应急响应处置现场流程 - 文件痕迹排查笔记07

已于 2022-02-05 12:00:56 修改
阅读量850 收藏 9
点赞数 8
分类专栏: 溯源反制之应急响应 文章标签: 信息安全
于 2021-05-27 17:58:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/115091770
版权

应急响应处置现场流程 - 文件痕迹排查

在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。

一般,可以从以下几方面对文件痕迹进行排查:

(1)对恶意软件常用的敏感路径进行排查;

(2)在确定了应急响应事件的时间点后,对时间点前后的文件进行排查;

(3)对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数、文件权限特征等。

目录

1.Windows系统

1)敏感目录在Windows系统中,恶意软件常会在以下位置驻留。

(1)各个盘下的temp(tmp)相关目录。

(2)对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。

(3)查看用户Recent文件。

(4)预读取文件夹查看。

2)时间点查找

2.Linux系统

1)敏感目录Linux系统常见的敏感目录如下。

(1)/tmp目录和命令目录/usr/bin/usr/sbin等经常作为恶意软件下载目录及相关文建被替换的目录。

(2)此外,~/.ssh及/etc/ssh也经常作为一些后门配置的路径,需要重点检查

2)时间点查找

(1)通过列出攻击日期内变动的文件,可发现相关的恶意软件。

(2)对文件的创建时间、修改时间、访问时间进行排查。

3)特殊文件Linux系统中的恶意文件存在特定的设置、特定的关键字信息等。

(1)特殊权限文件查找。

(2)Webshell查找。

(3)对系统命令进行排查。

(4)Linux的后门检测,可以使用第三方查杀工具(如chkrootkit、rkhunter)进行查杀。

(5)排查SUID程序,即对于一些设置了SUID权限的程序进行排查,可以使用【find/-type f-perm-04000-ls-uid 0 2>/dev/null】命令

1.Windows系统

1)敏感目录在Windows系统中,恶意软件常会在以下位置驻留。

(1)各个盘下的temp(tmp)相关目录。

有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。对敏感目录进行的检查,一般是查看临时目录下是否有异常文件。

图通过临时目录发现可疑程序svchost.exe。

(2)对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。

Windows系统要重点排查浏览器的历史记录、下载文件和cookie信息,查看是否有相关的恶意痕迹。

如图所示,是在排查浏览器下载文件时发现的恶意样本。

(3)查看用户Recent文件。

Recent文件主要存储了最近运行文件的快捷方式,可通过分析最近运行的文件,排查可疑文件。

       一般,Recent文件在Windows系统中的存储位置如下:

C:\Documents and Settings\Administrator(系统用户名)\Recent;

C:\Documents and Settings\Default User\Recent。

如图所示,是打开Recent文件后看到的内容。

(4)预读取文件夹查看。

Prefetch是预读取文件夹,用来存放系统已访问过的文件的预读取信息,扩展名为pf。之所以自动创建Prefetch文件夹,是为了加快系统启动的进程。Windows系统利用“预读取”技术,在实际用到设备驱动程序、服务和shell程序之前装入它们。这种优化技术也被用到应用软件上,系统对每个应用软件的前几次启动情况进行分析,然后创建一个描述应用需求的虚拟“内存映像”,并把这些信息保存到Windows\Prefetch文件夹中。

一般,在Windows 7系统中可以记录最近128个可执行文件的信息,在Windows 8到Windows 10系统中可以记录最近1024个可执行文件。

一旦建立了映像,之后应用软件的装入速度可大幅提升。Prefetch文件夹的位置为“%SystemRoot%\Prefetch\”。

可以在【运行】对话框中输入【%SystemRoot%\Prefetch\】命令,打开Prefetch文件夹。之后排查该文件夹下的文件

另外,Amcache.hve文件也可以查询应用程序的执行路径、上次执行的时间及SHA1值。

Amcache.hve文件的位置为“%SystemRoot%\appcompat\Programs\”,可以在【运行】对话框中输入【%SystemRoot%\appcompat\Programs\】命令,打开Amcache.hve所在文件夹,Amcache.hve文件如图所示

