应急响应

最新推荐文章于 2023-07-21 22:27:03 发布
最新推荐文章于 2023-07-21 22:27:03 发布
阅读量142 收藏
点赞数
文章标签: 操作系统 系统架构 运维
原文链接:http://www.cnblogs.com/ruowei/p/10852208.html
版权
一、应急响应基础
流程:事件状态判断-临时处置-信息收集分析-事件处置-事件防御
 
1、事件状态判断
  • 了解现状、发生时间、系统架构、确认感染主机
2、临时处置
  • 被感染主机:网络隔离、禁止使用U盘和移动硬盘
  • 未感染主机:ACL隔离、关闭SSH、RDP等协议、禁用U盘和移动硬盘
3、信息收集分析
  • windows系统:文件排查、进程排查、系统信息排查、日志排查
  • linux系统:文件排查、进程排查、日志排查
4、事件处置
  • 已感染主机:断网隔离、等待解密进展
  • 未感染主机
    • 补丁修复:在线补丁、离线补丁
    • 事件加固:安全软件防护、开启实时防护、及时更新病毒库和规则库
5、事件防御
  • 预防
    • 定期打补丁
    • 口令策略加固
  • 监控
    • 部署杀毒软件
    • 部署流量监测设备
 
二、应急技能基础
1、系统命令
  • net user:获取本机用户列表
  • net localgroup administrator:本机管理员
  • net session:查看当前会话
  • net start:查看当前运行的服务
2、创建windows隐藏用户
  • net user wilson$ 123456 /add
  • net localgroup administrators wilson$ /add
3、查看隐藏用户
  • net user wilson$
  • 注册表(SAM)
  • 组策略-用户管理
4、netstat
  • netstat -ano:查看开启了哪些端口
  • netstat -ano > netstat.txt:重定向到文件
  • tasklist:查看运行了哪些进程
  • tasklist > tasklist.txt :重定向到文件
  • tasklist | findstr PID:根据PID查找进程
  • netstat -an | findstr 3389 :查看3389端口
  • REG query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber   :查看远程登录的端口号
5、schtasks
  • schtasks /query /fo LIST /v :获取本机计划任务
  • schtasks /create /sc minute /mo 20 /tn "demo" /tr D:\a.vbs  :创建一个名为demo的计划任务
  • schtasks /delete /tn "demo" /f :删除名为demo的计划任务
6、find
  • find /c "ext" demo.txt  :在demo.txt文件中搜索exe字符串出现此熟
  • find /n /i "ext" demo.txt :在demo.txt文件中忽略大小写查找exe
7、findstr
  • findstr /s /i "Hello" *.*  :不区分大小写,搜索在当前目录和所有子目录中的含有”hello“的文件
8、wmic
  • wmic process:获取系统进程信息
9、attrib
  • attrib file :查看文件属性
10、系统日志收集工具
  • Sglab_ir
  • gather_log
11、敏感文件路径
  • %WINDIR%
  • %WINDIR%\system32\
  • %LOCALAPPDATA%
  • %TEMP%
12、日志
  • windoes系统日志:C:\Windows\System32\winevt\Logs
  • 着重查看安全日志和系统日志
  • 查看:eventvwr
  • 应用程序和服务日志-Microsoft-windows-ternimalservice-localSessionManager:查看登录session日志
13、登录类型
  • 10 - 远程交互:mstsc(远程桌面)
  • 3   - 网络
  • 2   - 本地
14、windows日志工具
  • Event log Explorer  :日志浏览工具
  • LogParser :日志分析工具
15、抓包工具
  • wireshark、
  • tcpdump
    • tcpdump host ip1 and ip2
    • tcpdump -i eth0
  • micrp network monitor
16、分析工具
  • PCHunter:※
  • autoruns:启动项
  • peocess explorer:进程管理
17、frdpb
  • 爆破工具
 
三、案例分析
  • lesuobingdu.360.cn:解密网站
  • everthing:查找所有文件
  • 情报分析平台:360威胁情报中心、微步、VT、IBM XFORCE
1、GlobelImposter
  • 传播方式:RDP弱口令爆破远程登录植入病毒
  • 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
  • 样本MD5计算
    • certutil -hashfile file md5
    • 上传md5到微步在线校验
2、GandCrab
  • 传播方式:RDP弱口令爆破远程登录植入病毒
  • 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
3、驱动人生
  • 处置方案:卸载或更新、
 

