74应急响应-win&linux分析后门&勒索病毒&攻击

#操作系统(windows,linux)应急响应：

1.常见危害：暴力破解，漏洞利用，流量攻击，木马控制(Webshell,PC 木马等)，病毒感染(挖矿，蠕虫，勒索等)。

2.常见分析：计算机账户，端口，进程，网络，启动（木马需要运行，除了伪装成正常文件就是自启动），服务，任务，文件（文件权限）等安全问题 

常见日志类别及存储：

Windows，Linux 

日志文件默认存储路径

补充资料：

10款常见的Webshell检测工具：https://xz.aliyun.com/t/485

史上最全Windows安全工具锦集：https://www.secpulse.com/archives/114019.html

Sysinternals：https://docs.microsoft.com/en-us/sysinternals/

病毒分析：

PCHunter：www.anxinsec.com

火绒剑：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

Process Hacker：https://processhacker.sourceforge.io/downloads.php

AutoRuns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL（无法访问）：https://www.bleepingcomputer.com/download/otl/

sysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀：

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛：http://free.drweb.ru/download+cureit+free

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html

病毒动态：

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com

在线病毒扫描网站：

多引擎在线病毒扫描网：http://www.virscan.org

腾讯哈勃分析系统：https://habo.qq.com

Jotti恶意软件扫描系统：https://virusscan.jotti.org

ScanVir：http://www.scanvir.com 

木马和病毒是两个东西，木马是控制电脑，病毒是把电脑里面的文件什么的搞得不正常，比如勒索病毒。

攻击响应-暴力破解（RDP，SSH）-Win，Linux 

windows

这个直接打开事件查看器

主要的就是应用程序，安全，系统这三个，但是看着比较麻烦，还有id对应的意思也要去网上查，

windows自带日志工具不好用，查找分析不方便，推荐使用插件LogFusion 

利用工具rdp爆破之后

日志就看到了大量的登陆失败，还可以双击某一条查看详细信息

然后id4624代表成功，可以搜一下4624看看有没有被爆破成功

然后就可以看到那个ip登录成功了

linux系统

通常都在var/log下面

Linux-grep筛选：

1、统计日志中“Failed password”出现过多少次，确认服务器遭受多少次暴力破解

    grep -o "Failed password" /var/log/secure|uniq -c

2、输出登录爆破的第一行和最后一行，确认爆破时间范围

    grep "Failed password" /var/log/secure|head -1  第一次

    grep "Failed password" /var/log/secure|tail -1    最后一次

3、筛选IP地址，定位有哪些IP在爆破

    grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

4、筛选爆破字典，确定爆破用户名字典都有哪些

    grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

5、筛选登录成功的日期、用户名、IP

    grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

    grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more 

只要指定文件正确，这些口令就直接复制粘贴就行

控制响应-后门木马（Webshell，PC）-Win，Linux 

背景；用cs在靶机上植入木马exe文件，运行之后，在cs上线

TCPView

TCPView能筛选网络进程的链接指向，是官方工具

打开TCPView，点击“Remote Address”筛选远程主机

TCPView可能发现不了后门进程 

Process Explorer

Process Explorer可以查看当前运行的所有进程，是官方工具

找到问题进程可以右键“属性”，查看进程的详细信息 

PCHunter

PCHunter是一个集成化工具 

蓝颜色就不是系统自带的，然后后门还有厂商介绍，没有厂商就很可能是恶意文件进程，但是如果apt入侵的话，上传的马都是免杀的，而且改有信息的都有，甚至伪装成杀软信息

在这里会展示每一个盘下面的隐藏文件，因为木马还会做隐藏，

木马会设置计划任务或者开机自启动

UserAssistView

UserAssistView可以查看文件执行记录，是官方工具

找到后门文件后，可以通过该文件查看后门文件的执行情况 

LogonSessions

LogonSessions可以查看当前会话，是官方工具

可以用来分析有没有远程连接

Autoruns

Autoruns可以查看Windows上的自启动项目 

Linux-自动化响应检测-Gscan多重功能脚本测试：

自动化响应检测工具：GScan、chkrootkit、rkhunter、lynis

GScan下载：https://github.com/grayddq/GScan/ 

启动使用之后

运行Gscan

    python GScan.py -h

弱点建议提示哪里可能被作为入侵点，和攻击风险都会有介绍在什么时候被什么攻击过，

除Gscan外，还有chkrootkit、rkhunter、lynis等工具

危害响应-病毒感染(勒索 WannaCry)-Windows

经典勒索病毒

打开什么文档文件，都会弹出这个界面

它属于逆向的技术

推荐2个勒索病毒解密网站

https://lesuobingdu.360.cn/

上传文件分析

https://www.nomoreransom.org/zh/index.html 

上传加密文件，会给出是那种加密类型，还会给出解密建议，如何下载它建议的软件，

都有可能解密不成功

中毒原因；ms10170，没打补丁，自己在网上乱下东西

xing

fu