其实都是老生常谈的话题,网上有很多通用的资料,但是不自己写一遍的话,还是会一直跟着别人的思路走。
就像做漏洞复现一样,为什么别人写出了复现漏洞文章之后,大部分人还是会选择自己在跟着做一次,就是这个道理。
应急响应真实事件处置流程-思路
Linux
1、某集团被上传挖矿病毒,ssh无法登录
1、判断对外网开放了22端口
2、溯源今年1月1日至今的日志,发现利用分钟10次的SSH爆破,成功通过SSH爆破进入
3、并提出几种相关建议,密码属于社工弱口令;每分钟30次SSH登陆才拦截;nginx日志未记录
4、建议SSH走VPN,更改SSH爆破封禁规则
5、排查内网-查看AF存在爆破日志,查看僵尸网络,存在内网大量挖矿
6、查看last显示近期用户或终端的登录情况 ,发现在1月8号有异常登陆
7、查看/var/log/auth.log用户登录记录 ,发现登陆成功记录
8、cat /etc/passwd 发现存在三个用户
9、发现lost ps netstat等命令被替换,发现大量病毒文件存在于/etc目录下
10、发现var/spool/cron 和/etc/crontab发现大量定时任务
11、直接重装系统。。。。
Windows
1、联通某真实挖矿应急响应流程
1、查看进程 任务管理器
2、查看启动项 Autoruns
3、wireshark抓取流量,看是否有与外界同信的流量
4、确定为矿池,利用powershell挖矿,且可横向移动wmic+mimiktaz,询问客户是否打过补丁
5、查看系统日志,有效条数过少,无法溯源。查看邮件web日志,大量被扫描,并且登录成功,但是不能确定是哪几个登录成功的进行二次攻击。
2、某家居用品集团服务器被入侵门罗币挖矿
1、wireshark抓包发现对外进行通信,为未知IP
2、通过process hacker排查进程,发现对矿池进行了连接
3、跟进进程内部,发现字符串为门罗币标识,跟踪到此进程的文件,删除
4、排查一些可能遭受入侵的点,无异样后使用杀软查杀,结束。
3、某知名公交公司挖矿占用CPU以及违规外联
1、部署了态势感知系统发现内网存在某主机A外联行为
2、登录服务器定位tasklist和任务管理器,通过PID发现恶意外联行为为Svhost.exe
3、对该进程进行内存分析,查看到字符串存在钱包地址和门罗币标识,以及其他配置文件路径
4、发现病毒为wmixml,团队内部已有此案例分析,知道了是什么家族后,根据特征查杀即可
5、无日志无法溯源。
6、发现此病毒配置文件指向了内网其他主机B,根据以往分析此病毒无横向移动能力,因此可以判断为内网其他主机遭受攻击,黑客跳板横向移动。
4、某地级银行发现webshell
1、Webshell查杀发现一句话木马,可以成功连接,没有发现病毒
2、根据UA信息,排查代码,发现在xx_config.asp文件中别人写入恶意代码,判断是否为爬虫,读取恶意博彩文件,返回客户端。
3、没有WEB日志数据支撑,系统日志正常。
4、最后判断为历史遗留WEBshell遭受入侵。
若有收获,就点个赞吧
0 人点赞
