應急響應-Windows各種操作記錄備份
阿新 • • 發佈:2021-12-17
迷茫的人生,需要不斷努力,才能看清遠方模糊的志向!應急響應-Windows各種操作記錄備份 推薦連結:https://www.cnblogs.com/linuxsec/articles/10741532.html 下面是轉載的內容: 1. Windows 的應急事件分類 Windows 系統的應急事件,按照處理的方式,可分為下面幾種類別: 病毒、木馬、蠕蟲事件 Web 伺服器入侵事件或第三方服務入侵事件 系統入侵事件,如利用 Windows 的漏洞攻擊入侵系統、利用弱口令入侵、利用其他服務的漏洞入侵,跟 Web 入侵有所區別,Web 入侵需要對 Web 日誌進行分析,系統入侵只能檢視 Windows 的事件日誌。 網路攻擊事件(DDoS、ARP、DNS 劫持等) 2. 通用排查思路 入侵肯定會留下痕跡,另外重點強調的是不要一上來就各種查查查,問清楚誰在什麼時間發現的主機異常情況,異常的現象是什麼,受害使用者做了什麼樣的緊急處理。問清楚主機異常情況後,需要動腦考慮為什麼會產生某種異常,從現象反推可能的入侵思路,再考慮會在 Windows 主機上可能留下的痕跡,最後才是排除各種可能,確定入侵的過程。 獲取 Windows 的基本資訊,如機器名稱、作業系統版本、OS 安裝時間、啟動時間、域名、補丁安裝情況,使用systeminfo命令獲取。執行msinfo32也可以檢視計算機的詳細資訊。 2.1 直接檢查相關日誌 任何操作(人、程式、程序)都會導致產生相關日誌 2.1.1 Windows 日誌簡介 日誌記錄了系統中硬體、軟體和系統問題的資訊,同時還監視著系統中發生的事件。當伺服器被入侵或者系統(應用)出現問題時,管理員可以根據日誌迅速定位問題的關鍵,再快速處理問題,從而極大地提高工作效率和伺服器的安全性。 Widdows 通過自帶事件檢視器管理日誌,使用命令eventvwr.msc開啟,或者 Windows 10 搜尋框直接搜尋事件檢視器,或者使用開始選單-Windows 管理工具-事件檢視器開啟。 Windows 日誌位置 Windows 2000/Server2003/Windows XP \%SystemRoot%\System32\Config\*.evt Windows Vista/7/10/Server2008: \%SystemRoot%\System32\winevt\Logs\*.evtx 日誌稽核策略,使用命令auditpol /get /category:* 其他一些可能會用到的事件日誌的位置: C:\Windows\System32\WDI\LogFiles BootCKCL.etl ShutdownCKCL.etl SecondaryLogOnCKCL.etl WdiContext.etl.<###> C:\Windows\System32\WDI\\ snapshot.etl C:\Windows\System32\LogFiles\WMI Wifi.etl LwNetLog.etl C:\Windows\System32\SleepStudy UserNotPresentSession.etl abnormal-shutdown-<yyyy>-<mm>--<hh>-<mm>-<ss>.etl</ss></mm></hh></mm></yyyy> user-not-present-trace-<yyyy>-<mm>--<hh>-<mm>-<ss>.etl</ss></mm></hh></mm></yyyy> ScreenOnPowerStudyTraceSession-<yyyy>-<mm>--<hh>-<mm>-<ss>.etl</ss></mm></hh></mm></yyyy> Windows 日誌 系統日誌 系統日誌包含Windows系統元件記錄的事件。例如,系統日誌中會記錄在啟動過程中載入驅動程式或其他系統元件失敗。系統元件所記錄的事件型別由Windows預先確定。 應用程式日誌 應用程式日誌包含由應用程式或程式記錄的事件。例如,資料庫程式可在應用程式日誌中記錄檔案錯誤。程式開發人員決定記錄哪些事件。 安全日誌 安全日誌包含諸如有效和無效的登入嘗試等事件,以及與資源使用相關的事件,如建立、開啟或刪除檔案或其他物件。管理員可以指定在安全日誌中記錄什麼事件。例如,如果已啟用登入稽核,則安全日誌將記錄對系統的登入嘗試。 關於安全日誌登入部分的事件 ID 和登入型別程式碼的含義見下面 2 個表。 