事件描述

非法外联指的是主机、网络或应用程序未经授权或不符合安全策略的情况下，与外部网络或服务器建立的连接。

产生外联的情况有：未经授权的网络连接，恶意软件，病毒等

可能的危害：

非法外联可能造成敏感数据丢失，导致敏感数据（如客户信息、财务记录、公司机密等）被泄露到外部攻击者或第三方。 知识产权损害：机密研发信息或商业机密被窃取。恶意软件可能通过非法外联与远程控制服务器通信，允许攻击者远程操控主机。感染的主机可以通过网络将病毒或其他恶意软件传播到其他系统，造成广泛的损害。

如何识别非法外联：

流量监控：通过网络监控工具检测异常的流量模式、未授权的连接请求或外部通信。

日志分析：分析主机和网络设备的日志，查找未经授权的外部连接记录。

安全策略审核：定期审查网络和安全策略，确保所有外部连接符合组织的安全要求。

发生非法外联时如何排查：

• 首先根据相关设备的告警确认非法外联的主机并在相关对设备上对外联地址进行封禁。
• 封禁后对主机进行排查

Windows下排查

命令netstat -ano 查看端口及外联信息（或使用netstat -ano |findstr “x.x.x.x”，其中x.x.x.x为外联的IP地址）

通过查询出的进程pid对程序进行定位。

命令：wmic process where processid="PID" get ExecutablePath，其中pid为查询出来的pid，该命令成功定位到相关的程序位置。

或者使用powershell进行定位

命令：(Get-Process -Id PID).Path

此时已经得到进程的程序路径。有时会碰到文件隐藏的情况。可以将命令行切换到文件所在目录下使用attrib命令来取消隐藏属性，提取文件即可。

attrib –H xxxx    xxxx为文件名

当发现进程为系统进程时，由于木马采用的是注入的方式，提取磁盘中的文件则没有意义，此时需要将内存中正在运行的进程转储提取。打开任务管理器，在进程那一栏找到对应进程名，右键单击->创建转储文件。

如何判断一个进程及对应文件是否为系统文件，首先创建进程的用户名一般来说是System，第二，在定位文件位置后一般系统进程都位于Windows的System32目录下，将此文件Hash在VT查找，确定是否为病毒伪装。

TCPView：

TCPView是一款由微软的 Sysinternals 提供的免费工具，用于实时查看Windows系统中所有的TCP和UDP端口活动。它类似于命令行工具 netstat，但具有更直观和用户友好的图形界面。