【應急響應】windows入侵排查思路
海峽資訊白帽子id:Bypass 當企業發生黑客入侵、系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵來源,還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失
0×00 前言
常見的應急響應事件分類:
web入侵:網頁掛馬、主頁篡改、Webshell
系統入侵:病毒木馬、勒索軟體、遠控後門
網路攻擊:DDOS攻擊、DNS劫持、ARP欺騙
海峽資訊白帽子id:Bypass 針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些Window伺服器入侵排查的思路。
0×01 入侵排查思路
一、檢查系統賬號安全
1、檢視伺服器是否有弱口令,遠端管理埠是否對公網開放。
檢查方法:據實際情況諮詢相關伺服器管理員。
2、檢視伺服器是否存在可疑賬號、新增賬號。
檢查方法:開啟 cmd 視窗,輸入lusrmgr.msc命令,檢視是否有新增/可疑的賬號,如有管理員群組的(Administrators)裡的新增賬戶,如有,請立即禁用或刪除掉。
3、檢視伺服器是否存在隱藏賬號、克隆賬號。
檢查方法:a、開啟登錄檔 ,檢視管理員對應鍵值。b、使用D盾_web查殺工具,集成了對克隆賬號檢測的功能。
4、結合日誌,檢視管理員登入時間、使用者名稱是否存在異常。
檢查方法:
a、Win+R開啟執行,輸入“eventvwr.msc”,回車執行,開啟“事件檢視器”。
b、匯出Windows日誌–安全,利用Log Parser進行分析。
二、檢查異常埠、程序
1、檢查埠連線情況,是否有遠端連線、可疑連線。
檢查方法:
a、netstat -ano 檢視目前的網路連線,定位可疑的ESTABLISHED
b、根據netstat 定位出的pid,再通過tasklist命令進行程序定位 tasklist | findstr “PID”
2、程序
檢查方法:
a、開始–執行–輸入msinfo32,依次點選“軟體環境→正在執行任務”就可以檢視到程序的詳細資訊,比如程序路徑、程序ID、檔案建立日期、啟動時間等。
b、開啟D盾_web查殺工具,程序檢視,關注沒有簽名信息的程序。
c、通過微軟官方提供的 Process Explorer 等工具進行排查 。
d、檢視可疑的程序及其子程序。可以通過觀察以下內容:
- 沒有簽名驗證資訊的程序
- 沒有描述資訊的程序
- 程序的屬主
- 程序的路徑是否合法
- CPU或記憶體資源佔用長時間過高的程序
3、小技巧:
a、檢視埠對應的PID: netstat -ano | findstr “port”
b、檢視程序對應的PID:工作管理員–檢視–選擇列–PID 或者 tasklist | findstr “PID”
c、檢視程序對應的程式位置:
工作管理員–選擇對應程序–右鍵開啟檔案位置
執行輸入 wmic,cmd介面 輸入 process
d、tasklist /svc 程序–PID–服務
e、檢視Windows服務所對應的埠:
%system%/system32/drivers/etc/services(一般%system%就是C:\Windows)
三、檢查啟動項、計劃任務、服務
1、檢查伺服器是否有異常的啟動項。
檢查方法:
- a、登入伺服器,單擊【開始】>【所有程式】>【啟動】,預設情況下此目錄在是一個空目錄,確認是否有非業務程式在該目錄下。
- b、單擊開始選單 >【執行】,輸入 msconfig,檢視是否存在命名異常的啟動專案,是則取消勾選命名異常的啟動專案,併到命令中顯示的路徑刪除檔案。
- c、單擊【開始】>【執行】,輸入 regedit,開啟登錄檔,檢視開機啟動項是否正常,特別注意如下三個登錄檔項:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
檢查右側是否有啟動異常的專案,如有請刪除,並建議安裝防毒軟體進行病毒查殺,清除殘留病毒或木馬。
d、利用安全軟體檢視啟動項、開機時間管理等。
e、組策略,執行gpedit.msc。
2、檢查計劃任務
- 檢查方法:
a、單擊【開始】>【設定】>【控制面板】>【任務計劃】,檢視計劃任務屬性,便可以發現木馬檔案的路徑。
b、單擊【開始】>【執行】;輸入 cmd,然後輸入at,檢查計算機與網路上的其它計算機之間的會話或計劃任務,如有,則確認是否為正常連線。
3、服務自啟動
- 檢查方法:單擊【開始】>【執行】,輸入services.msc,注意服務狀態和啟動型別,檢查是否有異常服務。
四、檢查系統相關資訊
1、檢視系統版本以及補丁資訊
-
檢查方法:單擊【開始】>【執行】,輸入systeminfo,檢視系統資訊
2、查詢可疑目錄及檔案
-
檢查方法:
a、 檢視使用者目錄,新建賬號會在這個目錄生成一個使用者目錄,檢視是否有新建使用者目錄。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\
b、單擊【開始】>【執行】,輸入%UserProfile%\Recent,分析最近開啟分析可疑檔案。
c、在伺服器各個目錄,可根據資料夾內檔案列表時間進行排序,查詢可疑檔案。
五、自動化查殺
1、病毒查殺
-
檢查方法:下載安全軟體,更新最新病毒庫,進行全盤掃描。
2、webshell查殺
-
檢查方法:選擇具體站點路徑進行webshell查殺,建議使用兩款webshell查殺工具同時查殺,可相互補充規則庫的不足。
六、日誌分析
1、系統日誌
-
分析方法:
a、前提:開啟稽核策略,若日後系統出現故障、安全事故則可以檢視系統的日誌檔案,排除故障,追查入侵者的資訊等。
b、Win+R開啟執行,輸入“eventvwr.msc”,回車執行,開啟“事件檢視器”。
C、匯出應用程式日誌、安全日誌、系統日誌,利用Log Parser進行分析。
2、WEB訪問日誌
-
分析方法:
a、找到中介軟體的web日誌,打包到本地方便進行分析。
b、推薦工具:Window下,推薦用 EmEditor 進行日誌分析,支援大文字,搜尋效率還不錯。 Linux下,使用Shell命令組合查詢分析
0×03 工具篇
病毒分析 :
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
病毒查殺:
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
(推薦理由:綠色版、最新病毒庫)
大蜘蛛:http://free.drweb.ru/download+cureit+free
(推薦理由:掃描快、一次下載只能用1周,更新病毒庫)
火絨安全軟體:https://www.huorong.cn
360防毒:http://sd.360.cn/download_center.html
病毒動態:
CVERC-國家計算機病毒應急處理中心:http://www.cverc.org.cn
微步線上威脅情報社群:https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
愛毒霸社群:http://bbs.duba.net
騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html
線上病毒掃描網站:
http://www.virscan.org //多引擎線上病毒掃描網 v1.02,當前支援 41 款防毒引擎
https://habo.qq.com //騰訊哈勃分析系統
https://virusscan.jotti.org //Jotti惡意軟體掃描系統
http://www.scanvir.com //針對計算機病毒、手機病毒、可疑檔案等進行檢測分析
webshell查殺:
D盾_Web查殺:http://www.d99net.net/index.asp
河馬webshell查殺:http://www.shellpub.com
Safe3:http://www.uusec.com/webshell.zip