تیم آبی

برگه رمز هایی برای شکارگران تهدید

سرآغاز آماده سازی امن سازی شناسایی دامنه محافظت و دفاع نظارت تحلیل پس از حمله روش ها و نکته ها لیست کنترل مدیریت حادثه شناسایی حادثه

پس از حمله

پیاده سازی

ویندوز

استفاده از یک بروزرسانی Hotfix برای ویندوز 7 و یا بالا تر:

C:\> wusa.exe C:\<PATH TO HOTFIX>\Windows6.0-
KB934307-x86.msu

استفاده از یک بروزرسانی Hotfix برای ویندوز 7 و یا بالا تر با استفاده از اسکریپت batch:

@echo off
setlocal
set PATHTOFIXES=E:\hotfix
%PATHTOFIXES%\Q123456_w2k_sp4_x86.exe /2 /M
%PATHTOFIXES%\Ql23321_w2k_sp4_x86.exe /2 /M
%PATHTOFIXES%\Q123789_w2k_sp4_x86.exe /2 /M

بررسی بروزرسانی های ویندوز 7 و یا بالاتر:

C:\> wuauclt.exe /detectnow /updatenow

لینوکس

توزیع Ubuntu:

دریافت لیست بروزرسانی ها:

# apt-get update

ارتقا بسته های فعلی:

# apt-get upgrade

نصب بروزرسانی ها (جدید):

# apt-get dist-upgrade

توریع Red Hat Enterprise Linux 2.1,3,4:

# up2date

بروزرسانی بدون تعامل:

# up2date-nox --update

نصب بسته ای با نام آن:

# up2date <PACKAGE NAME>

بروزرسانی بسته ای با نام آن:

# up2date -u <PACKAGE NAME>

توزیع Red Hat Enterprise Linux 5:

# pup

توزیع Red Hat Enterprise Linux 6:

# yum update

لیست بست های نصب شده:

# yum list installed <PACKAGE NAME>

نصب بسته ای با نام آن:

# yum install <PACKAGE NAME>

بروزرسانی بسته ای با نام آن:

# yum update <PACKAGE NAME>

توریع Kali:

# apt-get update && apt-get upgrade

پشتیبان گیری

ویندوز

نسخه پشتیبان از Backup GPO Audit Policy در فایل csv:

C:\> auditpol /backup /file:C\auditpolicy.csv

بازگرداندن نسخه پشتیبان GPO Audit Policy از فایل csv:

C:\> auditpol /restore /file:C:\auditpolicy.csv

تهیه نسخه پشتیبان از تمامی GPO های در دامین و ذخیره آن در مسیر مشخص:

PS C:\> Backup-Gpo -All -Path \\<SERVER>\<PATH TO
BACKUPS>

بازگرداندن نسخه پشتیبان GPO های در دامین و از مسیر مشخص:

PS C:\> Restore-GPO -All -Domain <INSERT DOMAIN
NAME> -Path \\Serverl\GpoBackups

شروع سرویس Volume Shadow:

C:\> net start VSS

لیست کلیه فایل های shadow و storage:

C:\> vssadmin List ShadowStorage

لیست کلیه فایل های shadow:

C:\> vssadmin List Shadows

جست و جو Shadow Copy برای فایل ها و فولدر ها:

C:\> mklink /d c:\<CREATE FOLDER>\<PROVIDE FOLDER
NAME BUT DO NOT CREATE>
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyl\

پرش به فایل shadow انتخاب شده در ویندوز سرور و ویندوز 8:

C:\> vssadmin revert shadow /shadow={<SHADOW COPY
ID>} /ForceDismount

تاریخچه نسخه های قبلی فایل را با volrest.exe بازیابی کنید:

منبع. https://www.microsoft.com/enus/ download/details.aspx?id=17657

C:\> "\Program Files (x86)\Windows Resource
Kits\Tools\volrest.exe" "\\localhost\c$\<PATH TO
FILE>\<FILE NAME>"

پرش به نسخه انتخاب شده از فایل یا @GMT با استفاده از volrest.exe:

