🚨 应急响应 | Emergency Response for WindowsNaykcin9 MinutesJanuary 3, 2020

🚨 应急响应 | Emergency Response for Windows

📍 0x00 前言

当企业发生黑客入侵、系统崩溃或其他影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短的时间内恢复正常工作，进一步查找入侵来源，还原过程，同时给出解决方案和防范措施，为企业挽回或减少经济损失。

常见的应急响应事件分类：

web 入侵：网页挂马、主页篡改、webshell

系统入侵：病毒木马、勒索软件、远控后门

网络攻击：DDOS 攻击、DNS 劫持、ARP 欺骗

💡 0x01 思路

1. 账号安全
2. 端口、进程
3. 启动项、计划任务、服务
4. 系统相关信息
5. 自动化查杀
6. 日志分析

📍 0x02 姿势

⚙️ 0x02-1 检查系统账号安全

1. 查看服务器是否含有弱口令，远程管理端口是否对公网开放。

   可咨询网络管理员

2. 查看服务器是否存在可疑、新增账号。

   lusrmgr.msc 本地用户和组
   查看是否有可疑、新增账号，如有管理员群组的新增账户，要立即禁用或删除。

3. 查看服务器是否存在隐藏账号、克隆账号。

   // 打开注册表，查看管理员对应键值。
   // 使用 D盾_web 查杀工具，集成了对克隆账号检测的功能。

4. 结合日志，查看管理员登录时间、用户名是否存在异常。

   eventvwr.msc 事件查看器
   导出 Windows 日志，利用 log parser 进行分析

⚙️ 0x02-2 检查异常端口、进程

1. 检查端口连接情况，是否有远程连接、可疑连接。

   c:\> netstat -ano
   // 查看目前的网络连接，定位可疑的 ESTABLISHED

   根据 netstat 定位出的 pid，通过 tasklist 命令或者任务管理器直接定位出进程/程序。

   c:\> tasklist | findstr "1234"

2. 进程

   1、
   运行 - msinfo32
   软件环境 - 正在运行任务，即可查看到进程的详细信息，比如进程路径、进程 ID、文件创建日期、启动时间等。
   
   2、
   打开 D盾_web 查杀工具，进程查看，关注没有签名信息的进程。
   
   3、
   利用微软官方提供的 Process Explorer 工具进行排查。
   
   4、
   查看可以的进程及子进程，包括但不限于：
   · 没有签名验证信息的进程
   · 没有描述信息的进程
   · 进程的属主
   · 进程的路径是否合法
   · CPU 或内存资源占用时间过高的进程

⚙️ 0x02-3 检查启动项、计划任务、服务

1. 检查服务器是否有异常的启动项。

   // 1
   登录服务器，【开始】-【所有程序】-【启动】，默认情况下此目录应该是一个空目录，确认是否有非业务程序在该目录下。
   
   // 2
   运行 - msconfig
   查看是否存在命名异常的启动项目，如果有则取消勾选命名异常的启动项目，并到命令中显示的路径中删除文件。

   

   // 3
   运行 - regedit 打开注册表，查看开机启动项是否正常，尤其是一下三个注册表项：
   
   HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

   检查右侧是否有启动异常的项目，如果有则删除，安装杀毒软件查杀病毒或木马。

   也可利用安全软件查看启动项、开机时间管理等。

   运行 - gpedit.msc 打开组策略
   计算机配置 - Windows 设置 - 脚本

   

2. 检查计划任务

   // 1
   控制面板 - 任务计划，查看计划任务属性，便可发现木马文件的路径
   
   // 2
   c:\> at
   检查计算机与网络上的其他计算机之间的会话或计划任务，如果有的话需要确认是正常连接。

3. 服务自启动

   运行 - services.msc
   注意服务状态和启动类型，检查是否有异常服务。

⚙️ 0x02-4 检查系统相关信息

1. 系统版本及补丁信息

   c:\> systeminfo

2. 查找可疑目录、文件

   // 1
   // 用户家目录，如果是新建账户，生成用户目录
   // windows server 2003
   c:\Documents and Settings
   
   // windows server 2008 R2
   c:\users\
   
   
   // 2
   开始 - 运行 - %userprofile%\recent，分析最近打开的文件，对可疑文件进行分析。
   
   // 3
   在服务器各个目录，可用时间进行排序，查找可疑的文件
   
   // 4
   回收站、浏览器下载目录、浏览器历史浏览记录
   
   // 5
   修改时间在创建时间之前的可疑文件

3. 假如已经发现 webshell、远控木马的创建时间，如何找出同一时间范围内创建的文件？

   // 1
   利用 registry workshop 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件。
   
   // 2
   利用计算机自带的文件搜索功能，指定修改时间进行搜索。

⚙️ 0x02-5 自动化查杀

• 病毒查杀

  检查方法：利用安全软件，更新最新的病毒库，进行全盘扫描

• webshell 查杀

  检查方法：选择具体站点路径进行 webshell 查杀，建议使用两款 webshell 查杀工具同时查杀，可以互相补充规则库的不足。

⚙️ 0x02-6 日志分析

• 系统日志

  // 前提
  开启审核策略，如果日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。
  
  运行 - eventvwr.msc 打开事件查看器
  导出应用程序日志、安全日志、系统日志，利用 log parser 进行分析。

• web 访问日志

  找到对应中间件的 web 日志，打包到本地方便进行分析。

  // 工具
  Windows - emeditor
  Linux - 利用命令即可