常用事件 ID 含義 Event ID(2000/XP/2003)Event ID(Vista/7/8/2008/2012)描述日誌名稱 5284624成功登入Security 5294625失敗登入Security 6804776成功/失敗的賬戶認證Security 6244720建立使用者Security 6364732新增使用者到啟用安全性的本地組中Security 6324728新增使用者到啟用安全性的全域性組中Security 29347030服務建立錯誤System 29447040IPSEC服務服務的啟動型別已從禁用更改為自動啟動System 29497045服務建立System 登入型別 ID 成功/失敗登入事件提供的有用資訊之一是使用者/程序嘗試登入(登入型別),但 Windows 將此資訊顯示為數字,下面是數字和對應的說明: 登入型別登入型別描述 2Interactive使用者登入到本機 3Network使用者或計算手機從網路登入到本機,如果網路共享,或使用 net use 訪問網路共享,net view 檢視網路共享 4Batch批處理登入型別,無需使用者干預 5Service服務控制管理器登入 7Unlock使用者解鎖主機 8NetworkCleartext使用者從網路登入到此計算機,使用者密碼用非雜湊的形式傳遞 9NewCredentials程序或執行緒克隆了其當前令牌,但為出站連線指定了新憑據 10Remotelnteractive使用終端服務或遠端桌面連線登入 11Cachedlnteractive使用者使用本地儲存在計算機上的憑據登入到計算機(域控制器可能無法驗證憑據),如主機不能連線域控,以前使用域賬戶登入過這臺主機,再登入就會產生這樣日誌 12CachedRemotelnteractive與 Remotelnteractive 相同,內部用於審計目的 13CachedUnlock登入嘗試解鎖 賬戶型別 使用者賬戶 計算機賬戶:此帳戶型別表示每個主機。 此帳戶型別的名稱以字元“$”結尾。 例如,“DESKTOP-SHCTJ7L $”是計算機帳戶的名稱。 服務賬戶:每個服務帳戶都建立為特定服務的所有者。 例如,IUSR是IIS的所有者,而krbtgt是作為金鑰分發中心一部分的服務的所有者。 應用程式和服務日誌 應用程式和服務日誌是一種新類別的事件日誌。這些日誌儲存來自單個應用程式或元件的事件,而非可能影響整個系統的事件。 檢視 PowerShell 的日誌 Microsoft->Windows->PowerShell->OPtions 2.1.2 遠端登入事件 攻擊者可能造成的遠端登入事件 RDP 攻擊者使用 RDP 遠端登入受害者計算機,源主機和目的主機都會生成相應事件。 重要的事件 ID(安全日誌,Security.evtx) 4624:賬戶成功登入 4648:使用明文憑證嘗試登入 4778:重新連線到一臺 Windows 主機的會話 4779:斷開到一臺 Windows 主機的會話 遠端連線日誌(應用程式和服務日誌->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational),重要事件 ID 和含義: 1149:使用者認證成功 21:遠端桌面服務:會話登入成功 24:遠端桌面服務:會話已斷開連線 25:遠端桌面服務:會話重新連線成功 遠端連線日誌關注 RemoteInteractive(10) 和CachedRemoteInteractive(12)表明使用了 RDP ,因為這些登入型別專用於RDP使用。 計劃任務和 AT 關注的事件 ID 4624:賬戶成功登入 計劃任務事件 Microsoft-Windows-TaskScheduler/Operational.evtx,計劃任務 ID 含義: 100:任務已開始 102:任務完成 106:已註冊任務(關注點) 107:在排程程式上觸發任務 110:使用者觸發的任務 129:建立任務流程(推出) 140:任務已更新 141:任務已刪除 200:執行計劃任務 325:啟動請求排隊 統一後臺程序管理器(UBPM) 服務控制管理器 - 管理 Windows 服務 任務計劃程式 - 管理 Windows 任務 Windows Management Instrumentation - 管理 WMI 供應商 DCOM Server Process Launcher - 管理程序外 COM 應用程式 PSExec PSExec是系統管理員的遠端命令執行工具,包含在“Sysinternals Suite”工具中,但它通常也用於針對性攻擊的橫向移動。 PsExec的典型行為 在具有網路登入(型別3)的遠端計算機上將 PsExec 服務執行檔案(預設值:PSEXESVC.exe)複製到%SystemRoot%。 如果使用-c選項,則通過 $Admin 共享將檔案複製到 %SystemRoot% 執行命令。 註冊服務(預設值:PSEXESVC),並啟動服務以在遠端計算機上執行該命令。 停止服務(預設值:PSEXESVC),並在執行後刪除遠端計算機上的服務。 PSExec選項的重要選項: -r 更改複製的檔名和遠端計算機的服務名稱 (預設值:%SystemRoot%\ PSEXESVC.exe和PSEXESVC) -s 由SYSTEM帳戶執行。 -C 將程式複製到遠端計算機 被複制到Admin$(%SystemRoot%) -u 使用特定憑據登入到遠端計算機 生成登入型別2和登入型別3 的事件 可以從System.evtx中查詢事件 ID 7045 發現 PSExec,相關的事件 ID Security.evtx 4624:帳戶已成功登入 Ssystem.evtx 7045:系統中安裝了服務 PsExec在執行命令時在遠端主機上建立服務,預設服務名稱為PSEXESVC,配合檢測系統 7045 事件可以確定。 如果使用-r引數更改了預設的服務名稱,通過以下特徵可以檢測 PSExec 的執行: PSExec服務執行檔案(預設值:PSEXESVC.exe)被複制到遠端計算機上的“%SystemRoot%”目錄中 服務名稱與沒有“.exe”副檔名的執行名稱相同 服務以“使用者模式”執行,而不是“核心模式” “LocalSystem”帳戶用於服務帳戶 實際帳戶用於執行服務執行檔案,而不是“SYSTEM” 2.1.3 GUI 的日誌工具介紹 Widnows 自帶事件管理器就是很不錯的日誌工具,其他可以瞭解下Event Log Explorer 可以將目標 IP 的所有日誌檔案複製出來,然後在其他電腦上使用 Event Log Explorer 進行分析。 其他一些工具: Microsoft Message Analyzer ETL Viewer Log Parser 使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/ 2.2.4 PowerShell 日誌操作 使用Get-WinEvent Get-WinEvent@{logname='application','system'}-MaxEvents1 一些常見日誌操作 # Get-WinEvent幫助命令get-helpGet-WinEvent# 列出所有事件日誌Get-WinEvent-ListLog*# powershell管理員許可權下獲取安全事件日誌Get-WinEvent-FilterHashtable@{LogName='Security'}# 過濾安全事件ID 4624Get-WinEvent-FilterHashtable@{LogName='Security';ID='4624'}# 查詢今天的應用和系統日誌,顯示前2條Get-WinEvent@{logname='application','system';starttime=[datetime]::today}-MaxEvents2 # 根據ID查詢事件Get-WinEvent-LogNameMicrosoft-Windows-PowerShell/Operational|Where-Object{$_.ID-eq"4100"-or$_.ID-eq"4104"}# 查詢指定時間內的事件$StartTime=Get-Date-Year2017-Month1-Day1-Hour15-Minute30$EndTime=Get-Date-Year2017-Month2-Day15-Hour20-Minute00Get-WinEvent-FilterHashtable@{LogName='System';StartTime=$StartTime;EndTime=$EndTime} Get-EventLog 的使用可以參考:https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1 2.2.5 Windows 日誌刪除和日誌集中化 攻擊者入侵系統後,很可能會刪除日誌,比較粗暴的手法是直接刪除所有日誌和停止日誌服務,對於應急來說刪除掉的日誌本身就是就是入侵的明顯特徵,根據檔案建立時間也能大概判斷入侵時間。另外有工具可以刪除單條日誌,這樣只是分析 Windows 日誌時對分析人員來說很難找到攻擊痕跡,單條日誌刪除工具https://github.com/360-A-Team/EventCleaner,另外可以參考https://github.com/3gstudent/Eventlogedit-evtx--Evolution。 對抗刪除的的措施是實施日誌集中化,從 Windows 7 開始,Windows 記錄日誌為 XML 格式,可以使用 2.2 檢查賬戶 檢查賬戶的幾種方式: 在本地使用者和組裡檢視,執行lusrmgr.msc 使用net user列出當前登入賬號,使用wmic UserAccount get列出當前系統所有賬戶 檢查登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList,HKLM\SAM\Domains\Account\(預設是 SYSTEM)許可權,需要配置成管理員許可權檢視。 SID 位於HKU\和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList兩個金鑰中。 使用者SID可以在值“Profilelist”下找到Subkeys(在使用者登入系統時建立)。 