应急响应
一、应急响应基础 流程:事件状态判断-临时处置-信息收集分析-事件处置-事件防御 1、事件状态判断
扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄
- 了解现状、发生时间、系统架构、确认感染主机
- 被感染主机:网络隔离、禁止使用U盘和移动硬盘
- 未感染主机:ACL隔离、关闭SSH、RDP等协议、禁用U盘和移动硬盘
- windows系统:文件排查、进程排查、系统信息排查、日志排查
- linux系统:文件排查、进程排查、日志排查
- 已感染主机:断网隔离、等待解密进展
- 未感染主机
- 补丁修复:在线补丁、离线补丁
- 事件加固:安全软件防护、开启实时防护、及时更新病毒库和规则库
- 预防
- 定期打补丁
- 口令策略加固
- 监控
- 部署杀毒软件
- 部署流量监测设备
- net user:获取本机用户列表
- net localgroup administrator:本机管理员
- net session:查看当前会话
- net start:查看当前运行的服务
- net user wilson$ 123456 /add
- net localgroup administrators wilson$ /add
- net user wilson$
- 注册表(SAM)
- 组策略-用户管理
- netstat -ano:查看开启了哪些端口
- netstat -ano > netstat.txt:重定向到文件
- tasklist:查看运行了哪些进程
- tasklist > tasklist.txt :重定向到文件
- tasklist | findstr PID:根据PID查找进程
- netstat -an | findstr 3389 :查看3389端口
- REG query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber :查看远程登录的端口号
- schtasks /query /fo LIST /v :获取本机计划任务
- schtasks /create /sc minute /mo 20 /tn "demo" /tr D:\a.vbs :创建一个名为demo的计划任务
- schtasks /delete /tn "demo" /f :删除名为demo的计划任务
- find /c "ext" demo.txt :在demo.txt文件中搜索exe字符串出现此熟
- find /n /i "ext" demo.txt :在demo.txt文件中忽略大小写查找exe
- findstr /s /i "Hello" *.* :不区分大小写,搜索在当前目录和所有子目录中的含有”hello“的文件
- wmic process:获取系统进程信息
- attrib file :查看文件属性
- Sglab_ir
- gather_log
- %WINDIR%
- %WINDIR%\system32\
- %LOCALAPPDATA%
- %TEMP%
- windoes系统日志:C:\Windows\System32\winevt\Logs
- 着重查看安全日志和系统日志
- 查看:eventvwr
- 应用程序和服务日志-Microsoft-windows-ternimalservice-localSessionManager:查看登录session日志
- 10 - 远程交互:mstsc(远程桌面)
- 3 - 网络
- 2 - 本地
- Event log Explorer :日志浏览工具
- LogParser :日志分析工具
- wireshark、
- tcpdump
- tcpdump host ip1 and ip2
- tcpdump -i eth0
- micrp network monitor
- PCHunter:※
- autoruns:启动项
- peocess explorer:进程管理
- 爆破工具
- lesuobingdu.360.cn:解密网站
- everthing:查找所有文件
- 情报分析平台:360威胁情报中心、微步、VT、IBM XFORCE
- 传播方式:RDP弱口令爆破远程登录植入病毒
- 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
- 样本MD5计算
- certutil -hashfile file md5
- 上传md5到微步在线校验
- 传播方式:RDP弱口令爆破远程登录植入病毒
- 防护建议:修改弱口令、修改通用密码、安装杀毒软件、及时安装补丁、开启关键日志收集功能
- 处置方案:卸载或更新、
更多精彩
