本帖最后由 JCKJuyi 于 2024-9-6 17:49 编辑
1.已感染的用户,禁用网卡,同时拔掉机器的物理网线
2.如果同一网段有多台机器感染,可通过交换机进行断网。
3.已感染关键岗位电脑和重要服务器,立即关机,避免勒索病毒进一步加密所有文件。
4.整理感染机器列表,供后续处置。同时可以通过使用专业的工具来提取勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征,使用域控、单机或专业桌面管理工具等进行操作,迅速进行全网排查。对存在感染勒索病毒特征的机器,进行断网隔离,并删除勒索病毒文件和进程,同时持续监控是否继续感染,防止病毒的感染范围进一步扩大。
5.针对勒索病毒的特征,如后缀名,勒索信等指纹特征,尝试确定勒索病毒所属家族,并查找是否存在解密的可能性。
6.断网隔离被感染的机器,进行以下排查工作:
一:查看系统信息:linux:lscpu、uname -a
windows:msinfo32
二:排查CPU的占用情况,检查是否有异常高占用的进程
linux:查看CPU占用率top -ef | more、top -S:累计显示进程的 CPU 使用时间、top -p [PID]:仅显示指定进程ID的信息
windows查看CPU占用率:Win+r进入运行栏,输入resmon进入资源监视器,即可查看CPU占用情况。勒索病毒可能会占用较多的CPU资源,我们进行CPU占用率排查可以帮助我们快速定位
三:排查可疑进程:在成功入侵后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序
linux:ps -ef | more、定位进程:ps -ef | grep CMD
windows:netstat -ano | find “ESTABLISHED”、定位:tasklist | find “(PID)”
四:对检查到的异常进程进行停止
linux:kill -9 PID
windows直接在资源监视器结束进程即可
五:排查自启动项,自启动项是系统开机时在前台或者后台运行的程序,攻击者有可能通过自启动项使用病毒后门等实现持久化控制
linux:ls -alt/etc/init.d
windows:Win+r进入输入栏,输入taskschd.msc,调出任务计划程序。Win+r进入输入栏,输入powershell,进入powershell命令行页面,输入Get-ScheduledTask可以查看计划任务的路径,名称,状态。
六:检查是否存在未知的计划任务
linux:crontab -l
windows:同⑤
七:检查是否存在异常服务,异常服务是攻击者维持权限的常用手段,我们要重点注意服务状态和启动类型,检查是否有异常服务
linux:systemctl list-unit-files
windows:win+r调用出运行栏输入services.msc
八:检查异常外连行为,检查是否存在高危端口的连接和与国外IP的连接
linux:netstat -tunIp
windows:netstat -ano
九:检查是否存在未知特权用户或者隐藏用户
linux:cat /etc/passwd查看所有用户,输入命令 awk -F: '{if($3==0) print $1}' /etc/passwd 可查询可登录账户 UID 为0的账户,root是 UID为0的可登录账户,如果出现其他为 0 的账户,就要重点排查。命令行输入 cat /etc/passwd | grep '/bin/bash' 查看所有可登录用户。命令行输入 lastb可查看显示用户错误的登录列表,包括错误的登录方法、IP 地址、时间等。命令行输入 lastlog查看最后登录的日志信息。命令行输入 awk -F: 'length($2)==0 {print $1}' /etc/shadow如果有用户是空口令就会显示出来。
windows:wmic useraccount get name,SID查看系统中的用户信息.黑客创建的某些隐藏账户通过dos指令无法发现, 但是当我们查看注册表时就可以发现;通过注册表检查是否存在账户名为“xxx$”或修改注册表创建的隐藏账户,再检查是否存在可疑账户,并进行禁用。注册表路径:给SAM目录添加当前用户可读写属性HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names。同时,在此项下导出所有以 00000 开头的项,将所有导出的项与 000001F4 (该项对应Administrator用户)导出内容做比较,若其中的 F 值相同,则表示可能为克隆账户。
十:日志审计
linux:日志默认存放位置:/var/log/。查看日志配置情况:more /etc/rsyslog.conf
定位有多少IP在爆破主机的root帐号:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么:grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
登录成功的IP有哪些:grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more。
登录成功的日期、用户名、IP:grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
windows包含三种日志类型
系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认:%SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志:包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。
默认:%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志:记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认:%SystemRoot%\System32\Winevt\Logs\Security.evtx
十一:异常文件检查:
linux:
①、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性
②、查找异常文件,可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt下,一天前访问过的文件
③、针对可疑文件可以使用stat filename查看文件的创建修改时间。
windows命令:查看最近修改的文件win+r进入运行栏,输入recent。在搜索栏输入 *.后缀 即可搜索
十二:安装EDR
7.事后加固:
①.利用备份数据进行恢复:
根据遭受勒索病毒攻击影响相关设备数据备份的情况,按照数据恢复要求、备份日志,衡量数据恢复时间成本、数据重要程度,确认数据恢复范围、顺序及备份数据版本,利用离线、异地、云端等备份数据恢复。
②.恢复感染设备正常使用:
感染勒索病毒设备再次投入使用的,在采取磁盘格式化、系统重装、删除可疑文件和程序、消除勒索信息和加密文件等措施的情况下,避免二次感染勒索病毒,再恢复设备正常使用。
③.进行完整的溯源:
通过对攻击的完整溯源,可以帮助企业发现存在的薄弱点,及时加以修复,同时也可以帮助企业发现攻击者的行为模式和特点,帮助企业形成立体的网络安全防线,从而提高对未来攻击的预警能力。
④.加强网络安全隐患修补:
在消除勒索病毒攻击影响的情况下,开展网络安全隐患排查和修补。例如,在权限管理方面,重点排查弱口令、账户权限、口令更新和共用等问题;在漏洞修补方面,及时更新系统、软件、硬件等漏洞补丁;在暴露面梳理方面,检查本企业在互联网上的暴露面,检查是否存在暴露的高危端口如(21,22,135,139,445等)。
⑤.加强终端安全防护:
确保终端设备和服务器上安装了有效的防病毒软件和EDR功能模块 ,防病毒软件可以扫描系统和文件,有效防止恶意文件落地;EDR可以更有效的防护恶意文件攻击、漏洞攻击,有效阻断安全威胁,同时会产生流量走向、内存活动、帐户信息以及异常操作等风险告警,帮助安全团队快速定位威胁和溯源入口。
⑥.构建内网威胁发现能力:
通过诱捕机制及时感知到恶意文件在内网无威胁探测阶段的异常行为,并进行预警,通过快速响应能够最大限度的减少甚至避免恶意文件对内部服务器造成的影响。 |
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-9-20 23:36
技术员1级 
