0x00 前言

當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí)，急需第一時(shí)間進(jìn)行處理，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作，進(jìn)一步查找入侵來源，還原入侵事故過程，同時(shí)給出解決方案與防范措施，為企業(yè)挽回或減少經(jīng)濟(jì)損失。

應(yīng)急響應(yīng)事件類型介紹

網(wǎng)絡(luò)攻擊事件：

安全掃描攻擊：攻擊者利用掃描器對(duì)目標(biāo)進(jìn)行漏洞探測(cè)，并在發(fā)現(xiàn)漏洞后進(jìn)一步利用漏洞進(jìn)行攻擊

暴力破解攻擊：對(duì)目標(biāo)系統(tǒng)賬號(hào)密碼進(jìn)行暴力破解，獲取后臺(tái)管理員權(quán)限

系統(tǒng)漏洞攻擊：利用操作系統(tǒng)，應(yīng)用系統(tǒng)中存在的漏洞進(jìn)行攻擊

Web漏洞攻擊：通過SQL注入漏洞，上傳漏洞，XSS漏洞，等各種Web漏洞進(jìn)行攻擊

拒絕服務(wù)攻擊：通過大流量DDoS或者CC攻擊目標(biāo)，使用目標(biāo)服務(wù)器無法提供正常服務(wù)

其他網(wǎng)絡(luò)攻擊行為

惡意程序事件：

病毒，蠕蟲：造成系統(tǒng)緩慢，數(shù)據(jù)損壞，運(yùn)行異常

遠(yuǎn)控木馬：主機(jī)被黑客遠(yuǎn)程控制

僵尸網(wǎng)絡(luò)程序：（肉雞行為）：主機(jī)對(duì)外發(fā)起DDoS攻擊，對(duì)外發(fā)起掃描攻擊行為

挖礦程序：造成系統(tǒng)資源大量消耗

Web惡意代碼：

Webshell后面：黑客通過Webshell控制主機(jī)

網(wǎng)頁掛馬：頁面被植入帶病毒的內(nèi)容，影響訪問者安全

網(wǎng)頁暗鏈：網(wǎng)站被注入博彩，色情，游戲等廣告內(nèi)容

信息破壞事件：

系統(tǒng)配置遭篡改：系統(tǒng)中出現(xiàn)異常的服務(wù)，進(jìn)程，啟動(dòng)項(xiàng)，賬號(hào)等等

數(shù)據(jù)庫內(nèi)容篡改：業(yè)務(wù)數(shù)據(jù)遭到惡意篡改，引起業(yè)務(wù)異常和損失

信息數(shù)據(jù)泄露事件：服務(wù)器數(shù)據(jù)，會(huì)員賬號(hào)遭到竊取并泄露

其他安全事件：

賬號(hào)被異常登錄：系統(tǒng)賬號(hào)在異地登錄，可能出現(xiàn)賬號(hào)密碼泄露

支付盜刷

事件處理流程

0x01 入侵排查思路

1.1 檢查系統(tǒng)賬號(hào)安全

1、查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開放。

檢查方法：據(jù)實(shí)際情況咨詢相關(guān)服務(wù)器管理員。

2、查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)。

檢查方法：打開 cmd 窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶，如有，請(qǐng)立即禁用或刪除掉。

3、查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)。

檢查方法：

a、打開注冊(cè)表 ，查看管理員對(duì)應(yīng)鍵值。

b、使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能。

4、結(jié)合日志，查看管理員登錄時(shí)間、用戶名是否存在異常。

檢查方法：

a、Win+R打開運(yùn)行，輸入“eventvwr.msc”，回車運(yùn)行，打開“事件查看器”。

b、導(dǎo)出Windows日志--安全，利用Log Parser進(jìn)行分析。

1.2 檢查異常端口、進(jìn)程

1、檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接。

檢查方法：

a、netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED

b、根據(jù)netstat 定位出的pid，再通過tasklist命令進(jìn)行進(jìn)程定位 tasklist | findstr “PID”

