74应急响应-win&linux分析后门&勒索病毒&攻击

发布时间:2024年01月09日

#操作系统(windows,linux)应急响应:

1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。

2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题?

常见日志类别及存储:

Windows,Linux?

日志文件默认存储路径

补充资料:

10款常见的Webshell检测工具:https://xz.aliyun.com/t/485

史上最全Windows安全工具锦集:https://www.secpulse.com/archives/114019.html

Sysinternals:https://docs.microsoft.com/en-us/sysinternals/

病毒分析:

PCHunter:www.anxinsec.com

火绒剑:https://www.huorong.cn

Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

Process?Hacker:https://processhacker.sourceforge.io/downloads.php

AutoRuns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL(无法访问):https://www.bleepingcomputer.com/download/otl/

sysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀:

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛:http://free.drweb.ru/download+cureit+free

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

病毒动态:

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

微步在线威胁情报社区:https://x.threatbook.cn

火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区:http://bbs.duba.net

腾讯电脑管家:http://bbs.guanjia.qq.com

在线病毒扫描网站:

多引擎在线病毒扫描网:http://www.virscan.org

腾讯哈勃分析系统:https://habo.qq.com

Jotti恶意软件扫描系统:https://virusscan.jotti.org

ScanVir:http://www.scanvir.com?

木马和病毒是两个东西,木马是控制电脑,病毒是把电脑里面的文件什么的搞得不正常,比如勒索病毒。

攻击响应-暴力破解(RDP,SSH)-Win,Linux?

windows

这个直接打开事件查看器

主要的就是应用程序,安全,系统这三个,但是看着比较麻烦,还有id对应的意思也要去网上查,

windows自带日志工具不好用,查找分析不方便,推荐使用插件LogFusion?

利用工具rdp爆破之后

日志就看到了大量的登陆失败,还可以双击某一条查看详细信息

然后id4624代表成功,可以搜一下4624看看有没有被爆破成功

然后就可以看到那个ip登录成功了

linux系统

通常都在var/log下面

Linux-grep筛选:

1、统计日志中“Failed password”出现过多少次,确认服务器遭受多少次暴力破解

????grep -o "Failed password" /var/log/secure|uniq -c

2、输出登录爆破的第一行和最后一行,确认爆破时间范围

????grep "Failed password" /var/log/secure|head -1? 第一次

????grep "Failed password" /var/log/secure|tail -1? ? 最后一次

3、筛选IP地址,定位有哪些IP在爆破

????grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

4、筛选爆破字典,确定爆破用户名字典都有哪些

????grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

5、筛选登录成功的日期、用户名、IP

????grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

????grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more?

只要指定文件正确,这些口令就直接复制粘贴就行

控制响应-后门木马(Webshell,PC)-Win,Linux?

背景;用cs在靶机上植入木马exe文件,运行之后,在cs上线

TCPView

TCPView能筛选网络进程的链接指向,是官方工具

打开TCPView,点击“Remote Address”筛选远程主机

TCPView可能发现不了后门进程?

Process Explorer

Process Explorer可以查看当前运行的所有进程,是官方工具

找到问题进程可以右键“属性”,查看进程的详细信息?

PCHunter

PCHunter是一个集成化工具?

蓝颜色就不是系统自带的,然后后门还有厂商介绍,没有厂商就很可能是恶意文件进程,但是如果apt入侵的话,上传的马都是免杀的,而且改有信息的都有,甚至伪装成杀软信息

在这里会展示每一个盘下面的隐藏文件,因为木马还会做隐藏,

木马会设置计划任务或者开机自启动

UserAssistView

UserAssistView可以查看文件执行记录,是官方工具

找到后门文件后,可以通过该文件查看后门文件的执行情况?

LogonSessions

LogonSessions可以查看当前会话,是官方工具

可以用来分析有没有远程连接

Autoruns

Autoruns可以查看Windows上的自启动项目?

Linux-自动化响应检测-Gscan多重功能脚本测试:

自动化响应检测工具:GScan、chkrootkit、rkhunter、lynis

GScan下载:https://github.com/grayddq/GScan/?

启动使用之后

运行Gscan

????python GScan.py -h

弱点建议提示哪里可能被作为入侵点,和攻击风险都会有介绍在什么时候被什么攻击过,

除Gscan外,还有chkrootkit、rkhunter、lynis等工具

危害响应-病毒感染(勒索 WannaCry)-Windows

经典勒索病毒

打开什么文档文件,都会弹出这个界面

它属于逆向的技术

推荐2个勒索病毒解密网站

https://lesuobingdu.360.cn/

上传文件分析

https://www.nomoreransom.org/zh/index.html?

上传加密文件,会给出是那种加密类型,还会给出解密建议,如何下载它建议的软件,

都有可能解密不成功

中毒原因;ms10170,没打补丁,自己在网上乱下东西

xing

fu

文章来源:https://blog.csdn.net/san3144393495/article/details/135464131
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。