攻防演练里，钓鱼再常见不过了。但在应急过程中，并非删除木马就大功告成。

我们建议，完整的应急响应需要从以下五个方面开展。

一、切断网络

第一时间切断失陷终端网络，是最快速、最有效的手段。可以利用EDR（截图）、防火墙、准入等设备进行网络隔离，也可手动断网。

二、分析样本及攻击行为

这一点至关重要，因为溯源和样本分析结果将直接指导接下来的所有处置行动，确保清理工作的彻底性。

（1）攻击溯源。基于EDR采集到的终端行为日志，全面还原样本执行过程，分析内容包括：

- 回连的 C2 地址

- 攻击者植入的持久化和驻留项

- 攻击者使用的后渗透工具

- 是否窃取凭据

- 是否发生横向移动尝试等

（2）获取样本。在重装系统之前，务必获取恶意样本文件。通过对样本进行逆向分析，可以提取关键的威胁情报，用于后续的Hunting（威胁狩猎，即主动在全网环境中寻找是否有其他潜在的中招机器）。

三、清理失陷终端和相关账号

根据分析结果，需要从以下三个方面进行处置。

（1）隔离、删除恶意工具，包括初始样本及释放的各类工具。

（2）彻底清理持久化和驻留项，例如开机启动项、计划任务、注册表等等。如果仅仅删除了病毒文件，这些后门可能会在下次开机时再次带入木马。

（3）管控相关工作账号，尤其是特权账户。除了修改账号密码、限制权限之外，还要排查相关系统日志，有没有异常登录或其他高危行为。

四、排查更多被钓鱼的终端

一台终端被钓鱼，意味着攻击者可能向许多员工投递了木马。我们需要立即在全网进行排查其他潜在中招的终端。排查动作包括：

（1）反查C2：提取回连C2，在NDR、SOC等平台上，反查回连同一C2的终端。不过由于攻防演练中大多数样本使用域前置，将C2隐藏在合法域名后面，因此效果有限。

（2）反查Hash：提取样本Hash，用EDR、杀软全网扫描。

（3）邮件排查：针对企业邮箱的钓鱼，可在邮件网关、邮件服务器上排查钓鱼邮件的收件人。

（4）IM排查：针对IM钓鱼，排查是否拉群或者投递更多人，确认是否还有其他员工下载运行了钓鱼文件。

五、排查横向移动目标

如果处置的不及时，或者EDR已明确检测到横移，那么排查横移是非常重要的。

（1）从流量日志中梳理失陷终端访问了哪些主机，尤其要注意攻击告警或其他风险项。

（2）梳理攻击者潜在的横向渗透目标，尤其是集权系统，从NDR、EDR或者HIDS的告警中，排查这些目标是否有被攻击或者异常访问的痕迹。

如有发现要进行一系列的响应处置工作，包括不限于，下线业务，封禁网络，清理木马或后门，清理权限、漏洞修复、安全加固等。

这一步骤在被钓鱼和钓鱼阻断间隔时间较大的时候，是非常有可能存在的，且这部分应急响应工作量巨大，本文不会拓展更多细节描述该部分，最好的办法是借助有效检测手段，在钓鱼投递或者执行初始就尽快阻断攻击，不要发生横移。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！