通過本文檔可以獨立處置 “勒索病毒”、“挖礦木馬”類安全事件,提取病毒樣本完成溯源分析工作
二、安全事件排查
2.1、勒索病毒處置流程
確認感染文件特征及感染時間:
(1) 操作系統桌面是否有新的文本文件,文本文件中是否有詳細的加密信息及解密聯系方式;
(2) 被加密的文件類
加密后的文件后
確認感染時間,對被感染文件操作
2.2 臨時處置辦法
被感染主機:
(1) 立即對被感染主機進行隔離處置,禁用所有有線及無線網卡或直接拔掉
網線,防止病毒感染其他主機;
(2) 禁止在被感染主機上使用 U 盤、移動硬盤等可執行擺渡攻擊的設備;
未被感染主機:
(1) 關閉 SSH、RDP 等協議,並且更改主機密碼;
(2) 備份系統重要數據、且文件備份應與主機隔離;
(3) 禁止接入 U 盤、移動硬盤等可執行擺渡攻擊的設備;
2.3 事件排查
Windows 排查:(文件+進程)
(1)開機啟動有無異常文件 【開始】➜【運行】➜【msconfig】
(2)各個盤下的 temp(tmp)相關目錄下查看有無異常文件 :Windows 產生的臨時
(3)Recent 是系統文件夾,里面存放着你最近使用的文檔的快捷方式,查看用戶 recent 相關文件,通過分析最近打開分析可疑文件:
【開始】➜【運行】➜【%UserProfile%\Recent】
(4)根據文件夾內文件列表時間進行排序,查找可疑文件。當然也可以搜索指定日期范圍的文件及
Server 2008 R:
Windows 10:
(5)查看文件時間,創建時間、修改時間、訪問時間,黑客通過菜刀類工具改變的是修改時間。所以如果修改時間在創建時間之前明顯是可疑
進程排查
(1)netstat -ano 查看目前的網絡連接,定位可疑的 ESTABLISH
netstat 顯示網絡連接、路由表和網絡接口信息;
參數說明:
-a 顯示所有網絡連接、路由表和網絡接口信息
-n 以數字形式顯示地址和端口號
-o 顯示與每個連接相關的所屬進程 ID
-r 顯示路由表
-s 顯示按協議統計信息、默認地、顯示 IP
常見的狀態說LISTENING 偵聽狀態ESTABLISHED 建立連接CLOSE_WAIT 對方主動關閉連接或網絡異常導致連接
(2)根據 netstat 定位出的 pid,再通過 tasklist 命令進行進程
tasklist 顯示運行在本地或遠程計算機上的所有進程; 
(3)根據 wmic process 獲取進程的全路徑
很多種類的病毒都依賴網絡進行傳播和復制,並感染局域網中的大量終端。 可以通過開放端口進行分析,有助於病毒對象的確認;
下面提供一些常用的病毒使用的端口信息,可以作為參考:
系統信息排查
(1)查看環境變量的設置
(2)Windows 計划任務
(3)Windows 帳號信息,如隱藏帳號(用戶名以$結尾的為隱藏用戶,如:admin$)
命令行方式:net user,可直接收集用戶信息(此方法看不到隱藏用戶),若需查看某個用戶的詳細信息,可使用命令➜net user usernam
(4)查看當前系統用戶:使用➜ query user 查看當前系統的會話,比如查看是否有人使用遠程終端登錄服務器;(logoff 踢出該用)
(5)查看 systeminfo 信息,系統版本以及補丁信息
日志排查
(1)Windows 登錄日志排查
a)打開事件管理器
【開始】➜【管理工具】➜【事件查看】
【開始】➜【運行】➜【eventvwr】
b)主要分析安全日志,可以借助自帶的篩選
可以把日志導出為文本格式,然后使用 notepad++ 打開,使用正則模式去匹遠程登錄過的 IP 地址,在界定事件日期范圍的基礎。
工具排查
(1)PC Hunt
PC Hunter 是一個 Windows 系統信息查看軟件下載地址:http://www.xuetr.co