应急响应处置思路与流程

HVV中常见应急问题：

不确定攻击成功

服务器进行排查

windows服务器

账号排查

隐藏用户排查

• net user
• wmic查看
• 用户管理查看
• 注册列表查看

账户登录日志排查

• 4624登录成功
• 4625登录失败
• 4720账户创建
• 4724尝试重置密码
• 4738账户已更改

logoff踢出用户

网络连接排查

• netstat   -ant
• -a 显示所有网络连接、路由表和网络接口信息
• -n  ——数字的形式现实地址和端口号
• -o现实与每个连接相关得所属进程ID
• Listening
• Esablished
• Close_wait

进程排查

• Pchunter
• 火绒剑

文件排查

• 针对文件排查需要熟知常落地文件的类型以及作用。
• webshell-当有文件上传或者其他漏洞时常落地文件。
• mimkatz-用于破解域或者计算机密码 远控-常见为CS上线样本。
• frp-内网渗透端口转发
• Empire-类似metasploit，针对powershell利用
• sockscap–端口转发
• Proxychains–做socks代理（linux自带）
• Portscan.ps-针对windows端口扫描的powershell脚本。
• PowerShell-AD-Recon-针对windows域管理的各种脚本，域渗透必备
• 针对以上文件，一旦在存在，必然被入侵。校验MD5值

根据文件创建时间判断

当发现可疑文件后处置：

简单丢入沙箱中进行检查 使用“干净操作系统进行跟踪” 针对网络进行监控。 求助后场进行分析。

linux服务器

账号排查

• cat   /etc/passwd
• 查询uid为0的账户
• 分析可登录账户
• 查询用户错误的登陆信息
• 查询用户最后的登录信息
• 查看用户最近登录信息
• 查看当前用户登陆系统情况
• 查看空口令账户

网络连接排查

• netstat  -antlp
• netstat  -antlp  | more
• ps  aux      |    grep  pid

进程排查

• lsof   -p  PID查看进程打开的文件
• ps  -ef  |  awk'{print}’   |   sort  -n  |  uniq  >1

文件排查 

针对webshell排查的方式： 使用软件进行全文件扫描。

• find ./ -type f -name “*.jsp” | xargs grep “exec(”
• find ./ -type f -name “*.php” | xargs grep “eval(”
• find ./ -type f -name “*.asp” | xargs grep “execute(”
• find ./ -type f -name “*.aspx” | xargs grep “eval(”
• find ./ -type f -name “*.php” | xargs grep “base64_decode”

根据文件创建时间来排查

样本分析小技巧：

在HW过程中现红队常使用的cobaltstrike。其中在使用go语言生成后门程序的时候，会在程序字符串中保存go语言的相关组件，记录组件的方式路径+组件名称，如果没有加壳的话，可疑直接进行string分析。