2)时间点查找

应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前、后的文件变动情况,从而缩小排查的范围。

(1)可列出攻击日期内新增的文件,从而发现相关的恶意软件。

在Windows系统中,可以在命令行中输入【forfiles】命令,查找相应文件,命令的参数情况

【forfiles】命令的使用方法如图所示。

使用【forfiles/m*.exe/d+2020/2/12/s/p c:\ /c "cmd/c echo @path @fdate @ftime"2>null】命令就是对2020/2/12后的exe新建文件进行搜索。在输入此命令后,找到了oskjwyh28s3.exe文件。

还可以根据文件列表的修改日期进行排序,查找可疑文件。当然也可以搜索指定日期范围内的文件夹及文件

(2)对文件的创建时间、修改时间、访问时间进行排查。

对于人工入侵的应急响应事件,有时攻击者会为了掩饰其入侵行为,对文档的相应时间进行修改,以规避一些排查策略。

例如,攻击者可能通过“菜刀类”工具改变修改时间。因此,如果文件的相关时间存在明显的逻辑问题,就需要重点排查了,极可能是恶意文件。

如图所示,文件的修改时间为2015年,但创建时间为2017年,存在明显的逻辑问题,这样的文件就需要重点进行排查

3)Webshell

在应急响应过程中,网站是一个关键的入侵点,对Webshell(网站入侵的脚本工具)的查找可以通过上述方法进行筛选后再进一步排查。

还可以使用D盾、HwsKill、WebshellKill等工具对目录下的文件进行规则查询,以检测相关的Webshell。

这里以使用D盾为例,通过扫描文件,可以直接发现可疑文件。

2.Linux系统

1)敏感目录Linux系统常见的敏感目录如下。

(1)/tmp目录和命令目录/usr/bin/usr/sbin等经常作为恶意软件下载目录及相关文建被替换的目录。

文件名为crloger8的木马下载到/tmp目录下

(2)此外,~/.ssh及/etc/ssh也经常作为一些后门配置的路径,需要重点检查

2)时间点查找

(1)通过列出攻击日期内变动的文件,可发现相关的恶意软件。

通过【find】命令可对某一时间段内增加的文件进行查找。以下为常用的【find】命令。

find:在指定目录下查找文件。

-type b/d/c/p/l/f:查找块设备、目录、字符设备、管道、符号链接、普通文件。

-mtime-n+n:按文件更改时间来查找文件,-n指n天以内,+n指n天前。

-atime-n+n:按文件访问时间来查找文件,-n指n天以内,+n指n天前。

-ctime-n+n:按文件创建时间来查找文件,-n指n天以内,+n指n天前。

使用命令【find/-ctime 0-name "*.sh"】,可查找一天内新增的sh文件

在查看指定目录时,也可以对文件时间进行排序,

使用命令【ls-alt|head-n 10】查看排序后前10行的内容。

(2)对文件的创建时间、修改时间、访问时间进行排查。

使用【stat】命令可以详细查看文件的创建时间、修改时间、访问时间,若修改时间距离应急响应事件日期接近,有线性关联,说明可能被篡改。

使用【statcommandi.php】命令查询文件commandi.php的时间信息

3)特殊文件Linux系统中的恶意文件存在特定的设置、特定的关键字信息等。

Linux系统中的几种特殊文件类型可以按照以下方法进行排查。

(1)特殊权限文件查找。

如图所示是查找777权限的文件,使用命令【find/tmp-perm 777】,可发现crloger8文件。

(2)Webshell查找。

Webshell的排查可以通过分析文件、流量、日志进行,基于文件的命名特征和内容特征,相对操作性较高。通过分析文件的方法进行查找,可以从Webshell中常出现的一些关键字着手,对文件进行初筛,缩小排查的范围。

例如,可使用如图所示的语句,其中【find/var/www/-name"*.php"】命令是查找“/var/www/”目录下的所有php文件,【xargs egrep】及之后的命令是查询php文件中是否包含后面的关键字。

