Day-261-威胁根除与系统修复

# Day 282: 威胁根除与系统修复

> 应急响应系列第 22 天 | 预计阅读时间：32 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [根除概述](#根除概述)
2. [恶意代码清除](#恶意代码清除)
3. [持久化清理](#持久化清理)
4. [漏洞修复](#漏洞修复)
5. [账户安全修复](#账户安全修复)
6. [配置恢复](#配置恢复)
7. [根除验证](#根除验证)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 根除概述

### 什么是根除

**根除（Eradication）** 是在遏制完成后，彻底清除威胁、消除事件根源的应急响应行动。

### 根除与遏制的区别

| 维度 | 遏制 | 根除 |
|------|------|------|
| **目标** | 阻止扩散 | 彻底清除 |
| **时机** | 事件确认后 | 遏制完成后 |
| **措施** | 隔离、限制 | 清除、修复 |
| **时间** | 快速 | 彻底但耗时 |

### 根除目标

| 目标 | 说明 |
|------|------|
| **清除恶意代码** | 删除所有恶意文件、进程 |
| **消除持久化** | 清除所有持久化机制 |
| **修复漏洞** | 修补被利用的漏洞 |
| **重置凭证** | 更改所有相关凭证 |
| **恢复配置** | 恢复安全配置 |

---

## 恶意代码清除

### 文件清除

#### 定位恶意文件

```powershell
# Windows - 搜索可疑文件
Get-ChildItem -Path C:\ -Recurse -Force -ErrorAction SilentlyContinue | 
  Where-Object {
    $_.Name -match "malware|evil|hack" -or
    $_.LastWriteTime -gt (Get-Date).AddHours(-24)
  }

# Linux - 搜索可疑文件
find / -name "*malware*" -o -name "*evil*" 2>/dev/null
find / -type f -mtime -1 -ls 2>/dev/null | head -50
```

#### 安全删除

```powershell
# Windows - 安全删除（覆盖后删除）
cipher /w:C:\path\to\malware.exe

# 或使用专业工具
sdelete -p 3 C:\path\to\malware.exe

# Linux - 安全删除
shred -u -z -n 3 /path/to/malware

# 普通删除（先备份证据）
cp malware.exe /evidence/
rm malware.exe
```

### 进程清除

#### 终止恶意进程

```powershell
# Windows - 终止进程树
$process = Get-Process -Name "malware"
$process.Kill()

# 终止进程树（包括子进程）
Get-CimInstance Win32_Process | Where-Object {$_.Name -eq "malware.exe"} | 
  ForEach-Object {
    Get-CimInstance Win32_Process | Where-Object {$_.ParentProcessId -eq $_.ProcessId} | 
    ForEach-Object { Stop-Process -Id $_.ProcessId -Force }
    Stop-Process -Id $_.ProcessId -Force
  }

# Linux - 终止进程树
pstree -p malware | grep -oP '\(\K\d+' | xargs kill -9
```

### 注册表清理（Windows）

#### 清除恶意注册表项

```powershell
# 检查常见持久化位置
$runKeys = @(
    "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run",
    "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run",
    "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce",
    "HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce"
)

foreach ($key in $runKeys) {
    Get-ItemProperty -Path $key | 
    Get-Member -MemberType NoteProperty | 
    ForEach-Object {
        $value = Get-ItemProperty -Path $key -Name $_.Name
        if ($value.$($_.Name) -match "malware|evil") {
            Remove-ItemProperty -Path $key -Name $_.Name -Force
        }
    }
}
```

---

## 持久化清理

### 计划任务清理

#### Windows 计划任务

```powershell
# 列出所有计划任务
Get-ScheduledTask | Select-Object TaskName, State, TaskPath

# 查找可疑任务
Get-ScheduledTask | Where-Object {
    $_.Actions.Execute -match "malware|evil|powershell.*-enc"
}

# 删除可疑任务
Get-ScheduledTask -TaskName "MaliciousTask" | Unregister-ScheduledTask -Confirm:$false

# 导出任务（备份）
Export-ScheduledTask -TaskName "TaskName" | Out-File "task_backup.xml"
```

#### Linux Cron 清理

```bash
# 检查用户 crontab
crontab -l
cat /etc/crontab

# 检查系统 cron 目录
ls -la /etc/cron.*
cat /etc/cron.d/*

# 删除恶意 cron
crontab -r  # 删除当前用户所有 cron
rm /etc/cron.d/malicious

# 检查 systemd timers
systemctl list-timers --all
systemctl disable malicious.timer
```

