应急响应中大家总是排查不干净,碰到屡次自启的进程,或者明明已经查杀掉了,但又有webshell通讯流量告警 排查过程中总是不能做到周全,思路比较混乱,现在我给大家整理一下比较周全的分级排查过程。同时也可以分级卖服务……
排查指导思想:最低目标 降低风险,把低水平攻击者踢出局,给高水平攻击者增加攻击维持成本。高水平攻击者不杀无名之辈,被打了不算丢脸,使客户得到一定安全感,控制感,给上级也有一个交代。最高目标则保证系统完全无病毒,无残留。
基础排查:
-
排查网络统计 netstat--只有 传输层协议的网络信息,如ping这些没有。可确定网络源目IP 端口 进程名称 PID 路由 缺点:传输层以下的隧道无法体现 非持续性通讯无法捕捉
-
进程 名字 描述 是否异常 来源文件是否正常
-
进程链 排查进程链条是否正常
-
服务 查自启 清除权限维持 也可以通过服务倒查异常文件。
-
自启 查自启清除权限维持 也可以通过自启倒查异常文件
-
计划任务等 查计划任务
-
文件查杀 webshell 查杀 病毒查杀 通过时间 所有者 数字签名 来源 缩小范围 特征码确定 语义化确定
-
内存搜索 内存中搜索通讯域名 来锁定内存马
-
登录日志分析 web-HTTP日志分析 ssh日志分析 telnet日志分析
-
进程日志分析 进程行为分析
-
注册表排查 排查自启
-
外联交叉感染 排查是否有对外通讯 是否把一些可能会外发的文件污染,或者一些应急响应工具 系统重装工具。
-
设立监控程序 监控 非持续性行为。
关联进程与网络 注册表 自启 服务 计划任务主要根据IP 域名 时间 名字 描述 进程 文件排查 应用日志分析
14.资源占用情况
点评:对计算机知识基本掌握周全 知道命令 文件位置 解读日志等知识。
进阶排查-深度狩猎:
1.排查隐藏项,账户隐藏
2.计划任务隐藏
3.规避检查文件来源是否正常-白加黑
4.隐藏进程-进程注入
5.历史命令隐藏
6.双马排查
7.Python.exe启动
8.他启 会用的进程,比如某些用户的游戏,命令,完成本该完成的任务的同时启动恶意程序。
9.内存马查杀
10.定位注入点
11.文件隐藏-进程来源文件是异常文件,但每次自启后都替换为正常文件,自启前替换为异常文件。
12.双进程维持自启
13.双进程 持久删除痕迹
14.联动分析发现0day等
点评:“隐藏” 发现能力 删除发现能力 删除痕迹恢复能力 0day联动发现能力 根据线索找注入点的代码审计能力
高阶排查-之不敢想系列:
-
父子进程关系隐藏伪造 api调用
-
命令替换
-
签名伪造等
点评:系统深层次攻击,低概率弱特征APT攻击的发现
原文始发于微信公众号(小菊花实验室):应急响应-分级排查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论