2、進(jìn)程

檢查方法：

a、開始--運(yùn)行--輸入msinfo32，依次點(diǎn)擊“軟件環(huán)境→正在運(yùn)行任務(wù)”就可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期、啟動(dòng)時(shí)間等。

b、打開D盾_web查殺工具，進(jìn)程查看，關(guān)注沒有簽名信息的進(jìn)程。

c、通過微軟官方提供的 Process Explorer 等工具進(jìn)行排查 。

d、查看可疑的進(jìn)程及其子進(jìn)程?？梢酝ㄟ^觀察以下內(nèi)容：

? ? ? 沒有簽名驗(yàn)證信息的進(jìn)程

? ? ? 沒有描述信息的進(jìn)程

? ? ? 進(jìn)程的屬主

? ? ? 進(jìn)程的路徑是否合法

? ? ? CPU或內(nèi)存資源占用長時(shí)間過高的進(jìn)程

3、小技巧：

? a、查看端口對(duì)應(yīng)的PID： netstat -ano | findstr “port”

? b、查看進(jìn)程對(duì)應(yīng)的PID：任務(wù)管理器--查看--選擇列--PID 或者 tasklist | findstr “PID”

? c、查看進(jìn)程對(duì)應(yīng)的程序位置：

? 任務(wù)管理器--選擇對(duì)應(yīng)進(jìn)程--右鍵打開文件位置

? 運(yùn)行輸入 wmic，cmd界面 輸入 process

? d、tasklist /svc 進(jìn)程--PID--服務(wù)

? e、查看Windows服務(wù)所對(duì)應(yīng)的端口： ? %system%/system32/drivers/etc/services（一般%system%就是C:\Windows）

1.3 檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)

1、檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。

檢查方法：

a、登錄服務(wù)器，單擊【開始】>【所有程序】>【啟動(dòng)】，默認(rèn)情況下此目錄在是一個(gè)空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下。?

b、單擊開始菜單 >【運(yùn)行】，輸入 msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目，是則取消勾選命名異常的啟動(dòng)項(xiàng)目，并到命令中顯示的路徑刪除文件。

?c、單擊【開始】>【運(yùn)行】，輸入 regedit，打開注冊(cè)表，查看開機(jī)啟動(dòng)項(xiàng)是否正常，特別注意如下三個(gè)注冊(cè)表項(xiàng)： HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。

d、利用安全軟件查看啟動(dòng)項(xiàng)、開機(jī)時(shí)間管理等。

e、組策略，運(yùn)行g(shù)pedit.msc。

2、檢查計(jì)劃任務(wù)

檢查方法：

a、單擊【開始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。

b、單擊【開始】>【運(yùn)行】；輸入 cmd，然后輸入at，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接。

3、服務(wù)自啟動(dòng)

檢查方法：?jiǎn)螕簟鹃_始】>【運(yùn)行】，輸入services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。

1.4 檢查系統(tǒng)相關(guān)信息

1、查看系統(tǒng)版本以及補(bǔ)丁信息

檢查方法：?jiǎn)螕簟鹃_始】>【運(yùn)行】，輸入systeminfo，查看系統(tǒng)信息

2、查找可疑目錄及文件

檢查方法：

a、 查看用戶目錄，新建賬號(hào)會(huì)在這個(gè)目錄生成一個(gè)用戶目錄，查看是否有新建用戶目錄。

? Window 2003 C:\Documents and Settings

? Window 2008R2 C:\Users\

b、單擊【開始】>【運(yùn)行】，輸入%UserProfile%\Recent，分析最近打開分析可疑文件。

c、在服務(wù)器各個(gè)目錄，可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。

d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄

e、修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件

3、得到發(fā)現(xiàn)WEBSHELL、遠(yuǎn)控木馬的創(chuàng)建時(shí)間，如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件？

