应急响应— 操作系统分析(病毒、后门）

一、操作系统(windows,linux)：

• 1.常见危害：暴力破解，漏洞利用，流量攻击，木马控制(Webshell,PC 木马等)，病毒感染(挖矿，蠕虫，勒索等)。

暴力破解：针对系统有包括rdp、ssh、telnet等，针对服务有包括mysql、ftp等，一般可以通过超级弱口令工具、hydra进行爆破
漏洞利用：通过系统、服务的漏洞进行攻击，如永恒之蓝等
流量攻击：主要是对目标机器进行dos攻击，从而导致服务器瘫痪
木马控制：主要分为webshell和PC木马，webshell是存在于网站应用中的，而PC木马是进入系统进行植入的。目的是对系统进行持久控制。
病毒感染：主要分挖矿病毒、蠕虫病毒、勒索病毒等，对目标文件或目录进行加密，用户需要支付酬金给黑客

• 2.常见分析：计算机账户，端口，进程，网络，启动，服务，任务，文件等安全问题

账户：账户异常、账户增加，看攻击者是否留有后门账户
端口：异常端口开放，看是否与外部地址的某个端口建立了连接
进程：异常进程加载，看是否存在异常进程执行（排除系统正常进程）
网络：网络连接异常，看是否对局域网内其他IP地址进行请求（横向）或自身网络异常
启动：异常程序开机自启动，看是否存在开机自启动的程序，排查是否为恶意程序
服务：异常服务添加、启动，看机器上是否存在异常服务（排除系统正常服务）
任务：异常定时任务执行，看机器上是否存在定时任务
文件：异常文件，看机器上是否存在异常文件，如后门、病毒、木马等

• 3.病毒分析

PCHunter：     http://www.xuetr.com
火绒剑：        https://www.huorong.cn
processhacker：https://processhacker.sourceforge.io/downloads.php
autoruns：     https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL：          https://www.bleepingcomputer.com/download/otl/
SysInspector： http://download.eset.com.cn/download/detail/?product=sysinspector
Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

• 4.病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛：http://free.drweb.ru/download+cureit+free
火绒安全软件：https://www.huorong.cn
360 杀毒：http://sd.360.cn/download_center.html

• 5.病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn
微步在线威胁情报社区：https://x.threatbook.cn
火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区：http://bbs.duba.net
腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

• 6.在线病毒扫描网站

http://www.virscan.org      //多引擎在线病毒扫描网
https://habo.qq.com         //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti 恶意软件扫描系统
http://www.scanvir.com      //计算机病毒、手机病毒、可疑文件分析

• 7.其他资源：

应急响应大合集

值得收藏！史上最全Windows安全工具锦集

二、案例

（一）攻击响应-暴力破解(RDP、SSH)

rdp服务就是windows的远程连接服务，爆破账号密码来登录，我们在分析时有两种办法。

1）可以直接计算机管理看自带的日志分析，着重记住事件ID：

2）windows自带的日志分析不太好用，一般都利用工具分析，如：loginfusion

超级弱口令工具选rdp协议，爆破账号密码：

我们转到服务器可以看到：

具体还能看到爆破者的主机名和用户id：

弱口令爆破，ssh协议登录linux：

Linux系统日志保存在var/log内：

Linux-grep 筛选：

1、统计了下日志，确认服务器遭受多少次暴力破解

grep -o "Failed password" /var/log/secure|uniq -c

2、输出登录爆破的第一行和最后一行，确认爆破时间范围：

grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1

3、进一步定位有哪些 IP 在爆破？

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

4、爆破用户名字典都有哪些？

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

5、登录成功的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

（二）控制响应-后门木马（webshell、OS）

windows工具/命令有：

Linux 借助 CrossC2项目实现cs上线：

netstat -ntulp

https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程：http://www.adminxe.com/1287.html

Linux如何自动分析？

可以自己在目录下手动分析日志，而使用工具则用： Gscan 多重功能脚本测试（仅centos系统）实现自动化分析：

（三）危害响应-病毒感染(勒索 WannaCry)-Windows 详细说明中毒表现及恢复指南

https://www.nomoreransom.org/crypto-sheriff.php?lang=zh
https://lesuobingdu.360.cn/