ログとファイルに注目する
オペレーティングシステムのログだけでなく、オペレーティングシステム上のファイルにも注目する必要があります。全体的に調査を行い、うっかりミスを避けるべきです。多くの攻撃行為はログに反映されない可能性があります。例えば、攻撃者がアップロードしたスキャンツール(fscan など)は、オペレーティングシステムに残る可能性があります。
Linux の履歴コマンドを分析する
Linux システムでは、historyコマンドを使用してユーザーのコマンド実行履歴を確認できます。攻撃者がコマンドを実行した場合、攻撃者の行動パターンを特定するために重要です。防御側としては、定期的に~/.bash_historyファイルを確認し、敏感な情報(パスワード、キーなど)が残らないようにし、履歴の定期的なクリーニングを検討する必要があります。また、auditdツールを使用してコマンドの実行状況を監視し、各コマンドの実行が追跡可能であることを確認することができます。
ログ分析
オペレーティングシステムのログに加えて、Windows ユーザーはアプリケーションシステムのログにも注目する必要があります。例えば、Apache、IIS、SQL Server などです。これらのログはシステムの動作に関するより多くの情報を提供し、潜在的なセキュリティ脅威を特定するのに役立ちます。
トロイの木馬ウイルススキャン
Windows システム上では、ウイルス対策ソフトウェアをアップロードして潜在的なウイルスファイルをスキャンできます。同時に、D 盾などのツールを使用して Web シェルをスキャンし、悪意のあるコードを検出して削除します。
思考を整理する
緊急対応プロセスでは、思考を明確に保ち、段階的に問題を調査する必要があります。攻撃者の攻撃思考を深く分析し、その活動の軌跡を追跡し、攻撃源を特定します。
録画
必要に応じて、Windows システム上に録画ソフトウェアをアップロードし、全過程の操作を録画して証拠を収集します。これにより、事後分析に重要な証拠を提供できます。
ツール
緊急対応において、ツールの使用は非常に重要です。プロセス分析や everything などのツールを使用し、悪意のある IP が報告された場合、その IP に関連するアプリケーションを特定することで新たな発見があるかもしれません。IP があれば、その IP を脅威インテリジェンスプラットフォームに提出して、脅威ラベルが付いているか確認し、同時に whois 検索や IP からドメインの逆引きを行い、IP の登録やドメイン情報を確認します。
タイムライン
事件が発生した時間は、事件の脈絡を明確にするために重要です。タイムラインを分析することで、事件が発生したシーンをよりよく再現し、効果的な緊急対応戦略を策定するのに役立ちます。タイムラインツールを使用して事件の発生順序を視覚化し、ログ記録と組み合わせて、重要な時間の節目や関連するイベントを迅速に特定することをお勧めします。