Windows应急响应

应急响应概述

应急响应是被动响应

安全建设是主动防御

常见：

·安全设备告警

·数据被勒索加密

·数据泄露被贩卖

·网页被篡改

应急响应目的

·遏制事件发酵

·找到恶意代码

·分析入侵路径

·整理入侵时间线

·分析恶意代码行为

·追踪溯源

应急响应人员工作

·找到恶意代码：通过各种动静态分析找到恶意代码、感染文件进行取样然后清除。

·分析入侵路径、入侵时间线：结合各类日志以及恶意代码本身，将有关证据进行关联分析，构造证据链，重现攻击过程

·分析恶意代码：找到恶意程序特征，包括行为，释放的文件、网络通信等，从而得到识别、防御和删除该病毒的方法，使得我们其他机器能够防住该恶意程序攻击

·解决问题，根除隐患，分析导致事故发生的系统脆弱点，并采取不就措施，回复系统，使系统正常运行

应急响应流程

·安全事件报警

·安全事件确认

·启动应急预案

·安全事件处理

·撰写安全事件报告

·应急工作总结

遏制影响

·网站下线（篡改、挂反标）

·断网隔离（远控后门、APT）

·流量清洗（DOS的进行）

·联系运营商（劫持类）

应急响应思路

应急响应建立在恶意代码的基础上，优先找到恶意代码，恶意代码需要通过网络进行网络通讯，内存中必然有其二进制代码，要么是进程的DLL/so模块，通常为了自保，极可能还有它的启动项，网络心跳包，可以总结为

·网络连接

·进程

·启动项

·内存

找到各种可以的IP、进程、域名、URL，搜索相关的IOC，然后排查

·网络连接

·进程信息

·系统启动项

·账号情况

·日志信息

·其他

现场分析

了解外部信息

·使用人员

·使用时段

·是否重启

·查看防护软件日志

·各种服务是否攻击者开启及是否存在弱口令

·了中是否有防火墙，行为管理器等防御设备，查看相应告警

取证溯源

分线思路以及记录需要了解到的一些外部信息，为了关键环节取证溯源准备，应当尽可能查到每一个薄弱点，不应该只有网页篡改就只检查web应用，诸如此类，越详尽，对于溯源越有效

进程检查

重点检查没有厂商名字，没有签名验证信息，没有描述信息、CPU或内存资源占用长时间过高的进程，检查可以进程的属主、路径、参数是否合法

常用的dll文件都是在C:WindowsSystem32目录下，寻找路径不对，名称可疑的，路径不对可以很直观的看出来，比如正常的为Kernel32.dll，恶意程序把自己的dll文件命名为Kerne132.dll

利用火绒剑可以看到两个异常的dll文件

启动项检查

检查启动项、计划任务、服务

·【开始】>【所有程序】>【启动】

·计算机管理

·gpedit.msc

取证点

系统日志、网站访问日志（搜索log文件）、本地用户情况（是否有隐藏、克隆用户）

保存系统当前信息：

systeminfo >c:Temp|sysinfo.txt

netstat -ano >c:Tempnet.txt

tasklist >c:Temptask.txt

net user >c:Tempuser.txt

xcopy %systemroot%system32winevtlogs* C:Tempeventlog

安全事件报告

·安全事件发生的日期事件

·参加人员

·事件发现的途径

·事件类型

·事件涉及的范围

·现场记录

·事件导致的损失和影响

·事件处理的过程

·从本次事故中应该吸取的经验和教训

更新: 2025-03-11 10:24:06
原文: http://www.yuque.com/yuhui.net/network/bxogdwh7r4hxte4c