一、操作系统(windows,linux):
- 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。
暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破
漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等
流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪
木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中的,而PC木马是进入系统进行植入的。目的是对系统进行持久控制。
病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,对目标文件或目录进行加密,用户需要支付酬金给黑客
- 2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
账户:账户异常、账户增加,看攻击者是否留有后门账户
端口:异常端口开放,看是否与外部地址的某个端口建立了连接
进程:异常进程加载,看是否存在异常进程执行(排除系统正常进程)
网络:网络连接异常,看是否对局域网内其他IP地址进行请求(横向)或自身网络异常
启动:异常程序开机自启动,看是否存在开机自启动的程序,排查是否为恶意程序
服务:异常服务添加、启动,看机器上是否存在异常服务(排除系统正常服务)
任务:异常定时任务执行,看机器上是否存在定时任务
文件:异常文件,看机器上是否存在异常文件,如后门、病毒、木马等
- 3.病毒分析
- 4.病毒查杀
- 5.病毒动态
- 6.在线病毒扫描网站
- 7.其他资源:
应急响应大合集
值得收藏!史上最全Windows安全工具锦集
二、案例
(一)攻击响应-暴力破解(RDP、SSH)
rdp服务就是windows的远程连接服务,爆破账号密码来登录,我们在分析时有两种办法。
1)可以直接计算机管理看自带的日志分析,着重记住事件ID:
2)windows自带的日志分析不太好用,一般都利用工具分析,如:loginfusion
超级弱口令工具选rdp协议,爆破账号密码:
我们转到服务器可以看到:
具体还能看到爆破者的主机名和用户id:
弱口令爆破,ssh协议登录linux:
Linux系统日志保存在var/log内:
Linux-grep 筛选:
1、统计了下日志,确认服务器遭受多少次暴力破解
2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
3、进一步定位有哪些 IP 在爆破?
4、爆破用户名字典都有哪些?
5、登录成功的日期、用户名、IP:
(二)控制响应-后门木马(webshell、OS)
windows工具/命令有:
Linux 借助 CrossC2项目实现cs上线:
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程:http://www.adminxe.com/1287.html
Linux如何自动分析?
可以自己在目录下手动分析日志,而使用工具则用:Gscan多重功能脚本测试(仅centos系统)实现自动化分析:
(三)危害响应-病毒感染(勒索 WannaCry)-Windows 详细说明中毒表现及恢复指南
https://www.nomoreransom.org/crypto-sheriff.php?lang=zh
https://lesuobingdu.360.cn/
