介绍(一)应急响应手册-概念介绍(二)应急响应手册-概念介绍(三)01—smss.exesmss.exe(会话管理器)是Windows系统中第一个创建的用户模式进程,随着系统一起启动。位于C:\Windows\System32\smss.exe。在Windows启动的过程中,smss.exe作用过程分为7个步骤:(1)创建LPC...
Windows下的应急响应思路及其基本命令
apple_52661176的博客
12-11 738
注意看,这个男人叫小帅。他在一个寂静的夜晚,月光洒在寂静的办公室里敲代码。突然,一连串神秘的电脑故障突然间打破了这里的宁静。电脑屏幕上出现了奇怪的代码,文件开始消失,网络连接也时断时续。在这个紧急关头,他将如何处理!!!
应急响应篇:windows入侵排查
A_991128a的博客
02-22 687
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。windows入侵排查利器:火绒剑。
Windows系统应急响应
谢公子的博客
10-02 1293
Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒、木马、蠕虫事件 Web 服务器入侵事件 或安装的第三方服务入侵事件。 系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用RDP服务弱口令入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows 的事件日志。 网络攻击事件(DDoS、ARP、DNS 劫持...
Windows安全应急响应
weixin_39789796的博客
05-14 2093
一、Windows安全应急处置 1、从以下几个方面进行排查windows主机 (1) 是否有异常进程、用户 (2) 敏感端口开放情况 (3) 密码强度 (4) 日志分析 (5)异常启动项、服务、计划任务 (6) 注册表信息 (7) 其它 2、进程信息 使用tasklis或者打开任务管理器查看进程信息,我们可以根据CPU占用率、内存占用率、启动的事件来初步判断一下异常信息,根据PID找到异常进程。执行此命令查看进程名,路径,pid 再配合使用find或findstr就可以查到pid对应的路径了w
简述windows应急响应
04-01
Windows应急响应是指在Windows系统遭受攻击或遭受其他安全事件时,采取的一系列紧急响应措施。其目的是尽快发现安全事件,限制其造成的损害,并采取相应措施进行排查和修复。 Windows应急响应的具体步骤包括以下几个方面: 1. 确认安全事件的类型和范围,包括恶意软件感染、黑客攻击、数据泄露等。 2. 隔离受感染的计算机,防止安全事件的扩散。 3. 收集和分析安全事件的相关信息,包括日志、网络流量等,以便于进行后续的排查和分析。 4. 对受感染的计算机进行深度扫描和清除,同时修复系统漏洞和弱点,以防止类似事件再次发生。 5. 对相关人员进行安全培训和意识提高,以加强其安全意识和防范能力。 总之,Windows应急响应是一个紧急的、复杂的过程,需要专业的技术人员进行全面的规划和实施,以确保系统的安全和稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值