2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)指南

網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)指南網(wǎng)絡(luò)信息安全應(yīng)急流程概述網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)Linux應(yīng)急手冊(cè)網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)windows應(yīng)急手冊(cè)網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)案例介紹網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)設(shè)備系統(tǒng)類(lèi)應(yīng)急手冊(cè)網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)數(shù)據(jù)庫(kù)應(yīng)急手冊(cè)網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)網(wǎng)絡(luò)流量類(lèi)應(yīng)急手冊(cè)網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)中間件應(yīng)急手冊(cè)應(yīng)急響應(yīng)培訓(xùn)概述我們要做什么目錄contents相關(guān)法律法規(guī)應(yīng)急響應(yīng)概述1應(yīng)急響應(yīng)流程23應(yīng)急響應(yīng)綜述計(jì)算機(jī)安全事件是指由于自然或者人為，以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或者在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件。常見(jiàn)的一些計(jì)算機(jī)安全事件如：竊取商業(yè)機(jī)密垃圾郵件或郵件騷擾；對(duì)計(jì)算機(jī)系統(tǒng)的未授權(quán)訪問(wèn)或非法入侵；盜用；擁有或分發(fā)非法內(nèi)容（例如色情等）；拒絕服務(wù)（DoS、DDoS）攻擊；商業(yè)關(guān)系的侵權(quán)沖突；敲詐；不當(dāng)使用；其證據(jù)可存儲(chǔ)在計(jì)算機(jī)介質(zhì)中的任何非法行為（如欺騙、恐嚇）等。導(dǎo)致安全事件的原因大型企業(yè)的業(yè)務(wù)模式多，對(duì)外暴露的服務(wù)也多。由于對(duì)外暴露的服務(wù)多，導(dǎo)致被攻擊的面也會(huì)擴(kuò)大。黑產(chǎn)團(tuán)伙每天都會(huì)利用秒殺型漏洞批量掃描全網(wǎng)IP除了做黑產(chǎn)，還有可能會(huì)遇到APT……應(yīng)急響應(yīng)對(duì)應(yīng)的英文是IncidentResponse或EmergencyResponse”等，通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)目標(biāo)目錄contents應(yīng)急響應(yīng)概述我們要做什么相關(guān)法律法規(guī)121應(yīng)急響應(yīng)流程3法律法規(guī)、政策要求（一）國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（二）GB/Z

20985-2007信息技術(shù)

安全技術(shù)

信息安全事件管理指南（三）GB/T

20986-2007

信息安全技術(shù)

信息安全事件分類(lèi)分級(jí)指南（四）GB/T

20988-2007信息安全技術(shù)

信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（五）GB/T

24363-2009

信息安全技術(shù)

