应急响应篇——开篇

Hvv前的新坑，送给各位想要一鸣惊人的蓝队小师傅们。

这篇只是个开篇，不会很长，主要先做个引子，大致聊一聊思路和方法。

先把必查项给大家列一列，这些是up主的一些经验，如有错漏欢迎大家补充。

• 应急响应必查项：

1.日志（各种日志，访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等）

2.计划任务（老生常谈）

3.注册表（推荐用工具吧，手工排查冗长且效率低下）

4.端口（查正在占用的异常端口）

5.进程（也是老生常谈，up会单独写一篇关于进程排查的，把白进程和可疑进程都给大家列出来）

6.历史命令（主要针对linux，有时候一个cd都能暴露很多信息，所以最好设置自动备份history）

7.远程连接记录（不用说了吧？Windows 3389有些装了向日葵todesk的一样看连接记录，linux 就ssh）

8.可疑文件排查（主要排查有没有黑客工具的存在，mimikatz、fscan等，出现了说明可能已经被横向；也包括一些其他可疑文件排查。）

以上为简单列出来给大家参考的必查项，之后的帖子会单独细致讲解的，接下来给大家讲的是处置的流程：

一、隔离or not？

取决于客户系统的重要性，是否支持隔离，业务中断是否产生极大影响，和客户商量后视情况而定，毕竟不是每一台服务器都可以说拔网线就拔网线。

如果无法进行隔离，那就需要根据受攻击类型来判断下一步，如果是中了马的，单独把木马隔离出来，一般杀软都可以实现的没有例外（要是连杀软都没有装就直接当堂教育客户吧，这么重要的业务连个杀软都没有？！），linux的话看看有没有edr，有的话也可以在服务器端进行远程杀毒隔离开，这一步是隔离就不扯这么多了。

二、定位攻击？

正常来说能给你打进去的无非就是中马、rce、sql注入等几种手段，而未能在攻击实施阶段就发现并阻断攻击，需要应急响应，说明大概率已经中了大马了，产生了反连流量了，这一步最最主要的事情就是把马子找出来，也就是进行定位，无edr联动的情况下态势感知不一定能获取到木马具体路径（在操作系统中的路径），这时候就要通过一系列手段（后边会单独出篇细说）进行寻找，并确认木马类型，是否为冰蝎、哥斯拉马，webshell or内存马，或者exe等，先进行定性。

三、主机排查

这里就是大家熟知的一些操作了，各种排查，请参考上面的的应急响应排查项，不单独赘述。这里一定要结合现场的安全设备进行判断，尽可能利用好安全设备的记录才能提高效率，尤其是记录型设备，日志审计、全流量分析等。

四、横向感染否？

攻击者为了扩大战果或者提权、维权等需要传入工具进行一些操作，这些工具的出现也是能判断是否出现了横向攻击，比如fscan可能会在目录生成扫描结果文件xxx.txt，针对对应工具特征去寻找蛛丝马迹。

• 总结

开篇嘛，较为简短，先浅浅开个头给师傅们看看，有些思路，其中的过程和必查项都是up自己在实践中用过、面试中答过的，经得起考研，仅供大家参考，欢迎师傅们补充。