应急响应安全事件的分类
应急响应准备流程
某企业挖矿病毒实战应急响应
背景简介:
某政企根据管理员反馈,业务运行缓慢,cpu长时间处于100%,严重影响业务运行,请求应急响应
1.进程分析:
cpu使用率百分百,发现可疑进程xmrig.exe
2.文件分析:
定位可疑进程文件目录,c:/windows/temp下,发现可疑文件
3.文件检测:
将文件上传到检测平台,检测为病毒文件程序
常见使用微步云沙箱实例:https://s.threatbook.cn/
推荐国外平台virustotal实例:https://www.virustotal.com/gui/home/upload
4.服务分析:
检查系统服务,发现异常服务SecurityCheck服务在系统启动时运行 C:\WINDOWS\Temp目录的logon.vbs脚本文件。 l分析该vbs脚本文件,发现其运行了xmrig挖矿程序
5.检查系统启动项:
发现异常启动项,通过启动项检查分析,系统启动时同样调用了C:\WINDOWS\Temp目 录的logon.vbs脚本文件
windows检查启动项:
6.计划任务分析:
发现异常系统计划任务,通过计划任务分析,系统每隔5分钟或在用户登录时运行C:\WINDOWS\Temp目 录下的start.bat脚本文件。 l 分析此vbs脚本,其会对系统进程进行判断,在没有运行xmrig程序时启动xmrig程序。
7.账号分析:
通过分析系统账号,发现存在异常隐藏账号***$。 账号名后带有$符号,在dos命令行下使用net user不会在结果中显示。一 般攻击者利用该特点常用于隐藏后门。
8.事件查看器分析:
检查系统事件,发现异常登录事件,筛选系统登录事件信息,分析用户成功或失败登录事件。初步确定入侵时间
9.网站文件检查查杀:
通过D盾等工具对网站目录进行扫描,发现网站目录存在多份木马文件,木马存在时间由此判断此网站系统被入侵时间已久。
10.日志事件分析:
发现sql注入等攻击行为
11.应急响应实践总结:
判断结果服务器被暴力破解入侵,入侵者可能拿到数据库权限等,下载执行木马病毒,非法盈利,并且隐藏木马配合其他启动程序,对服务器进行了sql注入,文件上传等操作,最终获取数据库信息
记一次应急响应实战分析-附应急响应工具包:等您坐沙发呢!