应急响应-文件痕迹排查

文件痕迹排查

在应急响应排查的过程中，由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹，因此对文件痕迹的排查必不可少。一般可以从以下几个方面对文件痕迹进行排查：

1. 对恶意软件常用的敏感路径进行排查；
2. 在确定了应急响应事件的时间点后，对时间点前后的文件进行排查；
3. 对带有特征的恶意软件进行排查，这些特性包括代码关键字或关键函数、文件权限特征等。

Windows文件痕迹排查

敏感目录

在Windows系统中，恶意软件常会在一下位置驻留。

1. temp(tmp)相关目录。有些恶意程序释放子体(即恶意程序运行时投放出文件)一般会在程序中写好投放的路径，由于不同系统版本的路径有所差异，但是临时文件的路径相对统一，因此在程序中写好的路径一般是临时目录。对敏感目录进行的检查，一般是查看临时目录下是否有异常文件。
2. 对于一些人工入侵的应急响应事件，有时入侵者会下载一些后续攻击的工具。windwos系统要重点排查浏览器的历史记录、下载文件、和cookie信息，查看是否有相关的恶意进程。
3. 查看用户的Recent文件。Recent文件主要存储了最近运行文件的快捷方式，可以通过分析最近运行的文件，排查可疑文件。一般Recent文件在Windows系统中的存储位置如下：

(1)C:\Documents and Settings\Administrator\Recent
【组织】>>【文件夹和搜索选项】>>【查看】>>勾选【显示隐藏文件】

没有权限打开【Documents and Settings】文件夹的话

对这些临时文件进行排查。

感觉有问题的文件放到微步去跑下。

(2)C:\Documents and Settings\Default User\Recent

时间点文件排查

时间点查找应急响应事件发生后，需要先确认事件发生的时间点，然后排查时间点前后的文件变动情况，从而缩小排查的范围。

1. 可列出攻击日期内新增的文件，从而发现相关的恶意软件。在Windows系统中，可以在命令行输入【forfiles】命令，查看相应文件。

forfiles /m *.exe /d +2022/8/1 /s /p c:\ /c "cmd /c echo @path @fdate @ ftime"
1

2. 对文件的创建时间、修改时间、访问时间进行排查。对于入侵的应急响应时间，有时攻击者会为了掩饰其入侵行为，对文档的相应时间进行修改，以规避一些排查策略。例如，攻击者可能通过“菜刀类”的工具改变修改时间。因此，如果文件的相关时间存在明显的逻辑问题，需要重点排查。

Linux文件痕迹排查

敏感目录

Linux常见的敏感目录如下：

1. /tmp目录和命令目录/usr/bin、/usr/sbin等经常作为恶意软件下载的目录及相关文件被替换的目录
2. ~/.ssh和/etc/ssh也经常作为一些后门配置路径，需要重点排查。

时间点排查

通过列出攻击日期内变动的文件，可以发现相关的恶意软件。通过【find】命令可对某一时间端内增减的文件进行查找。

find：在指定的目录下查找文件；
-mtime -n/+n:按文件更改时间来查找文件；
-atime -n/+n:按文件访问时间来查找文件；
-ctime -n/+n:按文件创建时间来查找文件；
-n:在N天以内
+n:在N天前
1
2
3
4
5
6

特殊文件

系统中的恶意文件存在特定的设置、和关键字信息等。Linux系统中的几种特殊文件类型可以按照以下方法进行排查：

1. 特殊权限文件查找

find /tmp -perm 777
查找777权限的文件
1
2

2. 对系统命令进行排查
   【ls】和【ps】等命令有时候会被攻击者恶意替换，所以可以使用【ls-alt/bin】命令，查看命令目录中相关系统命令的修改时间，从而进行排查。
   

使用【ls-alh /tmp】命令查看相关文件的大小，若明显偏大，则文件很可能被替换。

3. 排查SUID程序
   对一些设置了SUID权限的程序进行排查，可以使用【find / -type f -perm -04000】