应急响应—常见应急响应处置思路

下图是常见应急响应处置思路的思维导图

下面将对 "常见应急响应处置思路" 进行详细的讲解

一、操作系统后门排查

排查目标：找出后门程序在哪里，找到后门是怎么启动的，尽可能发现后门修改了系统的那些地方。

Windows常见系统后门排查

1、工具列表

• Pchunter               恶意代码检测工具
• Process Explorer  恶意代码检测工具
• Autoruns               显示Windows启动时自动运行的程序
• D盾                       WebShell查杀
• Logparser             日志分析工具

        Windows的自带命令集没有linux的强大，不能完全满足应急响应时的处置工作，所以一般来说我们都需要借助外部工具进行恶意后门分析

2、检查项目

• 注册表启动项        查看注册表中的自启动项
• 恶意进程               查看是否存在可疑进程和用户
• 系统服务               查看是否存在可疑系统服务
• 网络连接               查看是否存在可疑的网络连接
• 计划任务               查看是否存在可疑计划任务条目

       上述的排查项，全部可以使用PChunter和Autoruns完成。

PChunter使用方法：右击，以管理员身份运行——选中 "进程" 选项，然后右键选择 "校验所有数字签名"，就可以筛选出数字签名有问题的进程；同样的在PChunter的 "启动信息" 选项中，对 "启动项"、"服务"、"计划任务" 这3个项都需要校验一下数字签名，数字签名的颜色代表什么呢？

• 黑色：表示微软的进程
• 蓝色：表示非微软的进程
• 粉红色：表示没有签名的模块
• 红色：表示可疑进程，隐藏服务、被挂钩函数

        简单来说就是红色是极大可能是恶意进程，粉红色的话就需要人工再进一步判断一下，蓝色一般来说是正常企业的签名，黑色是微软自己的签名。那么黑色是不是代表就安全的呢？不一定，因为黑客如果使用cmd.exe或者powershell.exe这些命令执行的程序去启动恶意脚本，那么它的签名也会是黑色的，所以这里还是需要注意一下。
        PChunter的其他功能，比如“网络”功能也需要看一下，查看一下有没有对危险服务器建立恶意连接。
        Autoruns这个工具也挺简单，一般我们只要打开查看它的 "Everything" 选项就行了，这个选项是显示所有开机启动项的信息，如果想分类查看的话，就点击别的选项卡就行了。

3、系统日志——查看是否存在恶意登陆情况

Windows的系统日志可以用以下两种方法对其进行分析

• 方法一：可以使用Logparser格式化后进行分析。
• 方法二：直接打开 Windows控制面板——管理工具——事件查看器 进行分析，比如我们要筛选是否存在 3389 rdp 暴力破解行为的话，只要在 "安全"