值“ProfileImagePath”將列出該特定使用者的配置檔案的路徑。 在作業系統級別,SID可識別無疑問題的帳戶。 多使用者系統看起來像這樣 HKU\.DEFAULTHKU\S-1-5-18HKU\S-1-5-19HKU\S-1-5-20HKU\S-1-5-21-1116317227-3122546273-4014252621-1000HKU\S-1-5-21-1116317227-3122546273-4014252621-1000_ClassesHKU\S-1-5-21-1116317227-3122546273-4014252621-1003HKU\S-1-5-21-1116317227-3122546273-4014252621-1003_Classes 前四個金鑰是系統帳戶,從計算機到計算機通常是相同的。HKU\.DEFAULT包含全域性使用者資訊。HKU\S-1-5-18屬於“LocalSystem帳戶”。HKU\S-1-5-19用於執行本地服務,是“本地服務帳戶”。HKU\S-1-5-20是用於執行網路服務的“NetworkService帳戶”。 其他子鍵是唯一的SID,它們與已登入系統的各個使用者相關聯。 他們的解釋如下: “S”將字串標識為SID。 “1”是SID規範的版本。 “5”是識別符號許可權值。 “21-1116317227-3122546273-4014252621”是域或本地計算機識別符號,因計算機與計算機不同,因為它對應於唯一的個人使用者帳戶。 “1000”是相對ID(RID)。 預設情況下未建立的任何組或使用者的RID均為1000或更高。 “1000_Classes”包含每使用者檔案關聯和類註冊。 “1003”是同一系統上另一個使用者的相對ID(RID)。 “1003_Classes”包含第二個使用者的檔案關聯和類註冊。 2.3 檢查網路連線 檢查網路監聽和連線的埠和應用程式 netstat-anob 輸出主機上的所有偵聽和活動連線,包括 PID 和連線到每個連線的程式的名稱。 這也告訴 Netstat返回連線的 IP 地址,而不是試圖確定它們的主機名。 -a :顯示所有連線和偵聽埠。 -b :顯示在建立每個連線或偵聽埠時涉及的可執行程式。在某些情況下,已知可執行程式承載多個獨立的元件,這些情況下,顯示建立連線或偵聽埠時涉及的元件序列。在此情況下,可執行程式的名稱位於底部 [] 中,它呼叫的元件位於頂部,直至達到 TCP/IP。注意,此選項可能很耗時,並且在你沒有足夠許可權時可能失敗。 -n :以數字形式顯示地址和埠號。 -o :顯示擁有的與每個連線關聯的程序 ID。 -r :顯示路由表。 路由 netstat-rn 結合findstr命令查詢特定的埠或程式。 發現的感覺異常的 IP 地址可以在威脅情報平臺上查詢,如果是已知的惡意 IP,可以比較快速的確認攻擊方式。 防火牆配置 netshfirewallshowall Windows 10 自帶的網路連線可以參考: https://betanews.com/2018/07/31/all-the-websites-windows-10-connects-to-clean-install/ 2.4 檢查程序 程序通常結合網路檢視異常,先檢查異常的網路連線,再獲取由哪個程序生成的網路連線 netstat-abno|find"port number"tasklist|findstrPID 使用 wmic 命令獲取程序資訊 wmicprocess|find"Proccess Id">proc.csvGet-WmiObject-ClassWin32_ProcessGet-WmiObject-Query"select * from win32_service where name='WinRM'"-ComputerNameServer01,Server02|Format-List-PropertyPSComputerName,Name,ExitCode,Name,ProcessID,StartMode,State,Status PowerShell 的其他關於程序和網路的命令 Get-ProcessGet-NetTCPConnectionGet-NetTCPConnection-StateEstablished# 程序跟服務的對應關係tasklist/svc 使用 SysinternalsSuite 的 procexp 可以獲取程序比較詳細的資訊,比如真實路徑、載入的 DLL 檔案等、CPU 和記憶體使用情況等。 當然也可以使用記憶體管理器。 檢視可疑的程序及其子程序。可以通過觀察以下內容: 沒有簽名驗證資訊的程序 沒有描述資訊的程序 程序的屬主 程序的路徑是否合法 CPU或記憶體資源佔用長時間過高的程序 可以獲取程序關聯的檔案 MD5 值,然後傳送到威脅情報平臺上輔助檢查。程序關聯的檔案也可以使用線上病毒檢測平臺上直接檢測。 2.4.1 記憶體 dump 有 2 種比較方便的方法: 第一種是使用系統自帶功能,在計算機屬性,系統屬性,高階選項卡中選擇“啟動和故障恢復設定”,選擇完全轉儲記憶體,然後點選確定,系統會提示重啟。 