信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范（六）GBT

28517-2012

網(wǎng)絡(luò)安全事件描述和交換格式……法律法規(guī)、政策要求應(yīng)急事件分類(lèi)計(jì)算機(jī)病毒事件：病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。蠕蟲(chóng)事件：指網(wǎng)絡(luò)蠕蟲(chóng)，其表現(xiàn)形式為，內(nèi)外網(wǎng)主機(jī)遭受惡意代碼破壞或從外網(wǎng)發(fā)起對(duì)網(wǎng)絡(luò)的蠕蟲(chóng)感染。木馬事件：是指通過(guò)特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是控制端，另一個(gè)是被控制端。僵尸網(wǎng)絡(luò)事件：是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。域名劫持事件：是指通過(guò)攻擊域名解析服務(wù)器（DNS），或偽造域名解析服務(wù)器（DNS）的方法，把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的地址從而實(shí)現(xiàn)用戶無(wú)法訪問(wèn)目標(biāo)網(wǎng)站的目的。網(wǎng)絡(luò)仿冒事件：是指不法分子在互聯(lián)網(wǎng)上仿冒知名的電子交易站點(diǎn)（如銀行或拍賣(mài)網(wǎng)站）的網(wǎng)頁(yè)，誘使用戶訪問(wèn)假站點(diǎn)，騙取用戶的賬號(hào)和密碼等信息，從而竊取錢(qián)財(cái)。網(wǎng)頁(yè)篡改事件：是指攻擊者已經(jīng)獲取了網(wǎng)站的控制權(quán)限，將網(wǎng)頁(yè)篡改為非本網(wǎng)站的頁(yè)面。應(yīng)急事件分類(lèi)網(wǎng)頁(yè)掛馬事件：是指攻擊者已經(jīng)獲取了網(wǎng)站的控制權(quán)限，在網(wǎng)站上插入惡意代碼，以實(shí)現(xiàn)針對(duì)所有訪問(wèn)者進(jìn)行木馬攻擊事件。拒絕服務(wù)攻擊事件：拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。后門(mén)漏洞事件：是指攻擊者已經(jīng)獲取了網(wǎng)站或服務(wù)器權(quán)限，為實(shí)現(xiàn)長(zhǎng)久控制的目的，在網(wǎng)站或服務(wù)器上留下可再次進(jìn)入的后門(mén)程序。非授權(quán)訪問(wèn)事件：是指沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。垃圾郵件事件：是指未經(jīng)用戶許可（與用戶無(wú)關(guān)）就強(qiáng)行發(fā)送到用戶的郵箱中的任何電子郵件。其他網(wǎng)絡(luò)安全事件：其它未在上述定義的網(wǎng)絡(luò)安全事件。應(yīng)急事件分級(jí)對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度，劃分為：特別重要信息系統(tǒng)重要信息系統(tǒng)一般信息系統(tǒng)應(yīng)急事件分級(jí)分級(jí)要素-系統(tǒng)損失對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。分級(jí)要素-社會(huì)影響對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。應(yīng)急事件分級(jí)目錄contents應(yīng)急響應(yīng)概述我們要做什么應(yīng)急響應(yīng)流程相關(guān)法律法規(guī)1231應(yīng)急響應(yīng)流程4、根除階段應(yīng)急響應(yīng)流程-準(zhǔn)備階段應(yīng)急響應(yīng)的準(zhǔn)備是整個(gè)應(yīng)急響應(yīng)過(guò)程有效性的保證。因此，在應(yīng)急響應(yīng)實(shí)施前，應(yīng)該：進(jìn)行調(diào)研分析；確定應(yīng)急響應(yīng)的目標(biāo)；確定應(yīng)急響應(yīng)范圍；制定應(yīng)急響應(yīng)預(yù)案；制定應(yīng)急服務(wù)方案；簽署應(yīng)急響應(yīng)服務(wù)承諾書(shū)；應(yīng)急響應(yīng)工具準(zhǔn)備及更新維護(hù)；組建適當(dāng)?shù)墓芾砼c實(shí)施團(tuán)隊(duì)；制定預(yù)防和預(yù)警機(jī)制；應(yīng)急響應(yīng)流程-檢測(cè)階段確定檢測(cè)對(duì)象及范圍判斷是否為安全事件確定應(yīng)急處理方案明確檢測(cè)范圍與檢測(cè)行為規(guī)范預(yù)測(cè)應(yīng)急處理方案可能造成的影響應(yīng)急響應(yīng)流程-抑制階段明確抑制處理的目的明確抑制處理帶來(lái)的風(fēng)險(xiǎn)抑制處理方案應(yīng)急抑制的目的是限制安全事件對(duì)受保護(hù)信息系統(tǒng)造成影響的范圍和程度。應(yīng)急抑制是信息安全應(yīng)急響應(yīng)工作中的重要環(huán)節(jié)。在信息安全事件發(fā)生的第一時(shí)間內(nèi)對(duì)故障系統(tǒng)或區(qū)域?qū)嵤┯行У母綦x和處理，或者根據(jù)所擁有的資源狀況和事件的等級(jí)，采用臨時(shí)切換到備份系統(tǒng)等措施降低事件損失、避免安全事件的擴(kuò)散（例如蠕蟲(chóng)的大規(guī)模傳播）和安全事件對(duì)受害系統(tǒng)的持續(xù)性破壞，有利于應(yīng)急響應(yīng)工作人員對(duì)安全事件做出迅速、準(zhǔn)確的判斷并采取正確的應(yīng)對(duì)策略。應(yīng)急抑制過(guò)程中，重要的是確保業(yè)務(wù)連續(xù)性，應(yīng)盡量保證在備份系統(tǒng)中完全運(yùn)行原來(lái)的業(yè)務(wù)。如果出現(xiàn)資源緊張，應(yīng)盡可能保證重要資產(chǎn)優(yōu)先運(yùn)行，維持最基本的業(yè)務(wù)能力。將檢測(cè)到的結(jié)果跟客戶進(jìn)行充分溝通，告知客戶目前面臨的主要問(wèn)題，及處理方法。應(yīng)急響應(yīng)流程-根除階段確定根除方案明確風(fēng)險(xiǎn)事件根除記錄應(yīng)急響應(yīng)流程-恢復(fù)階段明確風(fēng)險(xiǎn)重建系統(tǒng)數(shù)據(jù)備份安裝新操作系統(tǒng)配置基線及訪問(wèn)控制數(shù)據(jù)恢復(fù)上線測(cè)試應(yīng)急演練應(yīng)急響應(yīng)流程-跟進(jìn)階段從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)非常關(guān)鍵，不停的自我完善的防護(hù)體系和策略才是最好的安全設(shè)計(jì)思路。將每次安全事故的表現(xiàn)和處理步驟發(fā)布在內(nèi)部的信息安全發(fā)布站點(diǎn)上，方便以后內(nèi)部出現(xiàn)同樣攻擊事件后處理。對(duì)于內(nèi)部需要改善和做出調(diào)整的安全配置在內(nèi)部網(wǎng)絡(luò)中及時(shí)發(fā)布更新策略。Thanks應(yīng)急響應(yīng)培訓(xùn)應(yīng)急流程概述我們要做什么目錄contents各類(lèi)事件流程樣例2應(yīng)急響應(yīng)流程概述1應(yīng)急概述應(yīng)急概述：事件定性性質(zhì)決定手法、手法留有痕跡典型Web系統(tǒng)網(wǎng)絡(luò)架構(gòu)應(yīng)急概述：攻擊過(guò)程應(yīng)急概述：攻擊手法應(yīng)急概述：攻擊手法應(yīng)急概述：攻擊手法應(yīng)急概述：還原手法我們要做什么目錄contents應(yīng)急響應(yīng)流程概述各類(lèi)事件流程樣例121應(yīng)急響應(yīng)涉及面應(yīng)急響應(yīng)WindowsLinux操作系統(tǒng)OSIIS、Tomcat、Jboss、weblogic、websphere……中間件Middleware數(shù)據(jù)庫(kù)DataBaseMysql、Sqlserver、Oracle、Redis……網(wǎng)絡(luò)流量Net

Flow網(wǎng)絡(luò)&安全設(shè)備N(xiāo)et&Sec

DeviceHTTP(S)、TCP、UDP、專(zhuān)有協(xié)議……交換機(jī)、防火墻、IDS/IPS、態(tài)勢(shì)感知……勒索病毒應(yīng)急流程挖礦木馬應(yīng)急流程網(wǎng)絡(luò)攻擊應(yīng)急流程數(shù)據(jù)泄露應(yīng)急流程網(wǎng)頁(yè)篡改應(yīng)急流程應(yīng)急響應(yīng)涉及面應(yīng)急響應(yīng)WindowsLinux操作系統(tǒng)OSIIS、Tomcat、Jboss、weblogic、websphere……中間件Middleware數(shù)據(jù)庫(kù)DataBaseMysql、Sqlserver、Oracle、Redis……網(wǎng)絡(luò)流量Net

Flow網(wǎng)絡(luò)&安全設(shè)備N(xiāo)et&Sec

DeviceHTTP(S)、TCP、UDP、專(zhuān)有協(xié)議……交換機(jī)、防火墻、IDS/IPS、態(tài)勢(shì)感知……Thanks應(yīng)急響應(yīng)培訓(xùn)Linux應(yīng)急我們要做什么目錄contentsLinux檢查工具2Linux手工檢查項(xiàng)1手工檢查項(xiàng)總結(jié)1、系統(tǒng)檢查項(xiàng)1、查看系統(tǒng)版本：lsb_release

-a

//適用所有Linux發(fā)行版(RedHat、SUSE、Debian…)cat/etc/issue

//適用所有Linux發(fā)行版cat/etc/redhat-release

//適用Redhat系的Linuxcat/etc/os-release2、查看系統(tǒng)內(nèi)核版本：1）cat/proc/version2）uname

-a2、賬號(hào)檢查項(xiàng)1、用戶信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash用戶名：密碼：用戶ID：組ID：用戶說(shuō)明：家目錄：登陸之后shell注:

