应急响应-应急溯源
字数 1458 2025-08-22 12:22:48
网络安全应急响应与攻击溯源技术指南
一、溯源概念与目标
溯源定义:通过对受害资产与内网流量进行分析,还原攻击者的攻击路径与攻击手法,根据已有线索、攻击方式及特征通过技术手段反查攻击者身份或组织信息。
溯源目标:
- 完整还原攻击链条
- 溯源到黑客的虚拟身份和真实身份
- 溯源到攻击队员
- 反控攻击方主机
溯源结果要素:
姓名/ID:
攻击IP:
地理位置:
QQ:
IP地址所属公司:
IP地址关联域名:
邮箱:
手机号:
微信/微博/src/id证明:
人物照片:
跳板机(可选):
关联攻击事件:
二、Windows系统攻击溯源技术
1. 日志分析
系统日志
- 日志类型:系统日志、安全日志、应用日志
- 关键事件ID:
- 4624 登录成功
- 4625 登录失败
- 4720 创建用户
- 4634 注销成功
- 4647 用户启动的注销
- 4672 使用超级用户/管理员用户登录
Log Parser工具使用
# 登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM Security.evtx路径 where EventID=4624"
# 指定登录时间范围的事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM Security.evtx路径 where TimeGenerated>'2023-02-19 23:32:11' and TimeGenerated<'2023-02-20 23:32:11'"
# 提取登录成功的用户名和IP
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM Security.evtx路径 where EventID=4624"
# 登录失败的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM Security.evtx路径 where EventID=4625"
2. 文件排查
- 各盘下的temp相关目录:
%temp% - 开机启动文件(启动菜单、注册表)
- 浏览器历史记录
- Recent文件
- 攻击日期内新增的文件:
forfiles /m *.exe /d 2023/2/5 /s /c "cmd /c echo @path @fdate @ftime" - 使用工具:D盾、HwsKill、WebshellKill等
3. 进程排查
# 查看端口得到PID
netstat -nao | findstr 端口
# 根据PID查看进程对应的程序名称
tasklist /V | findstr PID
wmic process list brief | findstr PID
# 获取程序全路径名
wmic process where processid=PID get processid,executablepath,name
# 杀掉进程
taskkill /PID 1437 /F
wmic process where name="mysqld.exe" delete
wmic process where processid=1437 call terminate
4. 账号排查
- 命令查看:
net user - 计算机管理查看:
lusrmgr.msc - 安全日志分析:
eventvwr - 注册表排查:
regedit(需修改权限为SYSTEM)
5. 自启动与计划任务排查
- 注册表自启动项检查
- 计划任务检查
三、Web日志分析技术
1. Web日志存放路径
- Windows默认路径:安装目录下的logs文件夹
- Tomcat日志:
- catalina.out(运行异常信息)
- localhost
- manager
- localhost_access_log(访问日志)
- Apache/Nginx/IIS日志:access_log和error_log
2. Web日志分析示例
192.168.10.0 - - "GET /dedecms/uploads/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%20mid=@`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294%20```%20
## 四、Linux系统攻击溯源技术
### 1. 日志分析
#### 系统安全日志
- CentOS: `/var/log/secure`
- Ubuntu: `/var/log/auth`
- 配置文件: `/etc/rsyslog.conf`
#### 重要日志文件
- 登录失败记录: `/var/log/btmp` → `lastb`
- 登录成功记录: `/var/log/wtmp` → `last`
- 当前登录用户: `/var/run/utmp`
### 2. 文件分析命令
```bash
# 基本查找
find 文件名 find 搜索路径 【选项】 内容
# 常用选项
-name 文件名(区分大小写)
-type 文件类型(f普通文件,d目录,l软链接)
-iname 不区分大小写
-size 文件大小(+50k大于50k,-100k小于100k)
-atime 访问时间
-mtime 数据修改时间
-ctime 文件修改时间
-perm 权限
-user 用户名
-nouser 无属主文件
# 示例
find -type f -name "*.php"|xargs grep 'eval'| more
find / -uid 0 -perm -4000 -print
find / -size +10000k -print
find / -name "…"-print
3. 进程分析
# 网络连接状态
netstat -napt
netstat -pantn
# 查看隐藏进程
ps -ef|awk '{print}'| sort -n |uniq >1
ls /proc| sort -n |uniq >2
diff 1 2
4. 计划任务排查
# 检查系统计划任务
/var/spool/cron/crontabs/root
crontab -u root -l
cat /etc/rc.d/rc.local
ls /etc/rc3.d
# Redis写隐藏计划任务检测
cd /var/spool/cron/root
五、实用工具集
1. 病毒分析工具
- PCHunter: http://www.xuetr.com
- 火绒剑: https://www.huorong.cn
- Process Explorer: https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
- Process Hacker: https://processhacker.sourceforge.io/downloads.php
2. 病毒查杀工具
- 卡巴斯基: http://devbuilds.kasperskylabs.com/devbuilds/KVRT/latest/full/KVRT.exe
- 大蜘蛛: http://free.drweb.ru/download+cureit+free
3. 在线病毒扫描
- Virustotal: https://www.virustotal.com
- Virscan: http://www.virscan.org
- 腾讯哈勃: https://habo.qq.com
- Jotti: https://virusscan.jotti.org
六、攻击溯源流程总结
- 日志分析:通过WEB日志和系统日志找到漏洞利用点
- 文件分析:查找异常文件和webshell
- 进程分析:检查异常进程和网络连接
- 账号检查:排查隐藏账号和异常登录
- 计划任务:查找持久化后门
- 还原攻击链:综合所有证据还原攻击者完整路径
通过以上步骤的系统性排查,可以有效地进行攻击溯源,还原攻击者的攻击路径和手法,为后续的安全加固和事件响应提供依据。