ログとファイルに注目
オペレーティングシステムのログだけでなく、オペレーティングシステム上のファイルにも注目する必要があります。全体を徹底的に調査し、うっかりミスを避けるべきです。多くの攻撃行為はログに現れない可能性があり、例えば攻撃者がアップロードしたスキャンツール(fscan など)は、オペレーティングシステムに残る可能性があります。
Linux の履歴コマンドの分析
Linux システムでは、historyコマンドを使用してユーザーのコマンド実行履歴を確認できます。攻撃者がコマンドを実行した場合、それは攻撃者の行動パターンを特定する上で重要です。防御側としても、定期的に~/.bash_historyファイルを確認し、敏感な情報(パスワード、キーなど)が残らないようにし、履歴の定期的なクリーニングを検討する必要があります。また、auditdツールを使用してコマンドの実行状況を監視し、各コマンドの実行が追跡可能であることを確認します。
ログ分析
オペレーティングシステムのログに加えて、Windows ユーザーはアプリケーションシステムのログ(Apache、IIS、SQL Server など)にも注目する必要があります。これらのログは、システムの動作に関するより多くの情報を提供し、潜在的なセキュリティ脅威を特定するのに役立ちます。
トロイの木馬ウイルススキャン
Windows システム上では、ウイルス対策ソフトウェアをアップロードして潜在的なウイルスファイルをスキャンできます。同時に、D 盾などのツールを使用して Web シェルをスキャンし、悪意のあるコードを検出して削除します。
思考を整理する
緊急対応の過程では、思考を明確に保ち、段階的に問題を調査する必要があります。攻撃者の攻撃思考を深く分析し、活動の痕跡を追跡して攻撃源を特定します。
録画
必要に応じて、Windows システム上で録画ソフトウェアをアップロードし、全過程の操作を録画して証拠を収集します。これにより、事後分析に重要な証拠を提供できます。
ツール
緊急対応において、ツールの使用は非常に重要です。プロセス分析や everything などのツールを使用し、悪意のある IP が報告された場合には、その IP に関連するアプリケーションを調査することで新たな発見があるかもしれません。IP があれば、その IP を脅威インテリジェンスプラットフォームに提出して、脅威ラベルが付いているか確認し、IP の whois 検索や IP からドメイン名を逆引きして、IP の登録情報やドメイン情報を確認します。
タイムライン
事件発生の時間は、事件の脈絡を明確にするために非常に重要です。タイムラインを分析することで、事件の発生シーンをより良く再現し、効果的な緊急対応戦略を策定するのに役立ちます。タイムラインツールを使用して事件の発生順序を視覚化し、ログ記録と組み合わせて、重要な時間の節目や関連イベントを迅速に特定することをお勧めします。