知识点:
1、应急响应-Windows-Rootkit-分析&清除
2、应急响应-Linux-Rootkit-分析&查毒&清除
内存马和rookit都是属于权限维持技术,
内存马一般是用来控制网站,rookit一般是用来控制服务器(隐藏常规C2后门)
综合分析工具箱
https://github.com/BlackINT3/OpenArk
一、演示案例:蓝队技能-Rookit技术-Win系统&进程隐藏&网络隐藏
演示项目:https://bytecode77.com/r77-rootkit
进程隐藏,网络隐藏,文件隐藏,注册表,启动项等
1、进程隐藏
2、网络链接隐藏
3、文件隐藏
应急思路-如果识别到什么项目rookit可以下载工具还原
应急思路-识别不到的情况下采用发现隐藏进程网络等项目
火绒剑(可检测到隐藏进程)
unhide (可检测到隐藏进程,网络隐藏)
https://www.unhide-forensics.info/
隐藏进程
处置知道隐藏的进程PID号可以用命令结束掉
网络隐藏
如果用防火墙封禁本地的49170端口是没用的,因为后门还会换个端口继续链接,一般防火墙封禁远程的端口才有用。
二、演示案例:蓝队技能-Rookit技术-linux系统&进程隐藏&网络隐藏
演示项目:https://github.com/f0rb1dd3n/Reptile
进程隐藏,网络隐藏,文件隐藏,隐藏的引导持久性等
1、进程隐藏
2、网络隐藏
应急项目-unhide (可检测到隐藏进程,网络隐藏)
https://www.unhide-forensics.info/
安装使用:https://mp.weixin.qq.com/s/LnqArTrAytMKtitGvplNug
一个小巧的网络取证工具,能够发现那些借助rootkit、LKM及其它技术隐藏的进程和TCP/UDP端口。
应急项目-clamav(可检测到各类系统恶意后门文件等)
开源的反病毒引擎,用于检测和删除各种恶意软件,包括病毒、木马、间谍软件等
安装使用:
https://mp.weixin.qq.com/s/QL44BbioDcYt6B17L-pTfQ
扫码全部内容:
clamscan /
只扫描/bin/目录:
clamscan /bin/
递归扫描home目录,将病毒文件删除,并且记录日志:
clamscan -r -i /home --remove -l /var/log/clamav.log
扫描指定目录,然后将感染文件移动到指定目录,并记录日志:
clamscan -r -i /home --move=/tmp/clamav -l /var/log/clamav.log
常需要扫描的重点目录:
clamscan -r -i /etc --max-dir-recursion=5 -l /var/log/clamav-etc.logclamscan -r -i /bin --max-dir-recursion=5 -l /var/log/clamav-bin.logclamscan -r -i /usr --max-dir-recursion=5 -l /var/log/clamav-usr.logclamscan -r -i /var --max-dir-recursion=5 -l /var/log/clamav-var.log
查看病毒文件:
cat /var/log/clamav-bin.log | grep "FOUND"