除了初筛的方法,还可以使用findWebshell、Scan_Webshell.py等进行扫描排查。

(3)对系统命令进行排查。

【ls】和【ps】等命令很可能被攻击者恶意替换,所以可以使用【ls-alt/bin】命令,查看命令目录中相关系统命令的修改时间,从而进行排查

也可以使用【ls-alh/bin】命令查看相关文件的大小,若明显偏大,则文件很可能被替换

(4)Linux的后门检测,可以使用第三方查杀工具(如chkrootkit、rkhunter)进行查杀。

chkrootkit工具用来监测 rootkit 是否被安装到当前系统中。rootkit是攻击者经常使用的后门程序。这类后门程序通常非常隐秘、不易被察觉,植入后,等于为攻击者建立了一条能够长时间入侵系统或可对系统进行实时控制的途径。因此,使用chkrootkit工具可定时监测系统,以保证系统的安全。在使用chkrootkit时,若出现infected,则说明检测出系统后门;若未出现,则说明未检测出系统后门,如图所示。

也可以使用【chkrootkit-q|grepINFECTED】命令检测并筛选出存在infected的内容。使用rkhunter可以进行系统命令(Binary)检测,包括MD5校验、rootkit检测、本机敏感目录检测、系统配置检测、服务及套件异常检测、第三方应用版本检测等。

(5)排查SUID程序,即对于一些设置了SUID权限的程序进行排查,可以使用【find/-type f-perm-04000-ls-uid 0 2>/dev/null】命令