### 服务清理

#### Windows 服务

```powershell
# 列出所有服务
Get-Service | Select-Object Name, Status, StartType

# 查找可疑服务
Get-WmiObject Win32_Service | Where-Object {
    $_.PathName -match "malware|evil" -or $_.Name -match "malicious"
}

# 停止并删除服务
Stop-Service -Name "MaliciousService" -Force
sc delete MaliciousService
```

#### Linux 服务

```bash
# 列出所有服务
systemctl list-units --type=service --all

# 查找可疑服务
systemctl list-units --all | grep -i malicious

# 停止并禁用服务
systemctl stop malicious.service
systemctl disable malicious.service
rm /etc/systemd/system/malicious.service
systemctl daemon-reload
```

### 启动项清理

#### Windows 启动项

```powershell
# 检查启动项
Get-CimInstance Win32_StartupCommand | Select-Object Name, Command, Location

# 检查注册表启动项
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run"
Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"

# 删除恶意启动项
Remove-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "Malware" -Force
```

#### Linux 启动项

```bash
# 检查 init.d
ls -la /etc/init.d/

# 检查 systemd
ls -la /etc/systemd/system/

# 检查 rc.local
cat /etc/rc.local

# 删除恶意启动项
rm /etc/init.d/malicious
update-rc.d malicious remove
```

### WMI 持久化清理

```powershell
# 检查 WMI 订阅
Get-WmiObject -Namespace root\subscription -Class __EventConsumer
Get-WmiObject -Namespace root\subscription -Class __EventFilter
Get-WmiObject -Namespace root\subscription -Class __FilterToConsumerBinding

# 删除 WMI 持久化
Get-WmiObject -Namespace root\subscription -Class __EventConsumer -Filter "Name='MaliciousConsumer'" | Remove-WmiObject
Get-WmiObject -Namespace root\subscription -Class __EventFilter -Filter "Name='MaliciousFilter'" | Remove-WmiObject
```

---

## 漏洞修复

### 补丁管理

#### Windows 补丁

```powershell
# 检查已安装补丁
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20

# 检查可用补丁
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate

# 安装补丁
Install-WindowsUpdate -AcceptAll -IgnoreReboot

# 手动下载补丁
# https://www.catalog.update.microsoft.com/
```

#### Linux 补丁

```bash
# Debian/Ubuntu
apt update
apt list --upgradable
apt upgrade -y

# RHEL/CentOS
yum check-update
yum update -y

# 查看已安装补丁
rpm -qa --last | head -20
```

### 配置修复

#### 安全配置基线

```
修复内容：
1. 禁用不必要服务
2. 关闭不必要端口
3. 配置防火墙规则
4. 启用安全日志
5. 配置密码策略
```

#### Windows 安全配置

```powershell
# 启用防火墙
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

# 启用审计
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
auditpol /set /category:"Object Access" /success:enable /failure:enable

# 配置密码策略
net accounts /minpwlen:12 /maxpwage:90 /minpwage:1 /uniquepw:5
```

#### Linux 安全配置

```bash
# 配置防火墙
ufw enable
ufw default deny incoming
ufw allow ssh
ufw allow http
ufw allow https

# 配置 SSH
vim /etc/ssh/sshd_config
# PermitRootLogin no
# PasswordAuthentication no
# PubkeyAuthentication yes

systemctl restart sshd
```

### 应用漏洞修复

#### Web 应用修复

```
修复步骤：
1. 识别被利用的漏洞
2. 应用官方补丁
3. 如无法补丁，实施临时缓解
4. 验证修复效果
5. 持续监控
```

#### 代码修复

```
示例：SQL 注入修复

修复前：
query = "SELECT * FROM users WHERE id=" + user_input

修复后（参数化查询）：
cursor.execute("SELECT * FROM users WHERE id=?", (user_input,))
```

---

## 账户安全修复

### 凭证重置

#### 强制密码重置

```powershell
# AD 批量密码重置
Get-ADUser -Filter * | ForEach-Object {
    Set-ADAccountPassword -Identity $_ -Reset -NewPassword (ConvertTo-SecureString "TempP@ssw0rd123" -AsPlainText -Force)
    Set-ADUser -Identity $_ -ChangePasswordAtLogon $true
}

# 本地账户密码重置
net user administrator NewP@ssw0rd123
net user guest NewP@ssw0rd123
```