超級(jí)用戶ID=0，普通用戶ID=500-，偽用戶ID=1-4992、/etc/shadow3、/etc/sudoers除root帳號(hào)外，其他帳號(hào)是否存在sudo權(quán)限。如非管理需要，普通帳號(hào)應(yīng)刪除sudo權(quán)限。賬號(hào)檢查項(xiàng)last #顯示所有用戶最近登陸信息，默認(rèn)讀取/var/log/wtmp日志文件。格式：用戶名

終端(pts/tty)登陸IP/內(nèi)核

星期月日開(kāi)始時(shí)間-結(jié)束時(shí)間

持續(xù)時(shí)間lastlog

#顯示所有用戶最近一次登陸信息，默認(rèn)讀取/var/log/lastlog日志文件。格式：用戶名

終端

登陸IP

最后登陸時(shí)間賬號(hào)檢查項(xiàng)3)

lastb #顯示登錄系統(tǒng)失敗的用戶信息，默認(rèn)讀取/var/log/btmp日志文件格式：用戶名

終端

嘗試IP

星期月日開(kāi)始時(shí)間-結(jié)束時(shí)間

持續(xù)時(shí)間3、操作歷史檢查項(xiàng)1、root的歷史命令history[root@localhost~]#history

>>history.txt2、/home下各帳號(hào)目錄的.bash_history，查看普通帳號(hào)的歷史命令[root@localhost~]#less

/home/xxx/.bash_history4、網(wǎng)絡(luò)檢查項(xiàng)netstat–antlp|

moreWEB服務(wù)：80、443、8080系統(tǒng)服務(wù)：21、22、23DB服務(wù)：3306、1521、63795、進(jìn)程檢查項(xiàng)用top命令查看資源(cpu/mem)占用率，并按C鍵通過(guò)占用率排序進(jìn)程檢查項(xiàng)1、psaux|

grep$pid|

grep-vgrep字段：用戶,進(jìn)程ID,CPU使用比,內(nèi)存使用比,虛擬內(nèi)存,固定內(nèi)存,狀態(tài),啟動(dòng)時(shí)間,使用時(shí)間,命令2、ps

-ef字段：用戶,進(jìn)程ID,父進(jìn)程ID,CPU使用率,系統(tǒng)啟動(dòng)時(shí)間,終端,CPU使用時(shí)間,CMD進(jìn)程檢查項(xiàng)3、用lsof命令，查找進(jìn)程路徑lsof-i:1677 查看指定端口對(duì)應(yīng)的程序lsof-p

1234 檢查pid號(hào)為1234進(jìn)程調(diào)用情況4、用ls命令查看下pid所對(duì)應(yīng)的進(jìn)程文件路徑：ls-l

/proc/$PID/exe或file/proc/$PID/exe($PID為對(duì)應(yīng)進(jìn)程號(hào))6、開(kāi)機(jī)啟動(dòng)檢查項(xiàng)啟動(dòng)項(xiàng)排查：ls

-alt

/etc/init.d/ //查看常規(guī)啟動(dòng)項(xiàng)ls

-alt

/etc/rc[0~6].d //查看其他運(yùn)行級(jí)別的啟動(dòng)項(xiàng)ls

-alt

/etc/rc.d/rc[0~6].d//rc[0~6].d中0~6

代表運(yùn)行級(jí)別chkconfig–list7、定時(shí)任務(wù)檢查項(xiàng)1、查看是否有可疑任務(wù)：crontab–l或cat/etc/crontab

或more/etc/crontab2、查詢用戶的任務(wù)：crontab-uroot–l定時(shí)任務(wù)檢查項(xiàng)MinuteHourDayMonthWeek

command分鐘

小時(shí)

天

月

星期

命令0-59 0-231-311-120-6

command定時(shí)任務(wù)檢查項(xiàng)其他定時(shí)任務(wù)目錄文件：/etc/cron.d/* //存放系統(tǒng)級(jí)任務(wù)的任務(wù)文件/etc/cron.hourly/* //存放每小時(shí)任務(wù)/etc/cron.daily/* //存放每日任務(wù)/etc/cron.weekly/* //存放每周任務(wù)/etc/cron.monthly/* //存放每月任務(wù)/etc/anacrontab //存放系統(tǒng)級(jí)的任務(wù)/var/spool/cron/* //放各個(gè)用戶的任務(wù)文件計(jì)劃任務(wù)的日志：/var/log/cron*8、服務(wù)檢查項(xiàng)chkconfig

--list

查看服務(wù)自啟動(dòng)狀態(tài)，可以看到所有的RPM包安裝的服務(wù)psaux|

grep

crond

查看當(dāng)前服務(wù)9、異常文件檢查項(xiàng)查看指定目錄文件：

ls

/

-alt 或ls-alt|head-n

10查找777的權(quán)限的文件：

find

/

*

-perm777

或ls–l

/查找隱藏文件：

ls

–a

/異常文件檢查項(xiàng)查找訪問(wèn)的文件：find/root/-atimen //n表示n天之前的“一天之內(nèi)”被訪問(wèn)過(guò)的文件find

/root/-atime+n //列出在n天之前（不包含n天本身）被訪問(wèn)過(guò)的文件find/root/

-atime-n //列出在n天之內(nèi)（包含n天本身）被訪問(wèn)過(guò)的文件查找2天內(nèi)新增的文件：

find

/root/

-ctime

-2//新增文件10、系統(tǒng)日志檢查項(xiàng)1、常見(jiàn)日志文件：/var/log/wtmp 記錄所有用戶最近登陸信息，用last命令查看/var/log/lastlog 記錄用戶最后一次登錄的信息，用lastlog命令查看/var/log/btmp 記錄登錄系統(tǒng)失敗的用戶信息，用lastb命令查看/var/log/utmp 記錄當(dāng)前正登錄的用戶及其執(zhí)行信息，用who或w命令查看/var/log/message

記錄系統(tǒng)重要信息(異常錯(cuò)誤等)信息/var/log/secure記錄安全相關(guān):驗(yàn)證授權(quán),賬號(hào)密碼信息，如ssh登陸su切換sudo授權(quán)/var/log/cron 記錄定時(shí)任務(wù)執(zhí)行相關(guān)的日志信息/var/log/auth.log包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等/var/log/userlog

