应急响应-分级排查

应急响应中大家总是排查不干净，碰到屡次自启的进程，或者明明已经查杀掉了，但又有webshell通讯流量告警 排查过程中总是不能做到周全，思路比较混乱，现在我给大家整理一下比较周全的分级排查过程。同时也可以分级卖服务……

排查指导思想：最低目标 降低风险，把低水平攻击者踢出局，给高水平攻击者增加攻击维持成本。高水平攻击者不杀无名之辈，被打了不算丢脸，使客户得到一定安全感，控制感，给上级也有一个交代。最高目标则保证系统完全无病毒，无残留。

基础排查：

1. 排查网络统计  netstat--只有  传输层协议的网络信息，如ping这些没有。可确定网络源目IP 端口 进程名称 PID 路由  缺点：传输层以下的隧道无法体现  非持续性通讯无法捕捉 

2. 进程  名字 描述 是否异常 来源文件是否正常

3. 进程链 排查进程链条是否正常

4. 服务 查自启 清除权限维持 也可以通过服务倒查异常文件。

5. 自启 查自启清除权限维持 也可以通过自启倒查异常文件

6. 计划任务等 查计划任务

7. 文件查杀 webshell 查杀 病毒查杀 通过时间 所有者 数字签名 来源 缩小范围  特征码确定 语义化确定

8. 内存搜索 内存中搜索通讯域名 来锁定内存马

9. 登录日志分析 web-HTTP日志分析  ssh日志分析 telnet日志分析 

10. 进程日志分析 进程行为分析

11. 注册表排查 排查自启 

12. 外联交叉感染 排查是否有对外通讯  是否把一些可能会外发的文件污染，或者一些应急响应工具 系统重装工具。

13. 设立监控程序  监控 非持续性行为。

关联进程与网络 注册表 自启 服务 计划任务主要根据IP 域名 时间 名字 描述 进程 文件排查 应用日志分析 

14.资源占用情况

点评：对计算机知识基本掌握周全 知道命令 文件位置 解读日志等知识。

进阶排查-深度狩猎：

1.排查隐藏项，账户隐藏
2.计划任务隐藏
3.规避检查文件来源是否正常-白加黑
4.隐藏进程-进程注入
5.历史命令隐藏
6.双马排查
7.Python.exe启动
8.他启 会用的进程，比如某些用户的游戏，命令，完成本该完成的任务的同时启动恶意程序。
9.内存马查杀
10.定位注入点
11.文件隐藏-进程来源文件是异常文件，但每次自启后都替换为正常文件，自启前替换为异常文件。
12.双进程维持自启
13.双进程 持久删除痕迹
14.联动分析发现0day等

点评：“隐藏” 发现能力  删除发现能力 删除痕迹恢复能力 0day联动发现能力 根据线索找注入点的代码审计能力 

高阶排查-之不敢想系列：

1. 父子进程关系隐藏伪造  api调用

2. 命令替换

3. 签名伪造等

点评：系统深层次攻击，低概率弱特征APT攻击的发现

原文始发于微信公众号（小菊花实验室）：应急响应-分级排查