转载于:https://www.cnblogs.com/ruowei/p/10852208.html

weixin_30364147
关注
windows应急响应
02-24
windows应急响应
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
网络安全应急响应实践合集.zip
09-03
网络安全应急响应实践合集,共32份。 2019年全球互联网安全态势报告; 2020年网络安全应急响应分析报告; 安全服务与应急响应; 安全事件管理自动化之路; 从检测到响应-机器学习的应用演变; 从应急响应看医疗卫生...
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
网络安全应急响应 (2).pdf
06-26
网络安全应急响应是针对计算机网络系统中发生的各类安全事件所采取的预防和应对策略。这一领域主要关注信息的保密性、完整性和可用性,同时也涵盖了更广泛的威胁,如扫描、抵赖、垃圾邮件、非法内容传播以及欺诈行为...
Linux 应急响应手册v1.8 发行版.zip
最新发布
07-24
《Linux应急手册》是一本为Linux系统管理员和运维工程师量身打造的...本书内容涵盖了Linux系统安全、性能优化、故障排查等多个方面,通过丰富的实战案例和详细的操作步骤,帮助读者掌握Linux应急响应的核心技能和知识。
应急响应实战笔记.pdf
07-30
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息 系统在短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。该文章列举网络中一些常见的事实与应对方法。
企业安全应急响应与渗透反击
07-30
企业安全应急响应与渗透反击v0.04(程冲) 本资料共包含以下附件: 企业安全应急响应与渗透反击v0.04(程冲).pdf
[应急响应]
weixin_47920370的博客
04-22 4361
一、应急响应过程 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识 二、必备知识点 1、熟悉常用的web安
应急响应概述
xlsj雪松的博客
05-02 679
常见的应急响应事件分类:Web 入侵:主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗。
应急响应入门
vusida的博客
07-01 327
应急响应入门 1.应急响应是用来预防或应对一系列安全事件的发生。 常见的安全事件: 1.web入侵:挂马(植入木马)、篡改、webshell 2.系统入侵:RDP爆破、SSH爆破、主机入侵、系统异常 3.病毒木马:远程控制、后门、勒索软件 4.信息泄露:脱库、数据库非法登录 5.网络流量:批量请求、DDos攻击 排查思路一般有以下几点: 1.文件分析(文件日期、新增文件、可疑/异常文件、最近使用文件、浏览下载文件、webshell排查与分析、核心应用的关联目录文件) 2.进程分析(当前活动进程、远程连接、启
应急响应流程
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-21 515
网络安全保证资产可靠稳定的运行,不受偶然的或恶意的因素影响。保证网络中传输的数据的完整性,可用性,机密性。
应急响应应急响应 - 基础介绍篇
网络安全从业者的学习笔记
11-24 2191
勒索病毒危害不言而喻,一旦中了勒索病毒,几乎很难破解,只能通过重装系统,数据备份恢复或者缴纳相应被勒索的比特币支付进行病毒解除。但一般勒索病毒都是通过比特币的方式来进行金额交易,很难溯源的到,所以应对勒索病毒还是要以预防为主,数据备份为辅的方式。挖矿病毒的危害相对于勒索病毒小一些,因为他只是占用你服务器系统的CPU进行挖掘比特币,没有对你的实际利益造成太大威胁,可以通过杀死挖矿进程,排查维权方式(定时任务、隐藏用户等方式),排查被攻击的手段并修复漏洞的方式来应对挖矿病毒。用户信息:/etc/passwd。
应急响应实战
itboy_szjj的博客
05-26 1364
应急响应;网络安全
应急响应总体流程
m0_67284865的博客
05-18 1468
​ 主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生。基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。​ 总结阶段的工作主要包括以下3方面的内容:(1)形成事件处理的最终报告:(2) 检查应急响应过程中存在的问题,重新评估和修改事件响应过程;(3) 评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训。
应急响应基础知识问答与流程详解
应急响应是IT安全管理中的关键环节,它涉及在突发事件发生时,组织如何有效地保护系统、数据和业务连续性。8.1节着重于应急响应的基础理论和实践操作。以下是该部分的主要知识点: 1. **计算机安全事件定义**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值