应急响应-常见事件和案例分析.pptx

应急响应-常见事件和案例分析版本：1.0讲师姓名机构名称常见应急事件目前根据主机受到的攻击的表象可将木马病毒分为四类：勒索病毒、挖矿木马、远控木马和普通木马。勒索病毒特征即磁盘文件被加密，一旦完成勒索过程则无法恢复文件，因此这类病毒以预防为主，安装杀毒软件并做好主机防黑工作及时打补丁，对重要文件要及时隔离备份；挖矿木马特征即CPU和GPU异常占用过高，且有对矿池地址的解析。目前挖矿木马表现可有落地文件实现也可通过WMI等无落地文件实现；远控木马一直是APT攻击的主流，复杂程度高，其特点是集成了攻击模块、控制模块、持久化模块等且有C2服务器；普通木马代指除开以上类型的其余木马类型等勒索病毒处置流程了解现状第一时间了解目前什么情况：文件被加密？设备无法正常启动？勒索信息展示？桌面有新的文本文件并记录加密信息及解密联系方式？了解发病时间文件加密时间？设备无法正常启动的时间？新的文本文件的出现时间？了解事件发生时间，后面以此时间点做排查重点；了解系统架构系统名称IP地址端口开放物理机/虚拟机主机名设备型号操作系统类型BIDW（数据库）节点0110.2xx.xx.xx80、22物理机BnnnnIBMP595AIX操作系统版本管理后台IP地址中间件类型中间件版本数据库类型数据库版本应用URLAIX5.310.xx.xxx.79was7oracleV11应用端口储存设备类型储存设备型号web框架中间件版本第三方组件80磁带库3584/L52struts2.4编辑器确认感染者操作系统版本管理后台IP地址中间件类型中间件版本数据库类型数据库版本应用URLAIX5.310.xx.xxx.79was7oracleV11应用端口储存设备类型储存设备型号web框架中间件版本第三方组件80磁带库3584/L52struts2.4编辑器感染文件特征和感染时间1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式；2、被加密的文件类型；3、加密后的文件后缀；被加密的文件类型.der,.pfx,.key,.crt,.csr,.p12,.pem,.odt,.ott,.sxw,.stw,.uot,.3ds,.max,.3dm,.ods,.ots,.sxc,.stc,.dif,.slk,.wb2,.odp,.otp,.sxd,.std,.uop,.odg,.otg,.sxm,.mml,.lay,.lay6,.asc,.sqlite3,.sqlitedb,.sql,.accdb,.mdb,.dbf,.odb,.frm,.myd,.myi,.ibd,.mdf,.ldf,.sln,.suo,.cpp,.pas,.asm,.cmd,.bat,.ps1,.vbs,.dip,.dch,.sch,.brd,.jsp,.php,.asp,.java,.jar,.class,.mp3,.wav,.swf,.fla,.wmv,.mpg,.vob,.mpeg,.asf,.avi,.mov,.mp4,.3gp,.mkv,.3g2,.flv,.wma,.mid,.m3u,.m4u,.djvu,.svg,.psd,.nef,.tiff,.tif,.cgm,.raw,.gif,.png,.bmp,.jpg,.jpeg,.vcd,.iso,.backup,.zip,.rar,.tgz,.tar,.bak,.tbk,.bz2,.PAQ,.ARC,.aes,.gpg,.vmx,.vmdk,.vdi,.sldm,.sldx,.sti,.sxi,.602,.hwp,.snt,.onetoc2,.dwg,.pdf,.wk1,.wks,.123,.rtf,.csv,.txt,.vsdx,.vsd,.edb,.eml,.msg,.ost,.pst,.potm,.potx,.ppam,.ppsx,.ppsm,.pps,.pot,.pptm,.pptx,.ppt,.xltm,.xltx,.xlc,.xlm,.xlt,.xlw,.xlsb,.xlsm,.xlsx,.xls,.dotx,.dotm,.dot,.docm,.docb,.docx,.doc加密后的文件后缀.WNCRYT，.lock，.pre_alpha，.aes，.aes_ni，.xdata，.aes_ni_0day，.pr0tect，.[stopstorage@].java，文件后缀无