? a、利用 Registry Workshop 注冊(cè)表編輯器的搜索功能，可以找到最后寫入時(shí)間區(qū)間的文件。

? b、利用計(jì)算機(jī)自帶文件搜索功能，指定修改時(shí)間進(jìn)行搜索。

1.5 自動(dòng)化查殺

病毒查殺

檢查方法：下載安全軟件，更新最新病毒庫，進(jìn)行全盤掃描。

webshell查殺

檢查方法：選擇具體站點(diǎn)路徑進(jìn)行webshell查殺，建議使用兩款webshell查殺工具同時(shí)查殺，可相互補(bǔ)充規(guī)則庫的不足。

1.6 日志分析

系統(tǒng)日志

分析方法：

a、前提：開啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則可以查看系統(tǒng)的日志文件，排除故障，追查入侵者的信息等。

b、Win+R打開運(yùn)行，輸入“eventvwr.msc”，回車運(yùn)行，打開“事件查看器”。

C、導(dǎo)出應(yīng)用程序日志、安全日志、系統(tǒng)日志，利用Log Parser進(jìn)行分析。

WEB訪問日志

分析方法：

a、找到中間件的web日志，打包到本地方便進(jìn)行分析。

b、推薦工具：Window下，推薦用 EmEditor 進(jìn)行日志分析，支持大文本，搜索效率還不錯(cuò)。

? Linux下，使用Shell命令組合查詢分析

0x02 工具篇

2.1 病毒分析

PCHunter：http://www.xuetr.com

火絨劍：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

2.2 病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、最新病毒庫）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）

火絨安全軟件：https://www.huorong.cn

360殺毒：http://sd.#/download_center.html

2.3 病毒動(dòng)態(tài)

CVERC-國家計(jì)算機(jī)病毒應(yīng)急處理中心：http://www.cverc.org.cn

微步在線威脅情報(bào)社區(qū)：https://x.threatbook.cn

火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區(qū)：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

2.4 在線病毒掃描網(wǎng)站

http://www.virscan.org //多引擎在線病毒掃描網(wǎng) v1.02，當(dāng)前支持 41 款殺毒引擎

https://habo.qq.com //騰訊哈勃分析系統(tǒng)

https://virusscan.jotti.org //Jotti惡意軟件掃描系統(tǒng)

http://www.scanvir.com //針對(duì)計(jì)算機(jī)病毒、手機(jī)病毒、可疑文件等進(jìn)行檢測(cè)分析

2.5 webshell查殺

D盾_Web查殺：http://www.d99net.net/index.asp

河馬webshell查殺：http://www.shellpub.com

深信服Webshell網(wǎng)站后門檢測(cè)工具：http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：http://www.uusec.com/webshell.zip

推薦：https://bypass007.github.io/Emergency-Response-Notes/Summary/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5.html

0x03 補(bǔ)充篇

系統(tǒng)狀態(tài)排查? 查看CPU 內(nèi)存 網(wǎng)絡(luò)占有率

文件分析

臨時(shí)文件? 黑客往往可能將病毒放在臨時(shí)目錄，或者將病毒相關(guān)文件釋放到臨時(shí)目錄，因此需要檢查臨時(shí)目錄是否存在異常文件。

? ? 假設(shè)系統(tǒng)盤在C盤，則通常情況下的臨時(shí)目錄如下：

? ? C:\Users\\shit\Local Settings\Temp

? ? C:\Documents and Settings\\shit\Local Settings\Temp

? ? C:\Users\\shit\桌面

? ? C:\Documents and Settings\\shit\桌面

? ? C:\Users\\shit\Local Settings\Temporary Internet Files

? ? C:\Documents and Settings\\shit\Local Settings\Temporary Internet Files

瀏覽器相對(duì)文件? 黑客可能通過瀏覽器下載惡意文件，或者盜取用戶信息，因此需要檢查下瀏覽器的歷史訪問記錄，文件下載記錄，cookie信息，對(duì)應(yīng)相關(guān)文件目錄如下：

