🚨 应急响应 | Emergency Response for Windows
📍 0x00 前言
当企业发生黑客入侵、系统崩溃或其他影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短的时间内恢复正常工作,进一步查找入侵来源,还原过程,同时给出解决方案和防范措施,为企业挽回或减少经济损失。
常见的应急响应事件分类:
web 入侵:网页挂马、主页篡改、webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗
💡 0x01 思路
- 账号安全
- 端口、进程
- 启动项、计划任务、服务
- 系统相关信息
- 自动化查杀
- 日志分析
📍 0x02 姿势
⚙️ 0x02-1 检查系统账号安全
查看服务器是否含有弱口令,远程管理端口是否对公网开放。
可咨询网络管理员
查看服务器是否存在可疑、新增账号。
lusrmgr.msc 本地用户和组
查看是否有可疑、新增账号,如有管理员群组的新增账户,要立即禁用或删除。查看服务器是否存在隐藏账号、克隆账号。
// 打开注册表,查看管理员对应键值。
// 使用 D盾_web 查杀工具,集成了对克隆账号检测的功能。结合日志,查看管理员登录时间、用户名是否存在异常。
eventvwr.msc 事件查看器
导出 Windows 日志,利用 log parser 进行分析
⚙️ 0x02-2 检查异常端口、进程
检查端口连接情况,是否有远程连接、可疑连接。
c:\> netstat -ano
// 查看目前的网络连接,定位可疑的 ESTABLISHED根据 netstat 定位出的 pid,通过 tasklist 命令或者任务管理器直接定位出进程/程序。
c:\> tasklist | findstr "1234"
进程
1、
运行 - msinfo32
软件环境 - 正在运行任务,即可查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等。
2、
打开 D盾_web 查杀工具,进程查看,关注没有签名信息的进程。
3、
利用微软官方提供的 Process Explorer 工具进行排查。
4、
查看可以的进程及子进程,包括但不限于:
· 没有签名验证信息的进程
· 没有描述信息的进程
· 进程的属主
· 进程的路径是否合法
· CPU 或内存资源占用时间过高的进程
⚙️ 0x02-3 检查启动项、计划任务、服务
检查服务器是否有异常的启动项。
// 1
登录服务器,【开始】-【所有程序】-【启动】,默认情况下此目录应该是一个空目录,确认是否有非业务程序在该目录下。
// 2
运行 - msconfig
查看是否存在命名异常的启动项目,如果有则取消勾选命名异常的启动项目,并到命令中显示的路径中删除文件。// 3
运行 - regedit 打开注册表,查看开机启动项是否正常,尤其是一下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce检查右侧是否有启动异常的项目,如果有则删除,安装杀毒软件查杀病毒或木马。
也可利用安全软件查看启动项、开机时间管理等。
运行 - gpedit.msc 打开组策略
计算机配置 - Windows 设置 - 脚本检查计划任务
// 1
控制面板 - 任务计划,查看计划任务属性,便可发现木马文件的路径
// 2
c:\> at
检查计算机与网络上的其他计算机之间的会话或计划任务,如果有的话需要确认是正常连接。服务自启动
运行 - services.msc
注意服务状态和启动类型,检查是否有异常服务。
⚙️ 0x02-4 检查系统相关信息
系统版本及补丁信息
c:\> systeminfo
查找可疑目录、文件
// 1
// 用户家目录,如果是新建账户,生成用户目录
// windows server 2003
c:\Documents and Settings
// windows server 2008 R2
c:\users\
// 2
开始 - 运行 - %userprofile%\recent,分析最近打开的文件,对可疑文件进行分析。
// 3
在服务器各个目录,可用时间进行排序,查找可疑的文件
// 4
回收站、浏览器下载目录、浏览器历史浏览记录
// 5
修改时间在创建时间之前的可疑文件假如已经发现 webshell、远控木马的创建时间,如何找出同一时间范围内创建的文件?
// 1
利用 registry workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。
// 2
利用计算机自带的文件搜索功能,指定修改时间进行搜索。
⚙️ 0x02-5 自动化查杀
病毒查杀
检查方法:利用安全软件,更新最新的病毒库,进行全盘扫描
webshell 查杀
检查方法:选择具体站点路径进行 webshell 查杀,建议使用两款 webshell 查杀工具同时查杀,可以互相补充规则库的不足。
⚙️ 0x02-6 日志分析
系统日志
// 前提
开启审核策略,如果日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
运行 - eventvwr.msc 打开事件查看器
导出应用程序日志、安全日志、系统日志,利用 log parser 进行分析。web 访问日志
找到对应中间件的 web 日志,打包到本地方便进行分析。
// 工具
Windows - emeditor
Linux - 利用命令即可