應(yīng)急響應(yīng)的形式分為遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)和本地應(yīng)急響應(yīng)服務(wù)，一般要求初級(jí)會(huì)看日志、寫流程報(bào)告，中級(jí)主要就是滲透，高級(jí)考察帶隊(duì)伍作戰(zhàn)的能力。

應(yīng)急分類

事件分類

• Web入侵：掛馬、篡改、Webshell撞庫

• 系統(tǒng)入侵：系統(tǒng)異常、RDP爆破、SSH爆破、主機(jī)漏洞

• 病毒木馬：遠(yuǎn)控、后門、勒索軟件

  （勒索軟件比較復(fù)雜，解密是基本不可能，只能通過暗網(wǎng)黑市購買密碼。）

• 信息泄漏：刷庫、數(shù)據(jù)庫登錄（弱口令）

• 網(wǎng)絡(luò)流量：頻繁發(fā)包、批量請(qǐng)求、DDOS攻擊

  （掃描內(nèi)網(wǎng)主機(jī)是國內(nèi)攻擊的手法，如果是橫向移動(dòng)必須掃描。條件是拿到了服務(wù)器權(quán)限，先掃同網(wǎng)段存活主機(jī)，掃描445端口然后撞庫，如果撞庫成功那主機(jī)權(quán)限就拿到了。）

應(yīng)急響應(yīng)一般流程

初期看下態(tài)勢(shì)感知、IDS等，如果有報(bào)警立馬通知相關(guān)人員去處理，然后寫報(bào)告。

舉例：恢復(fù)加固

醫(yī)院如果遭受攻擊，全醫(yī)院待機(jī)就非?？膳?，現(xiàn)在都是智能辦公，很少進(jìn)行紙質(zhì)留存，如果信息系統(tǒng)故障整個(gè)業(yè)務(wù)都癱瘓了。

如何做應(yīng)急響應(yīng)呢

• 確定攻擊時(shí)間

• 查找攻擊線索

• 梳理攻擊流程

• 實(shí)施解決方案

定位攻擊者——（溯源、獲取目標(biāo)木馬，IP?手機(jī)號(hào)等等，悄悄地說技術(shù)再強(qiáng)也不如圈子人脈廣，比如獲取目標(biāo)ID（圈子里的代號(hào)）可以在圈子問這樣就很快速。? ?）

入侵信息核實(shí)

• 明確入侵網(wǎng)址/主機(jī)詳情

• 跟蹤事件發(fā)現(xiàn)人

• 了解事件發(fā)生特性

• 核實(shí)網(wǎng)絡(luò)結(jié)構(gòu)或系統(tǒng)框架

• 確定事件發(fā)生時(shí)間（查看日志、文件創(chuàng)建信息等）

• 知悉事件發(fā)生后處理辦法

• 記錄相關(guān)人員聯(lián)系方法

舉個(gè)栗子

?檢查windows安全日志，發(fā)現(xiàn)12點(diǎn)42分在登陸日志上發(fā)現(xiàn)存在暴力破解行為。于2點(diǎn)10分成功登陸到administrator用戶。

排查思路

• 文件分析——文件日期、新增文件、可疑/異常文件、最近使用文件、瀏覽器下載文件

• Webshell?排查與分析，核心應(yīng)用關(guān)聯(lián)目錄文件分析

• 進(jìn)程分析——當(dāng)前活動(dòng)進(jìn)程?&?遠(yuǎn)程連接，啟動(dòng)進(jìn)程&計(jì)劃任務(wù)，服務(wù)

• ?服務(wù)系統(tǒng)信息——環(huán)境變量/賬號(hào)信息/History/系統(tǒng)配置文件

• 日志分析——操作系統(tǒng)日志

數(shù)據(jù)收集

• 查看賬戶信息? ??（net user?、cat /etc/passwd ? ??）? ? ?

• 檢查補(bǔ)丁情況? ? ??（Systeminfo?、uname -a ? ??）??

• 查看系統(tǒng)日志?? ? ? ??（運(yùn)行-eventvwr ??）?? ?

• 查看注冊(cè)表/服務(wù)（Win）??（運(yùn)行- regedit? /? services.msc ? ??）??

• 查看用戶連接狀況?? ? ? ??（netstat?、?netstat?）??

• 查看賬戶登錄狀況?? ? ? ??（?quser?、who / last?）??

• 搜索近期修改文件? ? ? ??（??用眼睛/工具（lchangedfiles）?find / -ctime -1 -print?）??

• 查看網(wǎng)站日志? ? ? ? ??（???應(yīng)用服務(wù)log目錄? ? ? ??應(yīng)用服務(wù)log目錄??）??

• 檢查數(shù)據(jù)庫修改情況?? ? ? （數(shù)據(jù)庫日志? ）??

• 查看進(jìn)程? ? ??（任務(wù)管理器?? ? ps -aux??）??

• 檢查防護(hù)設(shè)備日志?? ? （沒錯(cuò)，就是查看它的日志?）??

信息收集?留意

1.在查詢用戶的過程中要留意隱藏賬戶的信息HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

2.判斷是否為惡意進(jìn)程或者服務(wù)部分可通過描述或者發(fā)布者進(jìn)行判斷

Grep /find命令

查找一句話木馬（<?php eval($_post[cmd]);?>

假設(shè)網(wǎng)站的目錄為/app/website/，我們需要查看該目錄下是否包含該形式的一句話木馬文件：

方法1：

? ? $ grep -i –r eval\(\$_post /app/website/*

? ? ? ? 其中-i表示不區(qū)分大小寫，-r表示搜索指定目錄及其子目錄

?? 方法2:

? ? $find /app/website/ -type f|xargs grep eval\(\$_post?

?? ? ? ?xargs 將find搜索出的文件名稱變成?grep后面需要的參數(shù)

本次分享的內(nèi)容為安全牛課堂的應(yīng)急響應(yīng)公開課，課程配有作業(yè):木馬清理過程（含思路），目前為限免課程，0元即可學(xué)習(xí)哦。https://www.aqniukt.com/goods/show/2200?targetId=15680&preview=0