記錄所有等級(jí)用戶信息的日志系統(tǒng)日志檢查項(xiàng)系統(tǒng)日志檢查項(xiàng)查看登錄成功的信息：cat

/var/log/secure查看登錄成功的IP：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|moregrep"Accepted"/var/log/auth.log|awk'{print$11}'|sort|uniq-c|sort-nr|

more11、防火墻檢查項(xiàng)查看本機(jī)關(guān)于IPTABLES的設(shè)置情況:

iptables-L

–n12、安裝包檢查項(xiàng)校驗(yàn)所有的RPM軟件包,查找丟失的文件:rpm

-Va病毒后門(mén)查殺檢查項(xiàng)后門(mén)排查：Chkrootkit：

/Magentron/chkrootkit

Rkhunter：/installation/rkhunter

LnuxCheck：/al0ne/LinuxCheck手工檢查項(xiàng)總結(jié)目錄contentsLinux手工檢查項(xiàng)我們要做什么Linux檢查工具121Linux

檢查工具whohk：進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\用戶等下載：/heikanet/whohk河馬：webshell查殺簡(jiǎn)介：擁有海量webshell樣本和自主查殺技術(shù)，采用傳統(tǒng)特征+云端大數(shù)據(jù)雙引擎的查殺技術(shù)。查殺速度快、精度高、誤報(bào)低。兼容性：支持Windows、linux，支持在線查殺。地址：https:///河馬：webshell查殺河馬：webshell查殺河馬：webshell查殺360星圖：日志分析介紹：360星圖：360旗下開(kāi)拓的站點(diǎn)日記分析工具，使用360站點(diǎn)衛(wèi)士中心數(shù)據(jù)分析模塊，云+端聯(lián)動(dòng)分析，轉(zhuǎn)變?yōu)槿碌腤eb日記分析系統(tǒng)，深刻分析黑客襲擊行動(dòng)和非常訪問(wèn)，譬如Web漏洞襲擊辨認(rèn)、CC襲擊辨認(rèn)、惡意爬蟲(chóng)掃描辨認(rèn)、非常訪問(wèn)辨認(rèn)等。使用：這一行填寫(xiě)日記路徑，可以目錄或文件1）修改配置：/conf/config.ini

文件中的log_file項(xiàng):2）執(zhí)行start.bat主動(dòng)處置日記。3）生成結(jié)果在result目錄。360星圖：日志分析360星圖：日志分析Thanks應(yīng)急響應(yīng)培訓(xùn)Windows應(yīng)急我們要做什么目錄contentsWindows檢查工具2Windows手工檢查項(xiàng)1手工檢查項(xiàng)總結(jié)1、“系統(tǒng)”檢查項(xiàng)msimfo32“系統(tǒng)”檢查項(xiàng)systeminfo“系統(tǒng)”檢查項(xiàng)/Home.aspx2、“網(wǎng)絡(luò)”檢查項(xiàng)檢查監(jiān)聽(tīng)端口、檢查端口連接情況，是否有可疑連接netstat-abno|findstr

"LISTENING"netstat-abno|findstr

"ESTABLISHED"“網(wǎng)絡(luò)”檢查項(xiàng)常見(jiàn)高危端口：WEB服務(wù)：80、443、8080等系統(tǒng)服務(wù)：3389、445、139DB服務(wù)：1433、3306、1521、63793、“賬戶”檢查項(xiàng)查看是否存在可疑賬號(hào)、新增賬號(hào)方法1：打開(kāi)cmd

窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶，如有，請(qǐng)立即禁用或刪除掉。“賬戶”檢查項(xiàng)查看是否有賬號(hào)弱口令方法1：據(jù)實(shí)際情況咨詢相關(guān)服務(wù)器管理員。嘗試簡(jiǎn)單密碼“賬戶”檢查項(xiàng)查看是否存在隱藏賬號(hào)、克隆賬號(hào)方法1：WIN+R，輸入regedit打開(kāi)注冊(cè)表編輯器，找到以下鍵值HKEY_LOCAL_MACHINE/SAM\SAM/Domains/Account/Users/Names“賬戶”檢查項(xiàng)查看是否存在隱藏賬號(hào)、克隆賬號(hào)方法2：使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能；4、“操作記錄”檢查項(xiàng)命令執(zhí)行歷史1、WIN+R

鍵—打開(kāi)框中輸入cmd2、Cmd窗口關(guān)閉前:

按F7、doskey

/HISTORY、上下箭來(lái)查看歷史?！安僮饔涗洝睓z查項(xiàng)應(yīng)用程序運(yùn)行歷史：1、執(zhí)行過(guò)的程序記錄：C:/Windows/Prefetch瀏覽器歷史：1、Edge：菜單--歷史記錄2、Chrome：菜單--歷史記錄3、Firfox：菜單--我的足跡--歷史4、360SE：5、“啟動(dòng)項(xiàng)”檢查項(xiàng)1）檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)方法1：Win+R輸入msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目.“啟動(dòng)項(xiàng)”檢查項(xiàng)1）檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)方法2：Win+R輸入regedit，打開(kāi)注冊(cè)表，查看開(kāi)機(jī)啟動(dòng)項(xiàng)是否正常，如下三個(gè)注冊(cè)表項(xiàng)：HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce方法3：使用工具查看啟動(dòng)項(xiàng)：D盾_web查殺，PChunter，火絨劍等?！皢?dòng)項(xiàng)”檢查項(xiàng)2）檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。利用殺毒軟件進(jìn)行判斷等。組策略，運(yùn)行g(shù)pedit.msc。6、“計(jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)方法1：?jiǎn)螕簟鹃_(kāi)始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。“計(jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)方法2：WIN+R，輸入taskschd.msc“計(jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)方法3：schtasks/query//所有任務(wù)“計(jì)劃任務(wù)”檢查項(xiàng)檢查計(jì)劃任務(wù)C:/Windows/System32/Tasks

