6.24Win&linux&分析后门 勒索病毒分析

操作系统应急响应

1、常见危害

暴力破解、漏洞利用、流量攻击（危害不确定）
木马控制（Webshell、PC木马等），病毒感染（挖矿、蠕虫、勒索等）

2、常见分析

计算机用户、端口、进程、启动项、计划任务、服务、文件等安全问题；

常见日志类别及存储

windows：C:\Windows\System32\winevt\Logs
linux：/var/logs

杀软及病毒动态

卡巴斯基、火绒、360杀毒；
国家病毒应急处理中心、微步在线威胁情报、火绒安全论坛；在线病毒扫描软件

爆破口令分析

windows:分析查看本地Security安全日志，查看登录账户pid，4624表登录成功，4625表失败；

linux：

grep -o "Failed password" /var/log/auth.log uniq -c (ubuntu)

grep -o "Failed password" /var/log/secure uniq -c 统计登录失败出现的次数

grep -o "Failed password" /var/log/auth.log head -l 输出第一行和最后一行爆破，确实时间范围

grep -o "Failed password" /var/log/auth.log tail -l

CS远控木马分析思路

在进程中分析后门；netstat -ano;

cs服务端命令：

先ll查看TeamServer和Cobalt Strike是否有执行权限，若无执行权限则添加权限sudo chmod +x teamserver cobaltstrike.auth

linux中上线CS，使用拓展工具上线cs3.x版本；之后使用gscan工具排查查杀后门；

勒索病毒wannacry思路

备份文件恢复；

三方软件破解勒索文件；

重装系统；