[系统运维] 记一次应急响应实战分析-附加应急响应工具包

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 系统运维 -> 记一次应急响应实战分析-附加应急响应工具包 -> 正文阅读

[系统运维]记一次应急响应实战分析-附加应急响应工具包

0x00 应急响应安全事件的分类

今天带来一篇实战的应急响应干货分享！最清晰的思路，让小白可以独立支撑应急响应！

常见安全事件的分类
数据安全事件：数据泄露，数据破坏，数据篡改
应用安全事件：网站篡改，sql注入，xss攻击等等
系统安全事件：口令破解，系统提权，木马挖矿等
网络安全事件：DDOS，DNS劫持，ARP欺骗等

应急等级：Ⅰ级，Ⅱ级，Ⅲ级，Ⅳ级
预警等级：红色预警，橙色预警，黄色预警，蓝色预警
事件类型：特别重大，重大，较大，一般

0x01 应急响应准备流程：

响应前期：
1.准备阶段：应急团队建设，应急预案制定
2.检测阶段：找到问题根源，确认事件级别
响应中期：
3.抑制阶段：快速响应事件，将损失最小化
4.根除阶段：加强安全措施，彻底根除隐患
响应后期：
5.恢复阶段：恢复业务系统，保持正常运作
6.总结阶段：事件复盘总结，响应报告输出

0x02 某企业挖矿病毒实战应急响应

背景简介：
某政企根据管理员反馈，业务运行缓慢，cpu长时间处于100%，严重影响业务运行，请求应急响应

1.进程分析：
cpu使用率百分百，发现可疑进程xmrig.exe

2.文件分析：
定位可疑进程文件目录，c:/windows/temp下，发现可疑文件

3.文件检测：
将文件上传到检测平台，检测为病毒文件程序
常见使用微步云沙箱实例：https://s.threatbook.cn/
推荐国外平台virustotal实例：https://www.virustotal.com/gui/home/upload

4.服务分析：
检查系统服务，发现异常服务SecurityCheck服务在系统启动时运行 C:\WINDOWS\Temp目录的logon.vbs脚本文件。 l分析该vbs脚本文件，发现其运行了xmrig挖矿程序

5.检查系统启动项：
发现异常启动项，通过启动项检查分析，系统启动时同样调用了C:\WINDOWS\Temp目录的logon.vbs脚本文件

windows检查启动项：

6.计划任务分析：
发现异常系统计划任务，通过计划任务分析，系统每隔5分钟或在用户登录时运行C:\WINDOWS\Temp目录下的start.bat脚本文件。 l 分析此vbs脚本，其会对系统进程进行判断，在没有运行xmrig程序时启动xmrig程序。

7.账号分析：
通过分析系统账号，发现存在异常隐藏账号***$。账号名后带有$符号，在dos命令行下使用net user不会在结果中显示。一般攻击者利用该特点常用于隐藏后门。