企業資安防禦的關鍵點:暗網情資>>>立即了解
IR 服務深度介紹

【資安事件處理實務】如何自行檢查系統是否被入侵?

2023.01.31GSS & IR Team
Share:
網路攻擊事件頻傳,同時也提高人們的警戒心。若企業組織懷疑自身系統、機器等可能遭受攻擊入侵,TeamT5 杜浦數位安全團隊依據長期豐富的資安事件調查經驗,提供下列檢查方向。

1.檢查是否有異常行為

  • 大量登入異常Event log (可能為密碼噴灑攻擊 password spraying)
  • Event log id : 4624, 4625
  • 異常之高權限操作行為

2.檢查是否有新增高權限的帳號或是新被加入 domain 的機器

  • 如有,就可以從帳號或是機器著手回溯源頭

3.檢查是否有異常的註冊機碼(registry)

  • 清除惡意程式 persistence 的機制

4.檢查是否有異常的頻寬用量

  • 確認從哪台端點發出,以推測是什麼資料遭竊取

5.檢查是否有安裝異常的應用程式或服務

  • PSEXEC、Anydesk

6.理出攻擊時間線(Timeline)

7.找出攻擊源頭



TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為,具備第一線國內外資安事件處理的豐富經驗。當資安事件發生,我們可快速完成受駭現場與歷史軌跡的綜整分析,發掘攻擊者的入侵過程與手法,提供事件處理的深入分析及建議,協助您復原與改善資安環境。
若您有資安事件處理、應變的需求,歡迎填寫諮詢表單: https://teamt5.org/tw/request-information/


*首圖來源:Pixabay
2023.01.31GSS & IR Team
Share:

Related Post

產品與服務
2022.06.01

企業挑選資安廠商的3項重點

cyber security, ThreatVision, ThreatSonar, anti ransomware
為提供您最佳的服務體驗,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權與Cookies使用政策。