本文详述了Windows和Linux系统下的应急响应流程,包括网络连接检查、进程分析、持久化项排查和日志分析。重点介绍了使用PCHunter、ProcessExplorer、 Autoruns、SysmonView、APT-Hunter等工具进行恶意行为检测和系统状态诊断。同时,强调了Rootkit检测、沙箱分析和日志日志在分析中的重要性,提供了LinuxCheck等开源脚本以辅助排查。文章还提及了安全软件日志、文件隐藏及活动记录工具LastActivityView在分析中的作用,提醒读者深入理解攻击手法和日志分析以提高应急响应效率。
公粽号:黒掌
一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主!
1.文章概述
本文主要介绍windows以及linux应急响应方面的知识以及排除思路以及笔者日常使用的相关的优秀工具。
2.windows篇
windows终端的应急排除的话,我一般先会查看该终端的网络连接情况来判断是否有异常的连接,根据连接的地址我们可以去威胁情报平台(比如奇安信的TI)查询是否是恶意的或者为已知IOC,同时需要对产生可疑网络连接的进程进行进一步分析我这里使用的是pchunter工具。
可以通过工具看到产生网络连接对应的进程以及相关端口
对于进程我们需要首先检查是否有数字签名,子父进程的关系,进程的运行参数,进程加载的dll是否有签名是否是可疑的dll(dll劫持白加黑),对可疑的进程或者dll可以在第三方平台进行检测或者沙箱跑行为看是否存在恶意的行为。可以通过pchunter工具批量检查当前没有签名的进程或者进程中加载了没有签名的模块,同时需要查看命令行参数是否有攻击行为。查看子父进程关系以及命令行参数最好还是使用process explorer
通过process exploer软件可以清晰的看到子父进程之间的关系,svchost-wmiprvse-cmd具有经验的攻击检测人员可以很明显发现这种进程链很明显是通过wmi手法横向移动的时候受害终端产生的进程链,同时这命令行也是十分可疑的使用通过网络传输在远程主机上创建具有以“__”开头的特定名称和 unix 时间戳的临时文件执行里面的命令
同时也需要检查进程中是否存在可疑的线程,通常攻击者会注入系统进程来达到权限维持或提升的操作,通常是对产生网络连接的进程需要检查一下线程情况,这里通过火绒剑对怀疑的进程检查其线程,主要看是否存在没有模块没有版本没有描述的线程在运行的情况
同时可疑进程打开的文件句柄也是需要检查的,通过分析可疑进程打开的文件句柄发现如下可疑文件:C:\Windows\System32\bxomofr.dll,由于svchost进程一般加载dll只有两种方式:
1.通过服务注册一个dll;
2.Svchost进程依赖的dll会在服务启动时加载;
除此外,一个dll不会通过打开文件句柄的方式进行加载(通常以句柄方式打开的文件都是数据类型的文件,而不是dll文件),因此上述文件十分可疑。
我们在使用process explorer工具可以开启签名校验以及virustotal检查协助我们分析判断,CPU或内存资源 长时间或过高占用的进程以及孤儿进程也是怀疑对象
对可疑的进程也需要查看该程序在磁盘中以及在内存中硬编码的字符串来帮助我们判断是否可疑可以看字符串中是否存在可疑的IPURL以及危险函数啊键盘按键啊之类的,同时程序运行起来后在磁盘中字符串与在内存中的字符串差距应该是不大的
最低0.47元/天 解锁文章
扫一扫
268
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