重啟後在配置的檔案位置可以找到上次轉儲的記憶體檔案。 另外一種方法,使用 SysinternalsSuite 工具集的 notmyfault64 工具,在使用管理員許可權的命令列模式下(cmd、PowerShell),執行 NotMyFault64.exe /crash 2.4.2 記憶體分析 利用 Volatility 進行記憶體取證,分析入侵攻擊痕跡,包括網路連線、程序、服務、驅動模組、DLL、handles、檢測程序注入、檢測Meterpreter、cmd歷史命令、IE瀏覽器歷史記錄、啟動項、使用者、shimcache、userassist、部分rootkit隱藏檔案、cmdliner等。 參考:https://xz.aliyun.com/t/2497 2.5 檢查開機啟動和執行服務 2.5.1 開機啟動 關於開機啟動需要分析的位置: 登錄檔中的關於開機啟動的位置 HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce (ProfilePath)\Start Menu\Programs\Startup 開始選單,啟動項裡(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup) 工作管理員,啟動選項卡,或者執行 msconfig,檢視啟動選項卡 執行gpedit.msc在本地組策略編輯器裡檢視開機執行指令碼,包括計算機配置和使用者配置的。 使用 SysinternalsSuite 工具集的 Autoruns 工具檢視開機啟動專案 2.5.2 檢視服務狀態 服務狀態,自動啟動配置,在 PowerShell 下可以執行: Get-Service# 執行service命令service 執行services.msc可以開啟 Windows 服務工具,常見的 GUI 介面。 2.6 檢查計劃任務 存放計劃任務的檔案 C:\Windows\System32\Tasks\ C:\Windows\SysWOW64\Tasks\ C:\Windows\tasks\ *.job(指檔案) 使用命令檢視計劃任務 schtasks 執行taskschd.msc開啟計劃任務面板,或者從計算機管理進入,直接檢視計劃任務。 也可以使用 SysinternalsSuite 工具集的 Autoruns 工具檢視計劃任務。 2.7 檢查檔案 檢查可疑檔案的思路,一種是通過可疑程序(CPU 利用率、程序名)關聯的檔案,一種是按照時間現象關聯的檔案,檔案大小也可以 作為輔助的判斷方法,檔案的操作可以使用Get-ChildItem命令檢視。需要關注的檔案位置: 下載目錄 回收站檔案 程式臨時檔案 歷史檔案記錄 應用程式開啟歷史 搜尋歷史 快捷方式(LNK) 驅動 driverquery 程序 DLL 的關聯查詢 tasklist-M 共享檔案 最近的檔案(%UserProfile%\Recent) 檔案更新 已安裝檔案 hklm:\software\Microsoft\Windows\CurrentVersion\Uninstall\ 異常現象之前建立的檔案 2.8 檢查登錄檔 登錄檔目錄含義: HKEY_CLASSES_ROOT(HKCR):此處儲存的資訊可確保在Windows資源管理器中執行時開啟正確的程式。它還包含有關拖放規則,快捷方式和使用者介面資訊的更多詳細資訊。 HKEY_CURRENT_USER(HKCU):包含當前登入系統的使用者的配置資訊,包括使用者的資料夾,螢幕顏色和控制面板設定。HKEY_USERS中特定於使用者的分支的別名。通用資訊通常適用於所有使用者,並且是HKU.DEFAULT。 HKEY_LOCAL_MACHINE(HKLM):包含執行作業系統的計算機硬體特定資訊。它包括系統上安裝的驅動器列表以及已安裝硬體和應用程式的通用配置。 HKEY_USERS(HKU):包含系統上所有使用者配置檔案的配置資訊,包括應用程式配置和可視設定。 HKEY_CURRENT_CONFIG(HCU):儲存有關係統當前配置的資訊。 一些重要的登錄檔鍵 hklm:\Software\Microsoft\Windows\CurrentVersion\policies\systemhklm:\Software\Microsoft\Active Setup\Installed Componentshklm:\Software\Microsoft\Windows\CurrentVersion\App Pathshklm:\software\microsoft\windows nt\CurrentVersion\winlogonhklm:\software\microsoft\security