Windows入侵排查思路

1.檢查系統賬號安全

檢查系統是否存在弱口令、可疑賬號、新增賬號

• 詢問管理員

• 檢視本地使用者和組（cmd=>lusrmgr.msc），禁用或者刪除新增或者可疑賬號

• 檢視隱藏賬號和克隆賬號

  • 檢視登錄檔 HKEY_LOCAL_MACHINE\SAM\SA
  • D盾查殺 M\Domains\Account\Users

2.檢測異常埠、程序

2.1 檢查埠連線情況，是否有遠端連線、可疑連線。

• netstat -ano 檢視目前的網路連線，定位可疑的ESTABLISHED

• 根據netstat 定位出的pid，再通過tasklist命令進行程序定位 tasklist | findstr “PID”

2.2 檢查程序

• 開始--執行--輸入msinfo32，依次點選“軟體環境→正在執行任務”就可以檢視到程序的詳細資訊，比如程序路徑、程序ID、檔案建立日期、啟動時間等。

• 開啟D盾_web查殺，程序檢視關注沒有簽名信息的程序

• 通過微軟官方提供的process explorer等工具進行排查

2.3 檢視可疑的程序及其子程序。可以通過觀察以下內容：

• 沒有簽名驗證資訊的程序

• 沒有描述資訊的程序

• 程序的屬主

• 程序的路徑是否合法

• CPU或記憶體資源佔用長時間過高的進

3.檢查啟動任務、計劃任務、服務

3.1 檢查啟動項

檢查伺服器是否有異常的啟動項

1. 登陸伺服器，【單擊開始】=》【所有程式】=》【啟動】，預設情況下此目錄是一個空目錄，確認是否有非業務程式在該目錄下

2. win+r輸入msconfig或開啟工作管理員，檢視是否存在命名異常的啟動專案，是則取消勾選並找到改檔案並刪除

3. win+r輸入regedit開啟登錄檔，檢視開機啟動項是否正常，特別注意如下3個登錄檔

   ◆HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

   ◆HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

   ◆HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

檢查右側是否有啟動異常的專案，如有請刪除並進行病毒查殺，清楚殘留病毒或木馬

4. 利用安全軟體檢視啟動項、開機時間管理等

5. 組策略，執行gpedit.msc

3.2 計劃任務

• 單擊【開始】=》【設定】=》【控制面板】=》【任務計劃】，檢視計劃任務屬性，便可以發現木馬檔案路徑

• 在cmd中輸入at，檢查計算機與網路上的其他計算機間的會話或計劃任務，如有則確認是否為正常連線

AT 命令已棄用。請改用 schtasks.exe

4.檢查系統相關資訊

4.1 服務自啟動

win+r輸入services.msc，注意服務狀態和啟動型別，檢查是否有異常服務

4.2 檢視系統資訊

在cmd中輸入systeminfo檢視系統版本以及補丁資訊

4.3 查詢可疑目錄及檔案

• 檢視使用者目錄，新建賬戶會在這個目錄生成一個使用者目錄，檢視是否建立使用者目錄

• win+r輸入%UserProfile%\Recent，分析最近開啟的檔案

• 在伺服器各個目錄，可根據資料夾列表時間進行排序查詢可疑檔案

• 回收站、瀏覽器下載目錄、瀏覽器歷史記錄

• 修改時間在建立時間之前的為可疑檔案

5.自動化查殺

5.1 病毒查殺

檢查方法：下載安全軟體，更新最新病毒庫，進行全盤掃描

• 360
• 卡巴斯基
• 火絨安全
• ......

5.2 webshell查殺

檢查方法：選擇具體站點路徑進行webshell查殺，建議使用兩款webshell查殺工具同時查殺，可互相補充規則庫的不足

6.日誌分析

6.1 系統日誌分析方法

• 前提：win+r輸入secpol.msc開啟稽核策略，若日後系統出現故障、安全事故則可以檢視系統的日誌檔案，排除故障及追查入侵者資訊等

• win+r輸入eventvwr.msc開啟【事件檢視器】

• 匯出應用程式日誌、安全日誌、系統日誌並利用log parser進行分析

6.2 檢視管理員賬戶是否存在異常

不借助工具：利用上述的事件檢視器

對於Windows事件日誌分析，不同的EVENT ID代表了不同的意義，每個成功登陸的事件都會標記一個登陸型別，不同登陸型別代表不同的方式

• 利用eventlog事件來檢視系統賬號登陸情況

  1. 同意開啟事件檢視器
  2. 單擊“安全”，檢視安全日誌
  3. 在右側點選篩選當前日誌，輸入事件ID進行篩選

  輸入事件 ID：4625 進行日誌篩選，發現事件 ID：4625，事件數 175904，即使用者登入失敗了 175904次，那麼這臺伺服器管理員賬號可能遭遇了暴力猜解。

藉助工具：Log Parser、Event Log Explorer

• Log Parser提取登陸成功的使用者名稱和IP

LogParser -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM 1.evtx where EventID=4624"

• Event Log Explorer 是一款非常好用的 Windows 日誌分析工具。可用於檢視，監視和分析跟事件記錄，包括安全，系統，應用程式和其他微軟 Windows 的記錄被記載的事件，其強大的過濾功能可以快速的過濾出有價值的資訊。

6.3 WEB訪問日誌分析方法

• 找到web日誌並打包到本地方便分析（Windows推薦使用EmEditor）

常見web中介軟體的預設日誌目錄

• Apache

  C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs\access.log 訪問日誌

  C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs\error.log 錯誤日誌

• IIS

  %SystemDrive%\inetpub\logs\LogFiles

• Nginx

  /etc/nginx/nginx.conf 在這個配置檔案進行設定

• Tomcat

  TOMCAT_HOME/logs/catalina.out

WEB訪問日誌分析技巧

• 第一種：確認入侵的時間範圍，以此為線索，查詢這個時間範圍內可疑的日誌進行進一步排查，最終確定攻擊者，還原攻擊過程

• 第二種：攻擊者在入侵網站後，通常會留下後門維持許可權以方便二次訪問，我們可以找到該檔案，並以此為線索展開分析

以Apache access.log日誌為例

• 日誌1：可以得知：來源IP、時間、行為、訪問的域名、狀態碼

10.10.10.1 - - [15/Jul/2019:15:06:14 +0800] "POST /m/login.php?op=login HTTP/1.1" 200 243 "http://10.10.10.128/m/login.php" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko“

• 日誌2：可以得知使用者在什麼 IP、什麼時間、用什麼作業系統、什麼瀏覽器的情況下訪問了你網站的哪個頁面，是否訪問成功。

10.10.10.1 - - [15/Jul/2019:15:06:14 +0800] "POST /m/login.php?op=login HTTP/1.1" 200 243 "http://10.10.10.128/m/login.php" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko“