7.11. 应急响应

7.11. 应急响应

7.11.1. 响应流程

7.11.1.1. 事件发生

运维监控人员、客服审核人员等发现问题，向上通报

7.11.1.2. 事件确认

判断事件的严重性，评估出问题的严重等级，是否向上进行汇报等

7.11.1.3. 事件响应

各部门通力合作，处理安全问题，具体解决阶段

7.11.1.4. 事件关闭

处理完事件之后，需要关闭事件，并写出安全应急处理分析报告，完成整个应急过程。

7.11.2. 事件分类

• 病毒、木马、蠕虫事件

• Web服务器入侵事件

• 第三方服务入侵事件

• 系统入侵事件

  • 利用Windows漏洞攻击操作系统

• 网络攻击事件

  • DDoS / ARP欺骗 / DNS劫持等

7.11.3. 分析方向

7.11.3.1. 文件分析

• 基于变化的分析

  • 日期
  • 文件增改
  • 最近使用文件

• 源码分析

  • 检查源码改动
  • 查杀WebShell等后门

• 系统日志分析

• 应用日志分析

  • 分析User-Agent，e.g. awvs / burpsuite / w3af / nessus / openvas
  • 对每种攻击进行关键字匹配，e.g. select/alert/eval
  • 异常请求，连续的404或者500

• md5sum 检查常用命令二进制文件的哈希，检查是否被植入rootkit

7.11.3.2. 进程分析

• 符合以下特征的进程

  • CPU或内存资源占用长时间过高
  • 没有签名验证信息
  • 没有描述信息的进程
  • 进程的路径不合法

• dump系统内存进行分析

7.11.3.3. 网络分析

• 防火墙配置
• DNS配置
• 路由配置
• 监听端口

7.11.3.4. 配置分析

• 查看Linux SE等配置
• 查看环境变量
• 查看配套的注册表信息检索，SAM文件
• 内核模块

7.11.4. Linux应急响应

7.11.4.1. 文件分析

• 最近使用文件

  • find / -ctime -2
  • C:\Documents and Settings\Administrator\Recent
  • C:\Documents and Settings\Default User\Recent
  • %UserProfile%\Recent

• 系统日志分析

  • /var/log/

• 重点分析位置

  • /var/log/wtmp登录进入，退出，数据交换、关机和重启纪录
  • /var/run/utmp有关当前登录用户的信息记录
  • /var/log/lastlog文件记录用户最后登录的信息，可用 lastlog 命令来查看。
  • /var/log/secure记录登入系统存取数据的文件，例如 pop3/ssh/telnet/ftp
  • 等都会被记录。
  • /var/log/cron与定时任务相关的日志信息
  • /var/log/message系统启动后的信息和错误日志
  • /var/log/apache2/access.log apache access log
  • /etc/passwd 用户列表
  • /etc/init.d/开机启动项
  • /etc/cron*定时任务
  • /tmp临时目录
  • ~/.ssh

7.11.4.2. 用户分析

• /etc/shadow密码登陆相关信息
• uptime查看用户登陆时间
• /etc/sudoers sudo用户列表

7.11.4.3. 进程分析

• netstat -ano 查看是否打开了可疑端口

• w命令，查看用户及其进程

• 分析开机自启程序/脚本

  • /etc/init.d
  • ~/.bashrc

  查看计划或定时任务

  • crontab -l

• netstat -an / lsof查看进程端口占用

7.11.5. Windows应急响应

7.11.5.1. 文件分析

• 最近使用文件

  • C:\Documents and Settings\Administrator\Recent
  • C:\Documents and Settings\Default User\Recent
  • %UserProfile%\Recent

• 系统日志分析

  • 事件查看器 eventvwr.msc

7.11.5.2. 用户分析

• 查看是否有新增用户
• 查看服务器是否有弱口令
• 查看管理员对应键值
• lusrmgr.msc 查看账户变化
• net user列出当前登录账户
• wmic UserAccount get 列出当前系统所有账户

7.11.5.3. 进程分析

• netstat -ano 查看是否打开了可疑端口

• tasklist 查看是否有可疑进程

• 分析开机自启程序

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • (ProfilePath)\Start Menu\Programs\Startup 启动项
  • msconfig启动选项卡
  • gpedit.msc组策略编辑器

• 查看计划或定时任务

  • C:\Windows\System32\Tasks\
  • C:\Windows\SysWOW64\Tasks\
  • C:\Windows\tasks\
  • schtasks
  • taskschd.msc
  • compmgmt.msc

• 查看启动服务

  • services.msc

7.11.5.4. 日志分析

• 事件查看
  • `eventvwr.msc

7.11.5.5. 其他

• 查看系统环境变量

7.11.6. 参考链接

• 黑客入侵应急分析手工排查
• 取证入门 web篇
• Windows 系统安全事件应急响应
• 企业安全应急响应

---

上一篇： 下一篇：