該目錄一個(gè)文件對(duì)應(yīng)一個(gè)任務(wù)。當(dāng)系統(tǒng)不能啟動(dòng)時(shí)，可在PE進(jìn)入拷貝出來(lái)后用notepad++查看7、“防火墻”檢查項(xiàng)方法：設(shè)置-->更新和安全-->Windows安全中心-->防火墻和網(wǎng)絡(luò)保護(hù)-->高級(jí)設(shè)置入站規(guī)則：可設(shè)置允許/阻斷某個(gè)服務(wù)端口“防火墻”檢查項(xiàng)方法：設(shè)置-->更新和安全-->Windows安全中心-->防火墻和網(wǎng)絡(luò)保護(hù)-->高級(jí)設(shè)置出站規(guī)則：可設(shè)置允許/阻斷某個(gè)或所有程序外連接8、“進(jìn)程”檢查項(xiàng)查看異常進(jìn)程：方法1(任務(wù)管理器)：直接打開(kāi)任務(wù)管理器—詳細(xì)信息“進(jìn)程”檢查項(xiàng)方法2(命令查看)：wmic

process

list

brief

//查詢所有進(jìn)程wmicprocess

get

name,processid,executablepath

//查詢進(jìn)程名ID路徑wmicprocess

whereprocessed=””

getname,executablepath

//根據(jù)ID查進(jìn)程名路徑“進(jìn)程”檢查項(xiàng)方法2(命令查看)：wmic

process

list

brief

//查詢所有進(jìn)程wmicprocess

get

name,processid,executablepath

//查詢進(jìn)程名ID路徑wmicprocess

whereprocessed=””

getname,executablepath

//根據(jù)ID查進(jìn)程名路徑“進(jìn)程”檢查項(xiàng)方法3(其他工具)D盾_web查殺工具：查看可疑進(jìn)程；D盾_web查殺工具：查看可疑進(jìn)程；火絨劍：“進(jìn)程”檢查項(xiàng)殺死異常進(jìn)程：方法1：上述工具中右鍵可疑進(jìn)程—選擇結(jié)束進(jìn)程即可方法2：cmd中先用tasklist

列出進(jìn)程(名+ID)，再用(taskkill

/im

進(jìn)程名/f)

或(taskkill

/pid進(jìn)程ID)(解釋:

/im

立即

/f強(qiáng)制結(jié)束進(jìn)程)“進(jìn)程”檢查項(xiàng)進(jìn)程文件定位：netstat-ano|

more

//查看目前的網(wǎng)絡(luò)監(jiān)聽(tīng)或連接，定位可疑的進(jìn)程IDtasklist

|findstr

“PID”//根據(jù)以上查到的pid，再用tasklist命令定位進(jìn)程文件wmicprocess

|findstr

"xxx.exe"http://獲取進(jìn)程全路徑“進(jìn)程”檢查項(xiàng)進(jìn)程文件定位：netstat-ano|

more

//查看目前的網(wǎng)絡(luò)監(jiān)聽(tīng)或連接，定位可疑的進(jìn)程IDtasklist

|findstr

“PID”//根據(jù)以上查到的pid，再用tasklist命令定位進(jìn)程文件wmicprocess

|findstr

"xxx.exe"http://獲取進(jìn)程全路徑wmicprocess

where

name="cmd.exe"

get

processid,executablepath//根據(jù)進(jìn)程名或ID獲取路徑“進(jìn)程”檢查項(xiàng)進(jìn)程文件定位：方法2：任務(wù)管理器---進(jìn)程—進(jìn)程右鍵—打開(kāi)文件所在位置9、“安裝包”檢查項(xiàng)10、“服務(wù)”檢查項(xiàng)服務(wù)自啟動(dòng)方法：Win+R，輸入services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類(lèi)型，檢查是否有異常服務(wù)。11、“文件”檢查項(xiàng)痕跡查找常見(jiàn)方法：1）回收站2）下載目錄：各瀏覽器下載目錄3）最近使用的文件：開(kāi)始--運(yùn)行--%UserProfile%/Recent

或Recent開(kāi)始--運(yùn)行--%userprofile%/AppData/Roaming/Microsoft/Windows/Recent/4）文件搜索歷史：資源管理器—搜索—最近搜索的內(nèi)容5）搜索新增文件：資源管理器—搜索—修改日期(選擇天數(shù))6）命令執(zhí)行歷史：7）應(yīng)用程序打開(kāi)歷史：8）瀏覽器歷史記錄：9）臨時(shí)文件目錄Temp：%UserProfile%/Local

Settings/temp10）文件歷史記錄：控制面板\系統(tǒng)和安全\文件歷史記錄(要事先啟用才記錄)12、“日志”檢查項(xiàng)Windows日志：應(yīng)用程序：記錄安裝的應(yīng)用程序執(zhí)行信息，警告，錯(cuò)誤安全：記錄系統(tǒng)及程序安全相關(guān)的信息，包含諸如有效和無(wú)效的登錄嘗試等事件，以及與資源使用相關(guān)的事件，如創(chuàng)建、打開(kāi)或刪除文件或其他對(duì)象。管理員可以指定在安全日志中記錄什么事件。例如，如果已啟用登錄審核，則安全日志將記錄對(duì)系統(tǒng)的登錄嘗試：Logon/SpecialLogon登錄/特殊登錄User

Account

Management用戶帳戶管理Security

Group

Management安全組管理Security

StateChange安全狀態(tài)改變Authentication

PolicyChange身份驗(yàn)證策略更改AuditPolicy

Change審核策略更改System

Integrity系統(tǒng)完整性O(shè)therPolicy

ChangeEvents其他政策變更事件OtherSystem

Events其他系統(tǒng)事件系統(tǒng)：記錄系統(tǒng)服務(wù)組件的運(yùn)行信息,警告，錯(cuò)誤Setup：記錄系統(tǒng)程序/更新補(bǔ)丁安裝“日志”檢查項(xiàng)Windows日志文件路徑：Windows2000/2003/XP日志路徑：C:/Windows/System32/Config/*.evtWindowsVista/7/10/2008日志路徑:

C:/Windows/System32/winevt/Logs/*.evtx該路徑下存放所有系統(tǒng)日志evt文件，無(wú)法進(jìn)入系統(tǒng)時(shí)用PE引導(dǎo)拷貝出來(lái)，在用其他系統(tǒng)的事件查看器打開(kāi)查看。“日志”檢查項(xiàng)安全日志事件類(lèi)型ID：Event

ID(2000/XP/2003)Event

ID(Vista/7/8/2008/2012)描述日志名稱(chēng)5284624成功登錄Security5294625失敗登錄Security6804776成功/失敗的賬戶認(rèn)證Security6244720創(chuàng)建用戶Security6364732添加用戶到啟用安全性的本地組中Security6324728添加用戶到啟用安全性的全局組中Security29347030服務(wù)創(chuàng)建錯(cuò)誤System29447040IPSEC服務(wù)服務(wù)的啟動(dòng)類(lèi)型已從禁用更改為自動(dòng)啟動(dòng)System29497045服務(wù)創(chuàng)建System“日志”檢查項(xiàng)日志查看：方法1：Windows自帶事件查看器打開(kāi)運(yùn)行Win+R，輸入“eventvwr.msc”，回車(chē)啟動(dòng)事件查看器。點(diǎn)擊windows日志/安全“日志”檢查項(xiàng)日志查看：方法1：Windows自帶事件查看器打開(kāi)運(yùn)行Win+R，輸入“eventvwr.msc”，回車(chē)啟動(dòng)事件查看器。點(diǎn)擊windows日志/安全1）查看網(wǎng)絡(luò)登錄成功記錄：(篩選器--事件ID