战神/calmness
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
AmcacheParser:解析amcache.hve文件,但是有点麻烦!
05-04
AmcacheParser 请参阅此处以获取更多信息: AmcacheParser version 0.0.5.1 Author: Eric Zimmerman ([email protected]) https://github.com/EricZimmerman/AmcacheParser b Path to file containing SHA-1 hashes to *include* from the results. Blacklisting overrides whitelisting f Amcache.hve file to parse. Required i Include file entries for Progr
网络安全应急响应----8、网页篡改应急响应
七天
03-22 8603
文章目录一、网页篡改简介二、网页篡改检测技术1、外挂轮询技术2、核心内嵌技术3、事件触发技术三、网页篡改应急响应方法1、发生网页篡改2、隔离被感染的服务器/主机2.1、针对被篡改的网页2.2、针对未被篡改的网页3、排查业务系统3.1、异常端口、进程排查3.2、可疑文件排查3.3、可疑账号排查3.4、确认篡改时间3.5、日志排查3.6、网络流量排查4、恢复数据和业务四、网页篡改防御方法 一、网页篡改简介 网页篡改:即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行
应急响应知识总结
莫黎小天
10-09 2393
应急响应流程,linux,window操作说明
应急响应-Windwos-文件痕迹排查
最新发布
qq_50765147的博客
01-25 875
这种优化技术也被用应用到软件上,系统对每个应用软件的前几次启动情况进行分析,然后创建一个描述应用需求的虚拟“内存映像”,并把这种信息保存到Windows\Prefetch文件夹中,一般,在windows7系统中可以记录最近128个可执行文件的信息,在windows8到windos10系统中可以记录1024个可执行文件。有些恶意程序释放字体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。
网络安全应急响应----2、Windows入侵排查
七天
03-17 5488
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
devenv.exe中发生未处理的microsoft_如何从技术上处理Windows系统的入侵问题
weixin_39639040的博客
11-24 289
首先,他们应该怎么做?如果受害者保持打开此机器并非绝对必要,则必须将其关闭。你想要防止攻击者继续前进,如果你足够幸运,你甚至可能没有给他们足够的时间来覆盖他们所有的踪迹。他们还应确保机器与任何有线网络正确断开连接。如果有人在此计算机上配置了WakeOnLan,则攻击者可能能够将其重新打开,即使在WAN上也是如此。删除连接到潜在受损主机的任何外围设备也是安全的。你该怎么办?既然机...
amcache.hve及包含的文件SHA1值分析
一个热爱逆向,喜爱学习、分享的猿。
03-14 2582
amcache.hve Win8及更高版本的系统使用Amcache.hve替代RecentFileCache.bcf。记录文件创建时间、上次修改时间、SHA1和一些PE文件头信息。
Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache.hve,Windows文件访问时间不更新原理
热门推荐
wangyuxiang946的博客
04-03 1万+
Windows敏感目录,文件痕迹排查 一、根据时间查找 Forfiles 1、访问时间不更新问题 二、最近打开的文件 Recent 三、临时目录 Temp 四、预读取文件 Prefetch 五、程序执行情况 Amcache.hve 六、浏览器分析 七、webshell
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 1515
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
痕迹清理 - Windows
weixin_43977912的博客
05-24 484
​一、日志 查看日志 eventvwr 伪造日志 eventcreate 操作日志: 3389登录列表 文件打开日志 文件修改日志 浏览器日志 系统事件 程序安装记录 程序删除记录 程序更新记录 登录日志: 系统安全日志 日志路径: 系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx 应用程序日志 %SystemRoot%\System32\Winevt
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar
02-11
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar 包含文件如下 应急响应实战笔记_2020最新版.pdf 应急响应实战笔记_2020最新版.docx 详细内容如下 入侵排查篇 日志分析篇 权限维持篇 Windows实战篇 Linux实战篇 Web...
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
应急响应-攻击入侵排查 教学PPT
11-17
应急响应-攻击入侵排查 被入侵的症状 解读WEB、系统日志 WEBshell的特征 检查工具的介绍
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
应急响应 - Webshell 处理 15
战神/calmness的博客
02-05 9303
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件的Webshell检测 3.基于日志的Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
应急响应-PDCERF 方法03
战神/calmness的博客
02-09 5875
PDCERF方法最早于1987年提出,该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的,明确响应顺序和过程。但是,PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中,不一定严格存在这6个阶段,也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 1)准备阶段 准备阶段以预防为主。主要工作涉及识别机构、企业的风险..
应急响应-取证手册 20
战神/calmness的博客
02-05 3651
1、windows和linux系统的应急响应取证
溯源 - 蜜罐 01
战神/calmness的博客
06-17 3225
目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件: 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 随着经济的发展,国家对安全行业的高度重视。黑客 —— 蜜罐 ,为了防止黑客的入侵,企业增加了自己的防护手段,使用蜜罐的产品来混淆黑客视野,从而保证真实的业务系统能够...
ubuntu-16.04系统存在可疑账户的应急响应排查工作
07-15
你好!针对Ubuntu 16.04系统存在可疑账户的应急响应排查工作,你可以采取以下步骤: 1. 确认是否存在可疑账户:使用命令"sudo cat /etc/passwd"列出系统中的所有用户账户,查看是否有未知或可疑账户。特别注意root账户和其他具有管理员权限的账户。 2. 检查登录日志:使用命令"sudo cat /var/log/auth.log"或"sudo cat /var/log/secure"查看登录日志,特别关注与可疑账户相关的登录记录。检查登录时间、来源IP、登录方式等信息。 3. 检查进程和网络连接:使用命令"ps -ef"查看当前运行的进程,特别关注与可疑账户相关的进程。使用命令"netstat -antp"查看当前的网络连接,检查是否有与可疑账户相关的异常连接。 4. 分析系统日志:使用命令"sudo cat /var/log/syslog"或"sudo journalctl -xe"查看系统日志,寻找与可疑账户相关的异常行为或错误信息。 5. 检查系统文件和目录:使用命令"sudo find / -user <可疑账户>"检查系统中与可疑账户相关的文件和目录。特别关注是否有异常的脚本、工具或文件被创建或修改。 6. 安全漏洞和补丁检查:确保系统已经安装了最新的安全补丁,并检查是否存在已知的安全漏洞。可使用工具如OpenVAS或Nessus进行系统漏洞扫描。 7. 隔离和清除可疑账户:如果确认存在可疑账户,立即隔离该账户,并清除其访问权限。可以使用命令"sudo userdel -r <可疑账户>"删除账户及其相关文件。 8. 收集取证信息:在排查过程中,及时收集相关的取证信息,包括日志、进程信息、文件修改记录等,以便后续的调查和分析。 9. 安全加固和监控:加强系统的安全配置,更新密码策略、限制远程登录、启用防火墙等措施。同时建议安装和配置安全监控工具,定期检查系统安全状态。 请注意,这只是一个简要的应急响应排查工作指南,并不能覆盖所有情况。在进行操作前,请确保你具备足够的经验和权限,如果需要进一步的帮助,建议咨询专业的安全团队或咨询服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值