应急响应处置思路与流程

2024-06-16 05:44

本文主要是介绍应急响应处置思路与流程,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

HVV中常见应急问题:

不确定攻击成功

服务器进行排查

windows服务器
账号排查

隐藏用户排查

  • net user
  • wmic查看
  • 用户管理查看
  • 注册列表查看

账户登录日志排查

  • 4624登录成功
  • 4625登录失败
  • 4720账户创建
  • 4724尝试重置密码
  • 4738账户已更改

logoff踢出用户

网络连接排查
  • netstat   -ant
  • -a 显示所有网络连接、路由表和网络接口信息
  • -n  ——数字的形式现实地址和端口号
  • -o现实与每个连接相关得所属进程ID
  • Listening
  • Esablished
  • Close_wait
进程排查
  • Pchunter
  • 火绒剑
文件排查
  • 针对文件排查需要熟知常落地文件的类型以及作用。
  • webshell-当有文件上传或者其他漏洞时常落地文件。
  • mimkatz-用于破解域或者计算机密码 远控-常见为CS上线样本。
  • frp-内网渗透端口转发
  • Empire-类似metasploit,针对powershell利用
  • sockscap--端口转发
  • Proxychains--做socks代理(linux自带)
  • Portscan.ps-针对windows端口扫描的powershell脚本。
  • PowerShell-AD-Recon-针对windows域管理的各种脚本,域渗透必备
  • 针对以上文件,一旦在存在,必然被入侵。校验MD5值

根据文件创建时间判断

当发现可疑文件后处置:

简单丢入沙箱中进行检查 使用“干净操作系统进行跟踪” 针对网络进行监控。 求助后场进行分析。

linux服务器
账号排查
  • cat   /etc/passwd
  • 查询uid为0的账户
  • 分析可登录账户
  • 查询用户错误的登陆信息
  • 查询用户最后的登录信息
  • 查看用户最近登录信息
  • 查看当前用户登陆系统情况
  • 查看空口令账户
网络连接排查
  • netstat  -antlp
  • netstat  -antlp  | more
  • ps  aux      |    grep  pid
进程排查
  • lsof   -p  PID查看进程打开的文件
  • ps  -ef  |  awk'{print}'   |   sort  -n  |  uniq  >1
文件排查 

针对webshell排查的方式: 使用软件进行全文件扫描。

  • find ./ -type f -name “*.jsp” | xargs grep “exec(”
  • find ./ -type f -name “*.php” | xargs grep “eval(”
  • find ./ -type f -name “*.asp” | xargs grep “execute(”
  • find ./ -type f -name “*.aspx” | xargs grep “eval(”
  • find ./ -type f -name “*.php” | xargs grep “base64_decode”

根据文件创建时间来排查

样本分析小技巧:

在HW过程中现红队常使用的cobaltstrike。其中在使用go语言生成后门程序的时候,会在程序字符串中保存go语言的相关组件,记录组件的方式路径+组件名称,如果没有加壳的话,可疑直接进行string分析。

这篇关于应急响应处置思路与流程的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1065606

相关文章

在VSCode中本地运行DeepSeek的流程步骤

《在VSCode中本地运行DeepSeek的流程步骤》本文详细介绍了如何在本地VSCode中安装和配置Ollama和CodeGPT,以使用DeepSeek进行AI编码辅助,无需依赖云服务,需要的朋友可... 目录步骤 1:在 VSCode 中安装 Ollama 和 CodeGPT安装Ollama下载Olla

linux环境openssl、openssh升级流程

《linux环境openssl、openssh升级流程》该文章详细介绍了在Ubuntu22.04系统上升级OpenSSL和OpenSSH的方法,首先,升级OpenSSL的步骤包括下载最新版本、安装编译... 目录一.升级openssl1.官网下载最新版openssl2.安装编译环境3.下载后解压安装4.备份

C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)

《C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)》本文主要介绍了C#集成DeepSeek模型实现AI私有化的方法,包括搭建基础环境,如安装Ollama和下载DeepS... 目录前言搭建基础环境1、安装 Ollama2、下载 DeepSeek R1 模型客户端 ChatBo

springMVC返回Http响应的实现

《springMVC返回Http响应的实现》本文主要介绍了在SpringBoot中使用@Controller、@ResponseBody和@RestController注解进行HTTP响应返回的方法,... 目录一、返回页面二、@Controller和@ResponseBody与RestController

Linux流媒体服务器部署流程

《Linux流媒体服务器部署流程》文章详细介绍了流媒体服务器的部署步骤,包括更新系统、安装依赖组件、编译安装Nginx和RTMP模块、配置Nginx和FFmpeg,以及测试流媒体服务器的搭建... 目录流媒体服务器部署部署安装1.更新系统2.安装依赖组件3.解压4.编译安装(添加RTMP和openssl模块

0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeek R1模型的操作流程

《0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeekR1模型的操作流程》DeepSeekR1模型凭借其强大的自然语言处理能力,在未来具有广阔的应用前景,有望在多个领域发... 目录0基础租个硬件玩deepseek,蓝耘元生代智算云|本地部署DeepSeek R1模型,3步搞定一个应

linux进程D状态的解决思路分享

《linux进程D状态的解决思路分享》在Linux系统中,进程在内核模式下等待I/O完成时会进入不间断睡眠状态(D状态),这种状态下,进程无法通过普通方式被杀死,本文通过实验模拟了这种状态,并分析了如... 目录1. 问题描述2. 问题分析3. 实验模拟3.1 使用losetup创建一个卷作为pv的磁盘3.

springboot启动流程过程

《springboot启动流程过程》SpringBoot简化了Spring框架的使用,通过创建`SpringApplication`对象,判断应用类型并设置初始化器和监听器,在`run`方法中,读取配... 目录springboot启动流程springboot程序启动入口1.创建SpringApplicat

SpringBoot定制JSON响应数据的实现

《SpringBoot定制JSON响应数据的实现》本文主要介绍了SpringBoot定制JSON响应数据的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们... 目录前言一、如何使用@jsonView这个注解?二、应用场景三、实战案例注解方式编程方式总结 前言

通过prometheus监控Tomcat运行状态的操作流程

《通过prometheus监控Tomcat运行状态的操作流程》文章介绍了如何安装和配置Tomcat,并使用Prometheus和TomcatExporter来监控Tomcat的运行状态,文章详细讲解了... 目录Tomcat安装配置以及prometheus监控Tomcat一. 安装并配置tomcat1、安装