C:\> subst Z: \\localhost\c$\$\<PATH TO FILE>
C:\> "\Program Files (x86)\Windows Resource
Kits\Tools\volrest.exe" "\\localhost\c$\<PATH TO
FILE>\<CURRENT FILE NAME OR @GMT FILE NAME FROM LIST
COMMAND ABOVE>" /R:Z:\
C:\> subst Z: /0

پرش به مسیر و یا زیر مسیر دیگر با استفاده از volrest.exe:

C: \> "\Program Files (x86) \Windows Resource
Kits\Tools\volrest.exe" \\localhost\c$\<PATH TO
FOLDER\*·* /5 /r:\\localhost\c$\<PATH TO FOLDER>\

پرش به فایل shadow انتخاب شده در ویندوز سرور و ویندوز 7 و ویندوز 10 با استفاده از wmic:

C:\> wmic shadowcopy call create Volume='C:\'

ایجاد یک کپی shadow از volume C بر روی ویندوز 7 و ویندوز 10 با استفاده از PowerShell:

PS C:\> (gwmi -list
win32_shadowcopy).Create('C:\', 'ClientAccessible')

ایجاد یک shadow copy از volume C بر روی ویندوز سرور 2003 و ویندوز سرور 2008:

C:\> vssadmin create shadow /for=c:

ایجاد یک نقطه بازیابی در ویندوز:

C:\> wmic.exe /Namespace:\\root\default Path
SystemRestore Call CreateRestorePoint "%DATE%", 100,
7

بازیابی به نقطه بازیابی در ویندوز Windows XP:

C:\> sc config srservice start= disabled
C:\> reg add
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SystemRestore" /v DisableSR /t
REG_DWORD /d 1 /f
C:\> net stop srservice

لیست نقاط قابل بازیابی:

PS C:\> Get-ComputerRestorePoint

بازگرداندن به نقطه قابل بازیابی:

PS C:\> Restore-Computer -RestorePoint <RESTORE
POINT#> -Confirm

لینوکس

راه اندازی مجدد کلمه عبور کاربر root در حالت single user mode:

مرحله 1: راه اندازی مجدد سیستم.

# reboot -f

مرحله 2: فشردن کلید ESC برای ورود به صفحه GRUB.

مرحله 3: انتخاب موجودیت پیش فرض و فشردن کلید e برای ویرایش.

مرحله 4: جست و جو برای خطی که آغاز آن با کلمات linux و linux16 یا linuxefi آغاز شده است.

مرحله 5: انتهای آن این خط ‘rw init=/bin/bash’ را اضافه کنید.

مرحله 6: فشردن کلید های ترکیبی Ctrl-X برای راه اندازی مجدد.

مرحله 7: بعد از راه اندازی مجدد باید در حالت single user mode و کاربر root وارد شوید وبتوانید کلمه عبور خود را با دستور زیر تغییر دهید.

# passwd

مرحله 8: راه اندازی مجدد سیستم.

# reboot -f

نصب مجدد بسته ها:

# apt-get install --reinstall <COMPROMISED PACKAGE
NAME>

نصب مجدد تمام بسته ها:

# apt-get install --reinstall $(dpkg --getselections
lgrep -v deinstall)

حذف فرآیند MALWARE

ویندوز

ابزار Malware Removal:

منبع. http://www.gmer.net/

C:\> gmer.exe (GUI)

حذف فایل مشکوک در حال اجرا:

C:\> gmer.exe -killfile
C:\WINDOWS\system32\drivers\<MALICIOUS FILENAME>.exe

حذف فایل مشکوک در حال اجرا در PowerShell:

PS C:\> Stop-Process -Name <PROCESS NAME>
PS C:\> Stop-Process -ID <PID>

لینوکس

توقف فرآیند malware:

# kill <MALICIOUS PID>

ایجاد قابلیت اجرایی malware و تغییر مسیر آن:

# chmod -x /usr/sbin/<SUSPICIOUS FILE NAME>
# mkdir /home/quarantine/
# mv /usr/sbin/<SUSPICIOUS FILE NAME>
/home/quarantine/

توقف برنامه استفاده کننده از پورت خاص

fuser -k 80/tcp