center\svchkcu:\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPathshkcu:\Software\Microsoft\Windows\CurrentVersion\explorer\RunMruhklm:\Software\Microsoft\Windows\CurrentVersion\explorer\Startmenuhklm:\System\CurrentControlSet\Control\Session Managerhklm:\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFoldershklm:\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approvedhklm:\System\CurrentControlSet\Control\Session Manager\AppCertDllshklm:\Software\Classes\exefile\shell\open\commandhklm:\BCD00000000hklm:\system\currentcontrolset\control\lsahklm:\Software \Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objectshklm:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objectshkcu:\Software\Microsoft\Internet Explorer\Extensionshklm:\Software\Microsoft\Internet Explorer\Extensionshklm:\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions 活用登錄檔編輯器的搜尋功能,根據程序名稱、服務名稱、檔名稱搜尋登錄檔。 3. 特定事件痕跡檢查 3.1 挖礦病毒應急 3.1.1 傳播方式 通常可能的傳播方式: 通過社工、釣魚方式下載和運行了挖礦程式(郵件、IM 等) 利用計算機系統遠端程式碼執行漏洞下載、上傳和執行挖礦程式 利用計算機 Web 或第三方軟體漏洞獲取計算機許可權,然後下載和執行挖礦程式 利用弱口令進入系統,下載和執行挖礦程式 執行 Web 頁面的挖礦 JS 指令碼 3.1.2 挖礦程式特點 CPU、GPU、記憶體利用率高; 網路會連線一些礦工 IP,可以通過威脅情報獲取。 3.1.3 挖礦程式應急目的 找出入侵原因 找到挖礦程式,並刪除 挖礦事件應急可能需要對樣本進行分析,需要二進位制的一些分析能力,通過提取樣本後確認樣本分類、行為、危害。 3.2 勒索病毒事件應急 3.2.1 傳播方式 通常可能的傳播方式: 通過社工、釣魚方式下載和運行了勒索程式(郵件、IM 等) 利用計算機系統遠端程式碼執行漏洞下載、上傳和執行勒索病毒 利用計算機 Web 或第三方軟體漏洞獲取計算機許可權,然後下載和執行勒索病毒 利用弱口令進入計算機系統,下載和執行勒索病毒 3.2.2 勒索病毒特點 各種資料檔案和可執行程式生成奇怪的字尾名; 明顯的提示,要交贖金 3.3.3 勒索病毒應急目的 如果是重要資料,交付贖金恢復資料; 找到入侵的原因,排查同類漏洞,並進行加固(一般是重灌) 確認勒索病毒後要立即拔掉網線,限制傳播範圍。 3.3 應急示例 http://blog.nsfocus.net/emergency-response-case-study/ https://blog.csdn.net/qq_27446553/article/details/81102198 http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/ https://mp.weixin.qq.com/s?src=11×tamp=1533106387&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4h8eCCyQEr8A9hbHaIHPrqR-WiIdoJPqMsmSVic4-gs*sd3j613UabGbt6z9mQT6p5fWutdawPYrht-VlixmLLS&new=1 https://mp.weixin.qq.com/s?src=11×tamp=1533106458&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4hJcF-gDfZJVqz2bzHZt6fF*EmCrKm*DXOl3CMpdqrFZwBPOuAKr1TQcF7qG2x72YvsE8D1nglxXyYenvA2HLqY&new=1 4. Sysinternals Utilities 工具中有些是命令列工具,有些是有 GUI 介面,作用: 使用Process Explorer顯示詳細的流程和系統資訊 使用Process Monitor捕獲低階系統事件,並快速過濾輸出以縮小根本原因 