0x00 梳理现场情况 采集并确定 ioc 信息 恶意软件包供应链攻击的事件来源可能有很多，例如主动 rpm -Va 或 debsums –all 检查或被动流量侧、EDR侧检测到恶意程序等，因此这部分以发现恶意软件包程序 pid 为开始 确认攻击信息准确性 安全设备、人、上级/行业/监管单位的通报都不见得是准确的，做二次研判是必要的，能够帮我应急响应人员确定整体排查思路 询问历史被攻击情况、历史通报 历史攻击可能会留下攻击遗产，成为未来新一轮攻击事件的发起点，询问清楚历史被攻击、被通报情况，向当事人或负责人了解清楚事件性质、处理过程、处理结果，这可能会在完全理不清攻击路径的时候帮你一把 0x01 通过 pid 确定具体文件 根据pid获取程序的详细信息 lsof -p pid pwdx pid 获取该pid的进程启动的时候的目录,并不一定是恶意文件所在的路径，只是启动恶意文件的路径 systemctl status pid 获取这个进程的status信息 cat /proc/pid/maps ls -al /proc/pid/exe 有 ...

0x00 简介 持续性的挖矿、远控后门等可以通过直接排查发现，但是在实际工作中，很多恶意行为（访问恶意域名、连接恶意IP）只集中出现了几次，无法直接通过网络连接找到恶意进程及文件或者有些恶意程序处置结束后，无法确定是否已经清理完整可以通过短时间/长时间网络监控来解决 0x01 确定目标域名或IP 如果目标域名或者IP是某一知名组织的，可以将该组织或者种类病毒的域名和IP都收集进行监控 0x02 修改域名解析记录 修改恶意域名的解析记录目的主要有两个： 阻断控制，防止二次伤害 得到固定的IP解析记录，防止攻击者把域名下架或者改变解析到的IP 修改域名解析记录有两个途径： 在内网DNS服务器中集中修改（如果内网有DNS服务器） 修改 hosts 文件 (推荐) 以恶意域名 du.testjj.com 为例 通过修改 /etc/hosts 将 du.testjj.com 解析IP修改为 123.123.123.123 0x03 设置监控程序 很多客户不允许在服务器上安装监控程序，但是对于可审计的脚本倒是可以在审计后执行，因此这里主要以脚本为主 Linu ...

0x00 整体流程 0x01 梳理现场情况 确认攻击信息准确性 安全设备、人、上级/行业/监管单位的通报都不见得是准确的，做二次研判是必要的，能够帮我应急响应人员确定整体排查思路 询问历史被攻击情况、历史通报、历史误报 历史攻击可能会留下攻击遗产，成为未来新一轮攻击事件的发起点，询问清楚历史被攻击、被通报情况，向当事人或负责人了解清楚事件性质、处理过程、处理结果，这可能会在完全理不清攻击路径的时候帮你一把 应急响应人员大概率是没有被攻击单位运维、安全等人员熟悉他们的系统的，所以历史误报很重要，例如修改了数据库密码等问题就很容易有历史误报，建议面对暴力破解事件时打听一下历史误报情况 暴力破解类型 暴力破解攻击主要针对 ssh mysql ftp redis mongodb smtp 0x02 SSH 暴力破解 检查网络连接信息netstat -pantu Proto 协议类型 Recv-Q ：表示收到的数据已经在本地接收缓冲，但是还有多少没有被进程取走，如果接收队列Recv-Q一直处于阻塞状态，可能是遭受了拒绝服务 denial-of-se ...

0x00 整体流程 0x01 勒索病毒简述 勒索病毒是让人比较无奈的恶意程序，大部分都是只有攻击者才能解密近期和一些勒索解密团队合作后发现，其实还是有解密的可能的，是否能够解密，如何判断需要专业团队来完成但还是那句话，把应急解密或者赎金的钱用在数据备份，安全防护上才是较为明智的选择 0x02 梳理现场情况 保护现场 保护现场很重要，即使重装系统也建议保留一份镜像，尤其是与本次攻击相关的关键系统可以使用电子取证专用的一些采集器 采集并确定 ioc 信息 从内网 dns 服务器、dns 防火墙、流量审计设备等设备获取 从EDR、态势感知等设备获取 从被勒索文件特征以及勒索信获取 确认攻击信息准确性 安全设备、人、上级/行业/监管单位的通报都不见得是准确的，做二次研判是必要的，能够帮我应急响应人员确定整体排查思路 询问历史被攻击情况或历史通报 历史攻击可能会留下攻击遗产，成为未来新一轮攻击事件的发起点，询问清楚历史被攻击、被通报情况，向当事人或负责人了解清楚事件性质、处理过程、处理结果，这可能会在完全理不清攻击路径的时候帮你一把 0x03 ...

0x0-整体流程 0x2— 远控后门事件应急处置方法1.事件告警来源 木马远控后门事件通常会在 EDR 或者态势感知系统中获得相关告警信息。 1.1 通过 EDR 获取到告警事件 通过 EDR 获取到的紧急事件，可以直接定位到恶意文件以及文件路径。 通过文件寻找相关恶意进程。 根据文件查找 pid： lsof | grep evil.sh lsof /root/evil.sh # 需要指定路径，只指定字符无法直接查询到相关信息 fuser /root/evil.sh # 该命令需要在 root 权限下执行，否则结果会为空，命令前加 sudo 也可能显示为空。 1.2 通过态势感知获取到告警事件 通过态势感知获取到的紧急事件，是可以根据五元组进行详细查询的。 根据态感报警信息，可得到外连 IP+端口 根据目的 IP 和端口查找 pid netstat -pantu | grep 11.11.11.11 # grep 后面要根据真实情况填写实际 IP 而非演示地址 11.11.11.11 netstat -pantu | grep 65535 # ...

0x0-整体流程 0x1—挖矿事件应急响应处置方法1.发掘寻找恶意域名（矿池地址） 根据内网 dns 服务器、dns 防火墙、边界防火墙、流量审计设备等相关设备获取 根据域名确认木马类型，可以从以下沙箱判定寻找 微步在线 Virustotal 安恒威胁情报中心 绿盟威胁情报中心链接 天际友盟威胁情报中心 360威胁情报中心 多沙箱检测，确保结果。 2.获取异常进程 pid cpu 占用 top -c -o %cpu -c 参数显示进程的命令行参数 ps -eo pid ,ppid,%mem,%cpu,cmd --sort =-%cpu | head -n 5 列出 cpu 占用前 5 的进程信息 内存占用 top -c -o %MEM -c 参数显示进程的命令参数 ps -eo pid ,ppid,%mem,%cpu,cmd --sort =-%mem | head -n 5 列出 内存占用前 5 的进程信息 网络占用 网络占用需借助第三方软件,之后使用 root 权限执行 Ubuntu/Debian 安装： sudo apt ins ...