应急响应-事件溯源

应急响应--事件溯源

攻击者对痕迹的处理

攻击痕迹混淆：向/var/spool/cron/root 这个持久化的文件里面写入了大量的垃圾数据（好处是不修改创建时间，仅改变了修改时间）

隐遁：Rootkit

Rootkit是一个恶意软件，它可以隐藏自身以及指定的文件、进程、网络、链接、端口等信息。Rootkit可通过加载特殊的驱动修改系统内核，进而达到隐藏信息的目的。

从上两个图来看，Rootkit功能是十分强大的，强大到可能你中了病毒你也一无所知的程度，如果一台服务器被植入了Rootkit，溯源工作者将无法找到恶意文件，也无法查看到恶意文件对外的链接等等，无疑Rootkit工具给应急工作人员带来了更难的应急溯源挑战任务。攻击者

将payload写入到内存中来权限维持

攻击者为了防止恶意程序被删除，修改文件权限。

无文件落地持久化

其主要是通过内存的方式来实现，一是stager文件存在在注册表中，从而实现无文件；其次是加载的时候直接在内存中加载，从而实现文件落地时也是无文件的。

方式一：powershell

无文件落地的powershell常见的命令如下：

方式二：stager

stager的特点：目标机器执行后，会向teamserver发起一个GET请求，从而用post下载真正的shell code。

常用高危漏洞永恒之蓝

不同版本的操作系统对应的MS17-010补丁编号如下

首先判断系统是否安装了补丁，如果未安装直接MSF加载MS17-010漏洞。

VMware Esxi 5.5心脏滴血漏洞

简介：

漏洞技法

应急处置

最简单的招数，往往行之有效。Linux应急处置三板斧，简单的招式往往就像独孤九剑，有招胜无招。

Windows应急处置法宝：安全模式

有于病毒文件常见于用dll、svg等系统文件，而这些文件均为RAIN3级别的，正常情况下无法直接删除，所以我们需要进入到安全模式下进行处理。

应急响应攻防对照表

溯源分析

针对不同的事件溯源方法也是不同的，这边不做详细介绍。

安全事件大概可以分为：

1、钓鱼邮件

2、挖矿事件

3、勒索事件

4、黑帽SEO事件

5、远控后门事件（webshell等）

溯源分析中应急工作者需要做到

0、事件类型判断

1、分析怎么被感染或怎么被植入病毒 关键漏洞 关键恶意文件

2、找到恶意程序

3、分析恶意程序 提取指纹信息 提取攻击IP

4、分析流量，找到危害源头

5、日志、计划任务、网络链接、开放端口分析 日志这边包过系统日志，应用日志，web日志

6、给出处置建议，加固建议