4624)（注意成功登錄時(shí)間）“日志”檢查項(xiàng)日志查看：方法1：Windows自帶事件查看器打開(kāi)運(yùn)行Win+R，輸入“eventvwr.msc”，回車(chē)啟動(dòng)事件查看器。點(diǎn)擊windows日志/安全2）查看登錄失敗記錄：(事件ID4625/529)如果存在大量的登錄失敗，說(shuō)明存在爆破嘗試；注意開(kāi)始爆破時(shí)間“日志”檢查項(xiàng)日志查看：方法2：導(dǎo)出安全日志，利用文本工具或LogParser進(jìn)行分析?！叭罩尽睓z查項(xiàng)日志查看：方法2：導(dǎo)出安全日志，利用文本工具或LogParser進(jìn)行分析。13、“內(nèi)存”檢查項(xiàng)Volatility：https:///zaqzzz/p/10350989.htmlhttps:///sesefadou/p/11804566.html/qq_45951598/article/details/110914935手工檢查項(xiàng)總結(jié)目錄contentsWindows手工檢查項(xiàng)我們要做什么Windows檢查工具121Windows檢查工具火絨：進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等PCHunter

:

進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等Power

Tools:

進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等Procexp

:

進(jìn)程\網(wǎng)絡(luò)\啟動(dòng)項(xiàng)\注冊(cè)表等D盾：Webshell查殺牧云：Webshell查殺Sangfor

webShellKiller:

Webshell查殺Log

Parser:

日志分析LogParser：下載地址：https:///en-us/download/details.aspx?id=24659工具簡(jiǎn)介：LogParse是一個(gè)功能強(qiáng)大的通用工具，它提供對(duì)基于文本的數(shù)據(jù)（如日志文件、XML文件和CSV文件）以及Windows?操作系統(tǒng)上的關(guān)鍵數(shù)據(jù)源（如事件日志、注冊(cè)表、文件系統(tǒng)和活動(dòng)目錄）的通用查詢?cè)L問(wèn)。Log

Parser:

日志分析1)啟動(dòng)軟件并打開(kāi)日志文件:語(yǔ)句為：select

*

from

‘path/to/logfile’Log

Parser:

日志分析2)取消不需要的字段：Log

Parser:

日志分析3)過(guò)濾器使用：Log

Parser:

日志分析4)

編輯過(guò)濾器360星圖：日志分析360星圖：介紹：360星圖：360旗下開(kāi)拓的站點(diǎn)日記分析工具，使用360站點(diǎn)衛(wèi)士中心數(shù)據(jù)分析模塊，云+端聯(lián)動(dòng)分析，轉(zhuǎn)變?yōu)槿碌腤eb日記分析系統(tǒng)，深刻分析黑客襲擊行動(dòng)和非常訪問(wèn)，譬如Web漏洞襲擊辨認(rèn)、CC襲擊辨認(rèn)、惡意爬蟲(chóng)掃描辨認(rèn)、非常訪問(wèn)辨認(rèn)等。使用：修改配置：/conf/config.ini

文件中的log_file項(xiàng): 這一行填寫(xiě)日記路徑，可以目錄或文件執(zhí)行start.bat主動(dòng)處置日記。3）生成結(jié)果在result目錄。360星圖：日志分析360星圖：日志分析Thanks應(yīng)急響應(yīng)培訓(xùn)中間件應(yīng)急中間件類(lèi)型中間件常見(jiàn)漏洞1、IIS漏洞2、Apache漏洞3、Nginx漏洞4、Tomcat漏洞5、Jboss漏洞6、WebLogic漏洞7、其它中間件相關(guān)漏洞中間件日志Apache日志路徑Nginx日志路徑IIS日志路徑IIS日志路徑Tomcat日志路徑Jboss日志路徑Weblogic日志路徑默認(rèn)配置情況下，WebLogic會(huì)有三種日志，分別是accesslog,

Server

log和domain

log$MW_HOME是WebLogic的安裝目錄<domain_name>是域的實(shí)際名稱(chēng)，是在創(chuàng)建域的時(shí)候指定的<server_name>是Server的實(shí)際名稱(chēng)，是在創(chuàng)建Server的時(shí)候指定的<adminserver_name>是AdminServer的實(shí)際名稱(chēng)，是在創(chuàng)建Admin

Server的時(shí)候指定的Websphere日志路徑中間件日志分析案例題目1近日一網(wǎng)站運(yùn)維人員查看日志文件，發(fā)現(xiàn)有人對(duì)服務(wù)器做掃描攻擊，請(qǐng)大家分析此文件，找出這個(gè)IP地址。題目2某公司安全工程師發(fā)現(xiàn)公司有黑客入侵并拖庫(kù)的痕跡，你能幫忙找一下黑客拖庫(kù)的IP地址嗎？題目3發(fā)現(xiàn)有人連接過(guò)一個(gè)一句話的WebShell，請(qǐng)找到連接WebShell的IP地址。題目4根據(jù)提供的日志，其中有一個(gè)IP通過(guò)SQL注入方式拿到了管理員的賬戶密碼，找到這個(gè)IP地址。Thanks應(yīng)急響應(yīng)培訓(xùn)數(shù)據(jù)庫(kù)應(yīng)急常見(jiàn)數(shù)據(jù)庫(kù)計(jì)數(shù)據(jù)表明，在所安全事害25%,