#### 服务账户凭证

```powershell
# 重置服务账户密码
# 1. 生成新密码
$newPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 20 | ForEach-Object {[char]$_})

# 2. 更新 AD 账户
Set-ADAccountPassword -Identity "svc_account" -NewPassword (ConvertTo-SecureString $newPassword -AsPlainText -Force)

# 3. 更新服务配置
sc config "ServiceName" obj= ".\svc_account" password= "$newPassword"
```

### SSH 密钥轮换

```bash
# 吊销所有 SSH 密钥
> ~/.ssh/authorized_keys

# 重新部署新密钥
# 从安全渠道获取新公钥
cat new_id_rsa.pub >> ~/.ssh/authorized_keys

# 设置正确权限
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh/
```

### API 密钥轮换

```powershell
# AWS 访问密钥轮换
# 1. 创建新密钥
aws iam create-access-key --user-name username

# 2. 更新应用程序配置

# 3. 删除旧密钥
aws iam delete-access-key --access-key-id OLDKEYID --user-name username

# Azure 服务主体密钥轮换
# 通过 Azure Portal 或 CLI 轮换
```

---

## 配置恢复

### 从备份恢复

#### 系统配置恢复

```powershell
# Windows - 从系统还原点恢复
# 1. 列出还原点
Get-ComputerRestorePoint

# 2. 恢复到还原点
Restore-Computer -RestorePoint "RestorePointName"

# Linux - 从备份恢复配置
rsync -av /backup/etc/ /etc/
systemctl daemon-reload
```

#### 应用配置恢复

```
恢复步骤：
1. 识别被篡改的配置文件
2. 从备份恢复配置
3. 验证配置正确性
4. 重启应用
5. 验证功能正常
```

### 基线对比恢复

```powershell
# 使用配置基线对比恢复
# 1. 获取当前配置
Get-ChildItem C:\Windows\System32\config\ | Export-Clixml current_config.xml

# 2. 与基线对比
Compare-Object (Import-Clixml baseline_config.xml) (Import-Clixml current_config.xml)

# 3. 恢复差异项
```

---

## 根除验证

### 验证清单

```markdown
## 恶意代码清除验证
- [ ] 所有已知恶意文件已删除
- [ ] 所有恶意进程已终止
- [ ] 内存扫描无异常

## 持久化清理验证
- [ ] 注册表启动项已清理
- [ ] 计划任务已清理
- [ ] 服务已清理
- [ ] WMI 订阅已清理
- [ ] 启动文件夹已清理

## 漏洞修复验证
- [ ] 所有相关补丁已安装
- [ ] 安全配置已恢复
- [ ] 漏洞扫描通过

## 账户安全验证
- [ ] 所有相关密码已重置
- [ ] SSH 密钥已轮换
- [ ] API 密钥已轮换
- [ ] 可疑账户已禁用
```

### 验证工具

#### 恶意软件扫描

```powershell
# Windows Defender 全面扫描
Start-MpScan -ScanType FullScan

# 使用 EDR 扫描
# 根据 EDR 平台执行扫描命令
```

#### 配置合规检查

```bash
# Linux - 使用 Lynis 审计
lynis audit system

# Windows - 使用 Microsoft Security Compliance Toolkit
```

### 持续监控

```
监控期建议：
- 高威胁事件：监控 30 天
- 中威胁事件：监控 14 天
- 低威胁事件：监控 7 天

监控内容：
- 端点活动
- 网络流量
- 登录日志
- 进程创建
```

---

## 总结与思考

### 核心要点回顾

1. **根除要彻底** - 不留任何威胁残留

2. **持久化是重点** - 攻击者会建立多种持久化

3. **漏洞必须修复** - 否则会被再次利用

4. **凭证全部重置** - 假设所有凭证已泄露

5. **验证不可少** - 确认根除效果

### 实战建议

1. **使用检查清单** - 确保不遗漏

2. **自动化验证** - 脚本化验证流程

3. **记录完整** - 所有操作可追溯

4. **持续监控** - 根除后继续监控

5. **经验总结** - 更新根除流程

---

## 参考资料

### 学习资源

- **NIST SP 800-61** - Computer Security Incident Handling Guide
- **SANS Incident Response** - https://www.sans.org/incident-response/

### 工具资源

- **Microsoft Security Compliance Toolkit** - https://www.microsoft.com/security/blog/
- **Lynis** - https://cisofy.com/lynis/

---

*365 天信息安全技术系列 | Day 282 | 威胁根除与系统修复*