列出,分類和管理在您啟動或登入計算機時執行的軟體,或執行Microsoft Office或Internet Explorer時執行的軟體 驗證檔案,正在執行的程式以及這些程式中載入的模組的數字簽名 使用可以識別和清除惡意軟體感染的Autoruns,Process Explorer,Sigcheck和Process Monitor功能 檢查檔案,金鑰,服務,共享和其他物件的許可權 使用 Sysmon 監控整個網路中與安全相關的事件 當程序滿足指定條件時生成記憶體轉儲 遠端執行程序,並關閉遠端開啟的檔案 管理Active Directory物件並跟蹤LDAP API呼叫 捕獲有關處理器,記憶體和時鐘的詳細資料 對無法啟動的裝置,檔案使用中的錯誤,無法解釋的通訊以及許多其他問題進行故障排除 瞭解其他地方沒有詳細記錄的Windows核心概念 下載:https://docs.microsoft.com/en-us/sysinternals/downloads/ 4.1 常用工具介紹 4.1.1 autoruns 可以方便的檢視自啟動、計劃任務和執行服務,通過關聯右鍵選單可以獲取更詳細的內容。 4.1.2 procexp 檢視程序的工具。 4.1.3 ADExplorer Active Directory Explorer(AD Explorer)是一種高階Active Directory(AD)檢視器和編輯器。 您可以使用AD Explorer輕鬆導航AD資料庫,定義收藏位置,檢視物件屬性和屬性,而無需開啟對話方塊,編輯許可權,檢視物件的架構,以及執行可以儲存和重新執行的複雜搜尋。 AD Explorer還包括儲存AD資料庫快照以進行離線檢視和比較的功能。 載入已儲存的快照時,您可以像實時資料庫一樣導航和瀏覽它。 如果您有兩個AD資料庫快照,則可以使用AD Explorer的比較功能檢視它們之間更改的物件,屬性和安全許可權。 4.1.4 TCPView 檢視網路連線情況 4.1.5 PSExec 像Telnet這樣的實用程式和Symantec的PC Anywhere等遠端控制程式允許您在遠端系統上執行程式,但是設定起來很麻煩,並且要求您在要訪問的遠端系統上安裝客戶端軟體。 PsExec是一種輕量級的 telne t替代品,可讓您在其他系統上執行程序,完成控制檯應用程式的完全互動,而無需手動安裝客戶端軟體。 PsExec最強大的用途包括在遠端系統上啟動互動式命令提示和IpConfig等遠端啟用工具,否則它們無法顯示有關遠端系統的資訊。 使用可以參考:https://www.itprotoday.com/management-mobility/psexec 4.1.6 LogonSessions 列出了當前活動的登入會話,如果指定-p選項,則列出每個會話中執行的程序。 4.2 Troubleshooting with the Windows Sysinternals Tools 2nd Edition 這是一本書,介紹 Sysinternals 工具集的使用。 5. 其他 關注近期的安全事件趨勢,定期檢視 CNCERT 的安全報告,其他一些防毒軟體公司的論壇也要關注; 結合近期的應急,對每次應急出現的新狀況進行總結分析,一段時間內的應急需求基本是一致的; 關注幾個威脅情報中心,可以分析域名、IP、檔案 MD5,比較方便判斷攻擊方式; 準備好防毒盤和 Live 盤,可以利用 U 盤做一個專用的應急響應工具包 Webshell 查殺 D盾_Web查殺:http://www.d99net.net/index.asp 河馬webshell查殺:http://www.shellpub.com 深信服Webshell網站後門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html 勒索軟體基本沒有辦法,重要資料只能交贖金,不過也是有些特定的勒索病毒能恢復檔案 如果未作 Windows 的日誌集中化 ,如果入侵刪掉所有日誌, 大部分情況下只能呵呵,查一下可能的入侵鏈路上的其他裝置、同網段裝置有什麼日誌; 弱口令是很常見的入侵事件原因; 眼見為實,證據說話,不要被客戶誘導; Windows 的攻擊方式可以瞭解一下ATT&CK 矩陣 參考 https://mp.weixin.qq.com/s/17L_fQJ1qjSvt8UL7VSemg https://sect.iij.ad.jp/d/2018/05/044132/training_material_sample_for_eventlog_analysis.pdf https://www.jianshu.com/p/15310fd23f54 https://www.sans.org/course/windows-forensic-analysis https://www.sans.org/reading-room/whitepapers/forensics/live-response-powershell-34302