网络安全事件分析教学文档：从态势感知告警到真实威胁定位

网络安全事件分析教学文档：从态势感知告警到真实威胁定位 1. 事件背景与初始分析 1.1 初始告警发现 态势感知平台发出告警：某单位主机疑似感染LifeCalendarWorm挖矿蠕虫 告警特征：源IP(10.x.x.x)每隔10分钟连接一次恶意域名 威胁情报验证：恶意域名已在微步威胁情报库确认有效 1.2 初步分析结论 基于告警信息判断主机感染挖矿病毒 出具安全事件溯源报告并下发处置建议 2. 人工深入分析过程 2.1 初始假设被推翻 主机管理员反馈：使用多个杀毒软件(包括企业版)均无法查杀病毒 需要现场人工排查验证 2.2 系统基础排查 CPU及内存检查 运行情况正常 未发现进程大量占用CPU资源 网络连接检查 netstat -ano 命令查看本机对外连接 未发现连接恶意IP的情况 用户与角色检查 lusrmgr.msc 和 net user 命令检查 发现该机器实际为域控制器(Domain Controller) 存在多个用户属于正常现象 计划任务检查 与管理员确认未发现异常计划任务 2.3 关键发现 任务管理器网络连接查看发现： dns.exe 进程中存在态势感知平台报送的IP 表明该主机作为域控服务器提供DNS服务 可能是域内其他主机通过该DNS服务器进行解析 3. 真实威胁定位 3.1 分析结论修正 并非该主机直接感染病毒 实际为域内子主机感染病毒，通过该域控的DNS服务进行解析 态势感知探针部署在核心交换机导致误判源IP 3.2 追查真实受害者 抓包工具选择 使用Wireshark进行网络流量分析 注意事项： 业务主机避免安装完整版(可能导致系统卡死) 优先使用便携版Wireshark 物理机应提前安装必要软件 虚拟机操作前应创建快照 抓包分析过程 根据病毒外连域名的时间规律进行抓包 分析DNS查询流量，定位实际发起请求的源IP 成功捕获真实受害主机IP 4. 经验总结与最佳实践 4.1 分析经验 态势感知告警的局限性 探针部署位置影响告警准确性 核心交换机处的告警可能需要进一步溯源 域环境特殊考量 域控制器可能代理域内主机的网络活动 DNS服务可能掩盖真实攻击源 人工分析的必要性 安全设备告警不能完全替代人工分析 需要保持基础排查技能 4.2 操作建议 分析流程优化 先确认主机角色(是否域控/重要服务器) 再检查基础指标(CPU、内存、网络连接) 最后使用专业工具深入分析 安全工具准备 常备便携版分析工具(Wireshark等) 建立分析工具白名单，便于快速部署 风险控制措施 操作业务主机前必须确认备份/快照 避免在生产环境安装未经测试的软件 技能提升方向 加强网络协议分析能力 熟悉域环境下的流量特征 掌握多种威胁排查方法 5. 附录：关键命令速查 | 命令/操作 | 用途 | 注意事项 | |----------|------|----------| | netstat -ano | 查看网络连接和对应进程 | 注意ESTABLISHED状态的连接 | | lusrmgr.msc | 打开本地用户和组管理器 | 域控上显示的是域用户 | | net user | 查看用户账户信息 | 域环境中显示域用户 | | Wireshark过滤 | dns && ip.dst==恶意域名IP | 按时间规律设置捕获过滤器 | | 任务管理器 | 查看进程网络活动 | 注意系统进程的网络连接 |