在攻防演練保障期間，一線工程師在實施主機入侵痕跡排查服務時可能面臨時間緊、任務急、需要排查的主機數(shù)量眾多情況。為了確保實施人員在有限的時間范圍內，可以高效且保證質量的前提下完成主機入侵痕跡排查工作，本人總結了自己的一些經(jīng)驗，下面的內容特此分享主機入侵痕跡排查服務中重點、關鍵的排查項，僅作為參考使用。

　　1、初步篩選排查資產(chǎn)

　　一般情況下，客戶資產(chǎn)都比較多，想要對所有的資產(chǎn)主機進行入侵痕跡排查基本不太現(xiàn)實，等你全部都排查完了，攻擊者該做的事早就做完了，想要的目的也早就達到了。那么針對客戶資產(chǎn)量大的情況，我們應該怎么處理?

　　首先，在排查前，作為項目經(jīng)理，應該與客戶溝通好，取得授權，確認排查范圍和排查方案和辦法，客戶若是沒有授意或者同意，那么下面的操作都是違規(guī)操作，甚至有的還違法。

　　取得客戶同意后，我們再從資產(chǎn)面臨的風險等級、資產(chǎn)的重要程度、攻擊者的攻擊思路、手法及目標選擇傾向幾個方面去初步篩選出排查資產(chǎn)。這里建議從以下資產(chǎn)范圍選取：

　　①曾失陷資產(chǎn)：在以前的紅藍對抗、攻防演練、或者真實的黑客攻擊事件中被攻陷的主機，曾失陷資產(chǎn)應作為排查的重點對象。

　　②互聯(lián)網(wǎng)暴露脆弱資產(chǎn)：從互聯(lián)網(wǎng)暴露資產(chǎn)中篩選出使用了高危漏洞頻發(fā)的組件/應用(組件如Weblogic、JBoss、Fastjson、Shiro、Struts2等)。還有一個點需要注意，就是客戶是否具有有效的資產(chǎn)管理，是否能夠清晰明確識別出哪些資產(chǎn)用了什么組件，如果不能的話，只能通過之前的滲透測試結果來篩選出脆弱資產(chǎn)。

　?、坳P鍵資產(chǎn)：如域控等可以導致大量主機失陷的集權類資產(chǎn)。

　　2、確定排查資產(chǎn)

　　主機入侵痕跡排查工作建議在一周內對數(shù)量控制在20臺以內的主機進行排查。經(jīng)過初步篩選的資產(chǎn)數(shù)量如果遠遠大于20臺主機，需要從資產(chǎn)里面進行二次篩選，如果存在曾失陷資產(chǎn)，排查主機范圍可以定為曾失陷資產(chǎn);如果不存在曾失陷資產(chǎn)，排查主機范圍可以定為脆弱資產(chǎn)，具體可以根據(jù)客戶自身實際情況調整。

　　需要注意是，如果排查資產(chǎn)中包含曾失陷資產(chǎn)的話，需要向客戶索要歷史攻防演練/應急等報告，在排查時需結合歷史報告和指導手冊內容一起進行排查，需要特別留意歷史報告中攻擊者的入侵痕跡是否已經(jīng)完全清理。

　　3、入侵痕跡排查

　　在實際情況下，攻擊者在進行攻擊時使用的攻擊手法、攻擊思路、行為等各有差異，無論是考慮實現(xiàn)成本還是效率問題，都難以通過很精細很全面的排查項去實施主機入侵痕跡排查，但是我們可以從攻擊中可能會產(chǎn)生的一些比較共性的行為特征、關鍵的項進行排查。

　　對于主機的入侵痕跡排查，主要從網(wǎng)絡連接、進程信息、后門賬號、計劃任務、登錄日志、自啟動項、文件等方面進行排查。比如，如果存在存活后門，主機可能會向C2發(fā)起網(wǎng)絡連接，因此可以從網(wǎng)絡連接排查入手，如果存在異常的網(wǎng)絡連接，則必然說明存在惡意的進程正在運行，則可以通過網(wǎng)絡連接定位到對應進程，再根據(jù)進程定位到惡意文件。如果攻擊者企圖維持主機控制權限的話，則可能會通過添加后門賬號、修改自啟動項，或者添加計劃任務等方式來維持權限，對應的我們可以通過排查賬號、自啟動項、計劃任務來發(fā)現(xiàn)相應的入侵痕跡。