黑客入侵应急分析手工排查(精简版)

congtou 2017-6-5 黑客技术 0 0

Author: sm0nk@猎户攻防实验室

行文仓促,不足之处,还望大牛指正。

1 事件分类

常见的安全事件:

  1. Web入侵:挂马、篡改、Webshell
  2. 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
  3. 病毒木马:远控、后门、勒索软件
  4. 信息泄漏:脱裤、数据库登录(弱口令)
  5. 网络流量:频繁发包、批量请求、DDOS攻击

2 排查思路

一个常规的入侵事件后的系统排查思路:

1

    1. 文件分析a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件

      b) Webshell 排查与分析

      c) 核心应用关联目录文件分析

    2. 进程分析a) 当前活动进程 & 远程连接

      b) 启动进程&计划任务

      c) 进程工具分析

      i. Windows:Pchunter

      ii. Linux: Chkrootkit&Rkhunter

    3. 系统信息a) 环境变量

      b) 帐号信息

      c) History

      d) 系统配置文件

    4. 日志分析a) 操作系统日志

      i. Windows: 事件查看器(eventvwr)

      ii. Linux: /var/log/

      b) 应用日志分析

      i. Access.log

      ii. Error.log

3 分析排查

3.1 Linux系列分析排查

3.1.1 文件分析

1、敏感目录的文件分析

2、新增文件分析

3、特殊权限的文件

4、隐藏的文件

3.1.2 进程命令

1、使用netstat 网络连接命令查看

2、使用ps命令,分析进程

3、使用ls 以及 stat 查看系统命令是否被替换

4、隐藏进程查看

3.1.3 系统信息

1、查看分析history

2、查看分析用户相关分析

3、查看分析任务计划

4、查看linux 开机启动程序

5、查看系统用户登录信息

6、系统路径分析

7、指定信息检索

8、查看ssh相关目录有无可疑的公钥存在

3.1.4 后门排查

1、chkrootkit

2、rkhunter

3、RPM check检查

4、Webshell查找

3.1.5 日志分析

1、日志查看分析

2、基于时间的日志管理

3、登录日志

3.1.6 相关处置

3.2 Windows系列分析排查

3.2.1 文件分析

1、无异常文件

2、操作痕迹

3、文件属性

4、关键字匹配

3.2.2 进程命令

1、网络连接

2、定位进程

3.2.3 系统信息

1、系统环境变量

2、计划任务

3、帐号信息

4、Systeminfo查看补丁

3.2.4 后门排查

1、PC Hunter工具

2、Webshell 排查

3.2.5 日志分析

1、事件管理器

2、Log Parser工具

3.2.6 相关处置

1、相关处置

3.3 应用类

在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。

  1. 首先确定受到攻击、入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。1

    4 应急总结

    1. 核心思路是“顺藤摸瓜”
    2. 碎片信息的关联分析
    3. 时间范围的界定以及关键操作时间点串联
    4. Web入侵类,shell定位很重要
    5. 假设与求证
    6. 攻击画像与路线确认

    5 渗透反辅

    1. 密码读取
    2. 帐号信息
    3. 敏感信息
    4. 滚雪球式线性拓展
    5. 常见的入侵方式Getshell方法a) WEB入侵

      b) 系统入侵

      c) 典型应用

    6 FAQ

    1、应急需求有哪些分类?

    2、关于windows的日志工具(log parser)有无图形界面版?

    3、在linux日志中,有无黑客入侵后的操作命令的统计?

    4、3.2.3 提到了Windows-Exploit-Suggester,有无linux版?

    5、有无linux自动化信息收集的脚本工具?

    6、有无综合的取证分析工具?

    7、关于业务逻辑的排查方法说明?

    文章出处:  先知安全技术社区     sm0nk

转载请注明来自华盟网,本文标题:《黑客入侵应急分析手工排查(精简版)》

喜欢 (0) 发布评论