技術(shù)錯(cuò)誤占 員作案占10%，

僅有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70數(shù)據(jù)庫(kù)檢查項(xiàng)1、數(shù)據(jù)庫(kù)排查流程數(shù)據(jù)庫(kù)檢查通用流程：1）確定數(shù)據(jù)庫(kù)類(lèi)型及版本2）數(shù)據(jù)庫(kù)是否未授權(quán)訪問(wèn)3）檢查數(shù)據(jù)庫(kù)賬號(hào)安全(弱口令、可疑賬號(hào))4）檢查用戶連接登錄情況(用戶名、角色、創(chuàng)建日期、最近登錄日期、登錄失敗)5）數(shù)據(jù)庫(kù)語(yǔ)句執(zhí)行歷史(系統(tǒng)命令執(zhí)行，數(shù)據(jù)篡改等)6）數(shù)據(jù)庫(kù)是否泄露數(shù)據(jù)(數(shù)據(jù)庫(kù)文件有無(wú)訪問(wèn)拷貝,是否有數(shù)據(jù)導(dǎo)出命令，是否有大量查詢)7）數(shù)據(jù)庫(kù)日志檢查（日志類(lèi)型,存放目錄）8）數(shù)據(jù)庫(kù)漏洞檢查（提權(quán)，代碼執(zhí)行）常見(jiàn)的數(shù)據(jù)庫(kù)攻擊包括未授權(quán)訪問(wèn)、弱口令、SQL注入、提升權(quán)限、代碼執(zhí)行、竊取備份等。2、mssql

排查計(jì)數(shù)據(jù)表明，在所安全事害25%,

技術(shù)錯(cuò)誤占 員作案占10%，

僅有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70數(shù)據(jù)庫(kù)版本確定：2、mssql

排查檢查數(shù)據(jù)庫(kù)賬號(hào)安全(弱口令、空口令、可疑賬號(hào))：用客戶端直接連接服務(wù)器而未進(jìn)行身份驗(yàn)證(空密碼)登錄成功可咨詢管理員用客戶端連接后嘗試簡(jiǎn)單的用戶密碼或默認(rèn)密碼的登錄2、mssql

排查計(jì)數(shù)據(jù)表明，在所安全事害25%,

技術(shù)錯(cuò)誤占 員作案占10%，

僅有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70用戶及連接登錄情況：1、查看用戶最后一次登陸時(shí)間：select

loginname,accdate

from

sys.syslogins2、查看客戶端的連接：Select*

from

sys.dm_exec_connections2、mssql

排查計(jì)數(shù)據(jù)表明，在所安全事害25%,

技術(shù)錯(cuò)誤占 員作案占10%，

僅有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70查看當(dāng)前用戶的執(zhí)行：sp_who

'sa'

或sp_who

'WIN-S8BL8USPTOG\Administrator'2、mssql

排查計(jì)數(shù)據(jù)表明，在所安全事害25%,

技術(shù)錯(cuò)誤占 員作案占10%，

僅有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70日志功能配置：?jiǎn)⒂萌罩居涗浌δ埽J(rèn)配置僅限失敗的登錄，修改為失敗和成功的登錄，這樣就可以對(duì)用戶登錄進(jìn)行審核。2、mssql

排查計(jì)數(shù)據(jù)表明，在所安全事害25%,

技術(shù)錯(cuò)誤占 員作案占10%，

僅有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70存儲(chǔ)過(guò)程查看日志：execxp_readerrorlogexec

sys.sp_readerrorlog3、mysql

排查計(jì)數(shù)據(jù)表明，在所安全事害25%,

技術(shù)錯(cuò)誤占 員作案占10%，

僅有3%左右是由外部不法人員的攻擊造管理方面的原因比重高達(dá)70showvariables

like

'log'; 查看查詢?nèi)罩臼欠耖_(kāi)啟3、mysql

排查利用shell命令進(jìn)行簡(jiǎn)單的分析：#有哪些IP在爆破：grep

"Accessdenied"mysql.log

|cut

-d"'"-f4|uniq-c|sort

-nr#爆破用戶名字典都有哪些：grep

"Access

denied"mysql.log|cut

-d"'"

-f2|uniq-c|sort

-nr4、其他數(shù)據(jù)庫(kù)排查Oracle數(shù)據(jù)庫(kù)日志路徑日志默認(rèn)路徑：%ORACLE%/rdbms/log非默認(rèn)路徑時(shí)執(zhí)行語(yǔ)句SQL>showparameter

dump_dest得出background_dump_dest的值為日志路徑PostgreSQL數(shù)據(jù)庫(kù)日志路徑日志路徑：Linux：/var/log/progresql/Widnows：%progresql%\log\Redis數(shù)據(jù)庫(kù)日志路徑Linux：/var/log/redis/redis.logWindwos：%redis%/log/redis.logmongoDB數(shù)據(jù)庫(kù)日志路徑日志默認(rèn)路徑:Linux：/var/log/mongodb/mongod.logWindows:%mongodn%/log/Thanks應(yīng)急響應(yīng)培訓(xùn)案例介紹（上）PA

R

T tw

o勒索病

毒0

1勒索病毒勒索病毒勒索病毒事件流程案例：某公司勒索病毒事件勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱(chēng)某公司(簡(jiǎn)稱(chēng)”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。應(yīng)急結(jié)論：攻擊者通過(guò)IP:58

(上海電信）、IP:54(北京阿里云）于2020-10-17

15:26左右，使用系統(tǒng)賬戶VA_03通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程登錄用友U8系統(tǒng)服務(wù)器，并開(kāi)始進(jìn)行上傳和釋放勒索病毒程序。隨后用友U8系統(tǒng)服務(wù)器于2020-10-1719:29

和22:29分使用管理員賬戶通過(guò)局域網(wǎng)登錄個(gè)人辦公電腦，該電腦部分文件于2020-10-17

22:37左右被進(jìn)行病毒感染和完成文件加密。后續(xù)：協(xié)助客戶報(bào)警處置，應(yīng)急報(bào)告提交公安機(jī)關(guān)。協(xié)助可以重裝電腦，并加固操作系統(tǒng)。PA

R

T Tw

o挖礦病

毒0

2挖礦木馬挖礦木馬案例：某校園服務(wù)器感染挖礦病毒事件挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。綜合上述特征比較，確認(rèn)該木馬程序?yàn)閘inux挖礦木馬systemdMiner，該木馬通過(guò)bash命令下載執(zhí)行多個(gè)功能模塊，通過(guò)SSH暴力破解、SSH免密登錄利用、Hadoop

