🚨 应急响应 | Emergency Response for Windows

  • Naykcin
  • 9 Minutes
  • January 3, 2020

🚨 应急响应 | Emergency Response for Windows

📍 0x00 前言

当企业发生黑客入侵、系统崩溃或其他影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短的时间内恢复正常工作,进一步查找入侵来源,还原过程,同时给出解决方案和防范措施,为企业挽回或减少经济损失。

常见的应急响应事件分类:

web 入侵:网页挂马、主页篡改、webshell

系统入侵:病毒木马、勒索软件、远控后门

网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗

💡 0x01 思路

  1. 账号安全
  2. 端口、进程
  3. 启动项、计划任务、服务
  4. 系统相关信息
  5. 自动化查杀
  6. 日志分析

📍 0x02 姿势

⚙️ 0x02-1 检查系统账号安全

  1. 查看服务器是否含有弱口令,远程管理端口是否对公网开放。

    可咨询网络管理员
  2. 查看服务器是否存在可疑、新增账号。

    lusrmgr.msc 本地用户和组
    查看是否有可疑、新增账号,如有管理员群组的新增账户,要立即禁用或删除。
  3. 查看服务器是否存在隐藏账号、克隆账号。

    // 打开注册表,查看管理员对应键值。
    // 使用 D盾_web 查杀工具,集成了对克隆账号检测的功能。
  4. 结合日志,查看管理员登录时间、用户名是否存在异常。

    eventvwr.msc 事件查看器
    导出 Windows 日志,利用 log parser 进行分析

⚙️ 0x02-2 检查异常端口、进程

  1. 检查端口连接情况,是否有远程连接、可疑连接。

    c:\> netstat -ano
    // 查看目前的网络连接,定位可疑的 ESTABLISHED

    根据 netstat 定位出的 pid,通过 tasklist 命令或者任务管理器直接定位出进程/程序。

    c:\> tasklist | findstr "1234"
  2. 进程

    1、
    运行 - msinfo32
    软件环境 - 正在运行任务,即可查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等。

    2、
    打开 D盾_web 查杀工具,进程查看,关注没有签名信息的进程。

    3、
    利用微软官方提供的 Process Explorer 工具进行排查。

    4、
    查看可以的进程及子进程,包括但不限于:
    · 没有签名验证信息的进程
    · 没有描述信息的进程
    · 进程的属主
    · 进程的路径是否合法
    · CPU 或内存资源占用时间过高的进程

⚙️ 0x02-3 检查启动项、计划任务、服务

  1. 检查服务器是否有异常的启动项。

    // 1
    登录服务器,【开始】-【所有程序】-【启动】,默认情况下此目录应该是一个空目录,确认是否有非业务程序在该目录下。

    // 2
    运行 - msconfig
    查看是否存在命名异常的启动项目,如果有则取消勾选命名异常的启动项目,并到命令中显示的路径中删除文件。

    屏幕快照 2020-01-07 下午3.59.04

    // 3
    运行 - regedit 打开注册表,查看开机启动项是否正常,尤其是一下三个注册表项:

    HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

    检查右侧是否有启动异常的项目,如果有则删除,安装杀毒软件查杀病毒或木马。

    也可利用安全软件查看启动项、开机时间管理等。

    运行 - gpedit.msc 打开组策略
    计算机配置 - Windows 设置 - 脚本

    屏幕快照 2020-01-07 下午4.05.24

  2. 检查计划任务

    // 1
    控制面板 - 任务计划,查看计划任务属性,便可发现木马文件的路径

    // 2
    c:\> at
    检查计算机与网络上的其他计算机之间的会话或计划任务,如果有的话需要确认是正常连接。
  3. 服务自启动

    运行 - services.msc
    注意服务状态和启动类型,检查是否有异常服务。

⚙️ 0x02-4 检查系统相关信息

  1. 系统版本及补丁信息

    c:\> systeminfo
  2. 查找可疑目录、文件

    // 1
    // 用户家目录,如果是新建账户,生成用户目录
    // windows server 2003
    c:\Documents and Settings

    // windows server 2008 R2
    c:\users\


    // 2
    开始 - 运行 - %userprofile%\recent,分析最近打开的文件,对可疑文件进行分析。

    // 3
    在服务器各个目录,可用时间进行排序,查找可疑的文件

    // 4
    回收站、浏览器下载目录、浏览器历史浏览记录

    // 5
    修改时间在创建时间之前的可疑文件
  3. 假如已经发现 webshell、远控木马的创建时间,如何找出同一时间范围内创建的文件?

    // 1
    利用 registry workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。

    // 2
    利用计算机自带的文件搜索功能,指定修改时间进行搜索。

⚙️ 0x02-5 自动化查杀

⚙️ 0x02-6 日志分析