應急一些小技巧(持續更新)
(目前經驗較少,基本都是與windows相關,寫的也比較亂。之後慢慢補充)
-
勒索病毒事件排查順序
勒索病毒處置時,先確定檔案最早加密時間點(everything),再去基於這個時間點分析日誌行為和可疑檔案。
-
定位呼叫dll檔案的程序
有時候在使用edr查殺到惡意的動態連結庫檔案,刪除時顯示檔案被佔用。此時需要查詢哪些程式在呼叫它,方法:
<1>使用taskllist /m xxx.dll命令;
<2>工作管理員-效能-開啟資源監視器-CPU處可以搜尋關聯控制代碼;
<3>使用工具搜尋,例如ProcessHacker工具Find Handles or dll功能。
-
Idle程序外連
Idle為系統空閒程序,當其他程式連線過外部網路,而又將該程式主動結束了,則連線的相關資訊會被快取在該空閒程序當中。
-
態勢感知等安全裝置顯示系統外連惡意域名處置思路
使用記憶體檢索工具(MemScanner/Sangfor EDR)檢索是哪個程序ID在外連,從而進行處置。
有時候存在注入進dll的情況,可以使用工具定位具體dll檔案
例如:ProcessHacker工具
-
如何快速處置惡意外連事件
修改系統hosts檔案,讓已知惡意域名指向不存在/正常IP。
-
常見的病毒型別及簡稱
Trojan | 木馬檔案 |
Backdoor | 後門程式 |
Virus | 感染型病毒 |
Worm | 蠕蟲 |
Ransom | 勒索病毒 |
W97M/VBA/MSWord/X2000M | 巨集病毒 |
Exploit | 漏洞利用 |
ACAD/CAD | CAD病毒 |
HackTool | 黑客工具 |
Suspicious | 可疑檔案 |
Adware | 廣告軟體 |
-
隱藏模組
隱藏模組往往也是動態庫模組,但它肉眼觀察不到(Windows系統工具看不到,PCHunter等工具也看不到),是很隱蔽的一種手段,屬於難查難殺的型別。
例如,在某客戶主機上,我們懷疑svchost.exe程序有問題(程序有問題並不代表程序對應的檔案有問題,這一點一定要區分好),但我們使用系統工具和PCHunter等等工具均檢視不到任何異常模組。至此,懷疑有隱藏模組,祭出特殊工具dump出該svchost.exe的所有模組空間(按模組分割成獨立檔案),觀察到有隱藏的模組:
svchost_exe_PID384_hiddenmodule_2560000_x86.exe就是隱藏在svchost.exe程序中的模組
注:此特殊工具會將隱藏模組檔名加上“hiddenmodule”字眼
可使用微軟的procdump工具
pd64.exx -pid [PID]
-
如何快速定位最早加密檔案
Everything無法執行,或是工具無法拷入的情況,該如何快速定位最早的加密檔案 ?
考慮的是可以利用bat指令碼實現,目前找到了類似功能的指令碼:按從近到遠的順序進行排序,取前十。與我的意願還差一些,後續著手修改。
@echo off
setlocal enabledelayedexpansion
set count = 0
dir /a-d /o-d /s |sort /r >>TmpSort.txt
For /f "delims=" %%i in (TmpSort.txt) DO (
set /a count += 1
if !count! GTR 2 if !count! LEQ 12 echo %%i
)
echo y |del TmpSort.txt
pause