Yarn未授權(quán)訪問(wèn)漏洞和自動(dòng)化運(yùn)維工具內(nèi)網(wǎng)擴(kuò)散，且該木馬的文件下載均利用暗網(wǎng)代理，感染后會(huì)清除主機(jī)上的其他挖礦木馬，以達(dá)到資源獨(dú)占的目的，該病毒行為特征圖如下：挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。應(yīng)急結(jié)論：被通報(bào)的校園網(wǎng)攻擊事件應(yīng)為由挖礦木馬程序在嘗試進(jìn)行內(nèi)網(wǎng)擴(kuò)散時(shí)掃描攻擊產(chǎn)生，該木馬的下載定時(shí)任務(wù)、進(jìn)程由賬戶yuanfa創(chuàng)建和運(yùn)行，判斷該挖礦木馬可能為通過(guò)Hadoop

Yarn未授權(quán)訪問(wèn)漏洞或弱口令用戶漏洞進(jìn)行植入，疑似攻擊源IP為。后續(xù)：疑似攻擊源IP為交由客戶繼續(xù)跟進(jìn)，事件結(jié)束。P

A

R

T

T

h

r

e

e入侵攻擊事件0

3入侵攻擊事件入侵攻擊事件入侵事件應(yīng)急響應(yīng)流程案例：某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱(chēng)“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。應(yīng)急結(jié)論：初步判斷xxxx公司的服務(wù)器（IP:00）最早于2019-5-7日已遭受攻擊并獲取管理員權(quán)限進(jìn)入到公司內(nèi)網(wǎng)，攻擊者再隨后的時(shí)間不定期的通過(guò)已建立的后門(mén)通道進(jìn)行內(nèi)網(wǎng)訪問(wèn)其它服務(wù)器的文件目錄。攻擊者在2020-9-4重新進(jìn)入內(nèi)網(wǎng)并執(zhí)行本地密碼讀取工具，獲得域控管理員權(quán)限，訪問(wèn)多臺(tái)內(nèi)網(wǎng)其它服務(wù)器，并最后在2020-9-25日再次進(jìn)入xxxx公司內(nèi)網(wǎng)并開(kāi)始執(zhí)行拷貝項(xiàng)目相關(guān)文檔的操作。PA

R

T Tw

o數(shù)據(jù)泄露事件0

4數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件案例：某學(xué)校數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱(chēng)某學(xué)校（簡(jiǎn)稱(chēng)“某學(xué)校”）

存在Elasticsearch未授權(quán)訪問(wèn)漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱(chēng)某學(xué)校（簡(jiǎn)稱(chēng)“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問(wèn)漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱(chēng)某學(xué)校（簡(jiǎn)稱(chēng)“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問(wèn)漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱(chēng)某學(xué)校（簡(jiǎn)稱(chēng)“某學(xué)校”）

存在Elasticsearch未授權(quán)訪問(wèn)漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱(chēng)某學(xué)校（簡(jiǎn)稱(chēng)“某學(xué)校”）

存在Elasticsearch未授權(quán)訪問(wèn)漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱(chēng)某學(xué)校（簡(jiǎn)稱(chēng)“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問(wèn)漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱(chēng)某學(xué)校（簡(jiǎn)稱(chēng)“某學(xué)校”）

存在Elasticsearch未授權(quán)訪問(wèn)漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。應(yīng)急結(jié)論：某學(xué)校Elasticsearch服務(wù)存在未授權(quán)訪問(wèn)漏洞，該服務(wù)存儲(chǔ)某學(xué)校業(yè)務(wù)軟件運(yùn)行的異常記錄。在2020年4月和9月有多個(gè)境外IP(附表)異常連接該Elasticsearch服務(wù)器，存在數(shù)據(jù)傳輸情況。Thanks應(yīng)急響應(yīng)培訓(xùn)案例分析（下）PA

R

T tw

o網(wǎng)頁(yè)篡

改0

5網(wǎng)頁(yè)篡改事件網(wǎng)頁(yè)篡改事件網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司勒索病毒事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁(yè)篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁(yè)“反X標(biāo)語(yǔ)”事件進(jìn)行進(jìn)一步排查。應(yīng)急結(jié)論：結(jié)合技術(shù)分析研判，初步判定此次事件主要原因是XXX公司后臺(tái)商戶管理系統(tǒng)存在weblogic反序列化漏洞，漏洞被黑客攻擊者利用上傳惡意圖片文件。PA

R

T tw

o釣魚(yú)郵

件0

6釣魚(yú)事件應(yīng)急處置目的：郵件取樣、事件溯源、協(xié)助止損、郵件取樣：郵件樣本、郵件附件；、事件溯源：分析郵件（釣魚(yú)、勒索、挖礦）、入侵排查；、協(xié)助止損：跟蹤溯源，安全自查。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚(yú)事件案例：某公司郵箱釣魚(yú)事件某公司受到釣魚(yú)郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過(guò)事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚(yú)郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。應(yīng)急結(jié)論：1、經(jīng)郵件服務(wù)器梭子魚(yú)網(wǎng)關(guān)搜索，只匹配到“關(guān)于新冠肺炎的一切”郵件信息，有9個(gè)郵箱收到該郵件（3個(gè)人員郵箱收到并未查看郵件信息，2個(gè)人員郵箱查看了郵件內(nèi)容并未打開(kāi)郵件正文的附件鏈接，4個(gè)人員郵箱為離職人員（郵箱已不使用）），發(fā)件人均為“info_center@yeah.net”，郵件發(fā)送時(shí)間為2020年2月10日9點(diǎn)51分至10點(diǎn)03分，發(fā)送內(nèi)容相同，搜索其他關(guān)鍵字并未發(fā)現(xiàn)其他相關(guān)的郵件。2、分析發(fā)件人（info_center@）郵箱，該郵箱為“廣州網(wǎng)易計(jì)算機(jī)系統(tǒng)有限公司”郵箱，信息包括：郵箱地址、IP地址、歸屬地3、通過(guò)分析郵件內(nèi)容，發(fā)現(xiàn)該郵件附件內(nèi)容為超鏈接（http://*********./），超鏈接已無(wú)法訪問(wèn)，未能提取出附件內(nèi)容。4、某公司醫(yī)療已在郵箱管理處配置相關(guān)安全策略，暫未發(fā)現(xiàn)存在安全風(fēng)險(xiǎn)。P

A

R

T

S

e

v

e

nD

D

O

S

流量攻擊0

7DDOS流量攻擊應(yīng)急處置目的：攻擊溯源、提供解決方案、協(xié)助止損等；、事件溯源：分析防護(hù)日志（IP地址判定）、協(xié)助止損：跟蹤溯源，提供解決方案；DDOS流量攻擊案例：某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無(wú)法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無(wú)法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無(wú)法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無(wú)法正常使用寬帶和電視服務(wù)