? ? C:\Users\\shit\Cookies

? ? C:\Documents and Settings\\shit\Cookies

? ? C:\Users\\shit\Local Settings\History

? ? C:\Documents and Settings\\shit\Local Settings\History

? ? C:\Users\\shit\Local Settings\Temporary Internet Files

? ? C:\Documents and Settings\\shit\Local Settings\Temporary Internet Files

最近文件? 檢查下最近打開了哪些文件，可疑文件有可能就在最近打開的文件中，打開一下這些目錄即可看到：

? ? C:\Users\\shit\Recent

? ? C:\Document and Settings\shit\Recent

文件修改時(shí)間? 可以根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件，一般情況下，修改時(shí)間越近的文件越可疑

system32和hosts文件

? ? System32也是常見的病毒釋放目錄，因此也要檢查下改目錄，hosts文件是系統(tǒng)配置文件，用于本地DNS查詢的域名設(shè)置，可以強(qiáng)制將某個(gè)域名對(duì)應(yīng)到某個(gè)IP上，因此需要檢查hosts文件有沒有被黑客惡意篡改

? ? 這里以hosts文件為例，如上圖，檢查3種異常：

? ? 1.知名站點(diǎn)，檢查對(duì)應(yīng)IP是否真的歸屬該站點(diǎn)，防止”釣魚“

? ? 2.未知站點(diǎn)，檢查該域名和IP是否惡意

? ? 3.無法訪問的安全站點(diǎn)，即IP是否指向127.0.0.1 0.0.0.0等本地地址，無效地址

網(wǎng)絡(luò)連接

使用命令 netstat -ano 查看當(dāng)前的網(wǎng)絡(luò)連接，排查可疑的服務(wù)，端口，外連的IP

如發(fā)現(xiàn)netstat定位出的pid有問題，可再通過tasklist命令進(jìn)一步追蹤該可疑程序(tasklist | findstr PID)

流量分析

流量分析可以使用wireshark 主要分析下當(dāng)前主機(jī)訪問了哪些域名，URL，服務(wù)，或者有哪些外網(wǎng)IP在訪問本地主機(jī)的哪些端口，服務(wù)和目錄，又使用了何種協(xié)議等等

? ? 例如：使用了Wireshark觀察到，主機(jī)訪問了sjb555.3322.org 這種動(dòng)態(tài)域名，即可粗略猜測(cè)這是一個(gè)C&C服務(wù)器

漏洞與補(bǔ)丁信息

使用命令systeminfo ,查看系統(tǒng)版本信息以及補(bǔ)丁信息，確認(rèn)當(dāng)前系統(tǒng)是否存在漏洞，是否以及打了相應(yīng)的補(bǔ)丁

進(jìn)程分析

? ? 進(jìn)程名字異常

? ? 進(jìn)程信息分析

啟動(dòng)項(xiàng)排查

? ? 攻擊者為了保持病毒能夠開機(jī)啟動(dòng)，登錄啟動(dòng)或者定時(shí)啟動(dòng)，通常會(huì)有相應(yīng)的啟動(dòng)項(xiàng)，這里有個(gè)非常好的工具，Autoruns（www.sysinternals.com)

用戶排查

net user

Tips

刪除guest用戶

按鍵 "win + r" 輸入regedit打開注冊(cè)表；

展開 "HKEY_LOCAL_MACHINE\SAM\SAM", 右鍵 "權(quán)限"；設(shè)置管理員完全控制權(quán)限

關(guān)閉注冊(cè)表，重新打開

"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest"

將注冊(cè)表對(duì)應(yīng)的類似"0x2f3", 進(jìn)行刪除

"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000002f3"和

"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest"這兩個(gè)鍵即可

常用的工具和命令

Webshell查殺

? ? D盾

? ? 深信服WebShellkiller

? ? CloudWalker（牧云）

木馬病毒類查殺

? ? ClamAV

? ? RKHunter

? ? Chkrootkit

進(jìn)程分析

? ? 火絨劍

流量分析

? ? Wireshark

? ? Tcpdump

啟動(dòng)項(xiàng)分析

? ? Autoruns

其他輔助工具

? ? IP分析

? ? 超級(jí)文件監(jiān)控工具V1.0