應(yīng)急響應(yīng)——windows 入侵排查

前言

當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí)，急需第一時(shí)間進(jìn)行處理，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作，進(jìn)一步查找入侵來(lái)源，還原入侵事故過(guò)程，同時(shí)給出解決方案與防范措施，為企業(yè)挽回或減少經(jīng)濟(jì)損失。

常見(jiàn)的應(yīng)急響應(yīng)事件分類(lèi)：

Web 入侵：網(wǎng)頁(yè)掛馬、主頁(yè)篡改、Webshell

系統(tǒng)入侵：病毒木馬、勒索軟件、遠(yuǎn)控后門(mén)

網(wǎng)絡(luò)攻擊：DDOS 攻擊、DNS 劫持、ARP 欺騙

針對(duì)常見(jiàn)的攻擊事件，結(jié)合工作中應(yīng)急響應(yīng)事件分析和解決的方法，總結(jié)了一些 Windows 服務(wù)器入侵排查的思路。

一、入侵排查思路

1.1 檢查系統(tǒng)賬號(hào)安全

1、查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開(kāi)放。

檢查方法：據(jù)實(shí)際情況咨詢(xún)相關(guān)服務(wù)器管理員。

2、查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)。

檢查方法：打開(kāi) cmd 窗口，輸入 lusrmgr.msc 命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶(hù)，如有，請(qǐng)立即禁用或刪除掉。

3、查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)。

檢查方法：

a、打開(kāi)注冊(cè)表 ，查看管理員對(duì)應(yīng)鍵值。

b、使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能。

4、結(jié)合日志，查看管理員登錄時(shí)間、用戶(hù)名是否存在異常。

檢查方法：

a、Win+R 打開(kāi)運(yùn)行，輸入"eventvwr.msc"，回車(chē)運(yùn)行，打開(kāi)“事件查看器”。

b、導(dǎo)出 Windows 日志 – 安全，利用微軟官方工具 Log Parser 進(jìn)行分析。

1.2 檢查異常端口、進(jìn)程

1、檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接。

檢查方法：

a、使用netstat -ano 命令查看目前的網(wǎng)絡(luò)連接，定位可疑的 ESTABLISHED

b、根據(jù) netstat 命令定位出的 PID 編號(hào)，再通過(guò) tasklist 命令進(jìn)行進(jìn)程定位 tasklist | findstr "PID"

2、進(jìn)程

檢查方法：

a、開(kāi)始 – 運(yùn)行 – 輸入 msinfo32 命令，依次點(diǎn)擊 “軟件環(huán)境 – 正在運(yùn)行任務(wù)” 就可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期以及啟動(dòng)時(shí)間等。

b、打開(kāi)D盾_web查殺工具，進(jìn)程查看，關(guān)注沒(méi)有簽名信息的進(jìn)程。

c、通過(guò)微軟官方提供的 Process Explorer 等工具進(jìn)行排查 。

d、查看可疑的進(jìn)程及其子進(jìn)程。可以通過(guò)觀察以下內(nèi)容：

沒(méi)有簽名驗(yàn)證信息的進(jìn)程 沒(méi)有描述信息的進(jìn)程 進(jìn)程的屬主 進(jìn)程的路徑是否合法 CPU 或內(nèi)存資源占用長(zhǎng)時(shí)間過(guò)高的進(jìn)程

1

2

3

4

5

3、小技巧：

a、查看端口對(duì)應(yīng)的 PID：netstat -ano | findstr "port"

b、查看進(jìn)程對(duì)應(yīng)的 PID：任務(wù)管理器 – 查看 – 選擇列 – PID 或者 tasklist | findstr "PID"

c、查看進(jìn)程對(duì)應(yīng)的程序位置：

任務(wù)管理器 – 選擇對(duì)應(yīng)進(jìn)程 – 右鍵打開(kāi)文件位置

運(yùn)行輸入 wmic，cmd 界面輸入 process

d、tasklist /svc 進(jìn)程 – PID – 服務(wù)

e、查看Windows服務(wù)所對(duì)應(yīng)的端口：

%systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路徑）

1.3 檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)

1、檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。

檢查方法：

a、登錄服務(wù)器，單擊【開(kāi)始】>【所有程序】>【啟動(dòng)】，默認(rèn)情況下此目錄在是一個(gè)空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下。

b、單擊開(kāi)始菜單 >【運(yùn)行】，輸入 msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目，是則取消勾選命名異常的啟動(dòng)項(xiàng)目，并到命令中顯示的路徑刪除文件。

c、單擊【開(kāi)始】>【運(yùn)行】，輸入 regedit，打開(kāi)注冊(cè)表，查看開(kāi)機(jī)啟動(dòng)項(xiàng)是否正常，特別注意如下三個(gè)注冊(cè)表項(xiàng)：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

1

2

3

檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。

d、利用安全軟件查看啟動(dòng)項(xiàng)、開(kāi)機(jī)時(shí)間管理等。

e、組策略，運(yùn)行 gpedit.msc

2、檢查計(jì)劃任務(wù)

檢查方法：

a、單擊【開(kāi)始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。

b、單擊【開(kāi)始】>【運(yùn)行】；輸入 cmd，然后輸入 at，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接。

3、服務(wù)自啟動(dòng)

檢查方法：?jiǎn)螕簟鹃_(kāi)始】>【運(yùn)行】，輸入 services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類(lèi)型，檢查是否有異常服務(wù)。

1.4 檢查系統(tǒng)相關(guān)信息

1、查看系統(tǒng)版本以及補(bǔ)丁信息

檢查方法：?jiǎn)螕簟鹃_(kāi)始】>【運(yùn)行】，輸入 systeminfo，查看系統(tǒng)信息。

2、查找可疑目錄及文件

檢查方法：

a、 查看用戶(hù)目錄，新建賬號(hào)會(huì)在這個(gè)目錄生成一個(gè)用戶(hù)目錄，查看是否有新建用戶(hù)目錄。

Window 2003版本 C:\Documents and Settings Window 2008R2及以后版本 C:\Users\

1

2

b、單擊【開(kāi)始】>【運(yùn)行】，輸入 %UserProfile%\Recent，分析最近打開(kāi)分析可疑文件。

c、在服務(wù)器各個(gè)目錄，可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。

d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄

e、修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件

3、發(fā)現(xiàn)并得到 WebShell、遠(yuǎn)控木馬的創(chuàng)建時(shí)間，如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件？

a、利用 Registry Workshop 注冊(cè)表編輯器的搜索功能，可以找到最后寫(xiě)入時(shí)間區(qū)間的文件。

b、利用計(jì)算機(jī)自帶文件搜索功能，指定修改時(shí)間進(jìn)行搜索。

1.5 自動(dòng)化查殺

病毒查殺

檢查方法：下載安全軟件，更新最新病毒庫(kù)，進(jìn)行全盤(pán)掃描。

webshell查殺

檢查方法：選擇具體站點(diǎn)路徑進(jìn)行webshell查殺，建議使用兩款 WebShell 查殺工具同時(shí)查殺，可相互補(bǔ)充規(guī)則庫(kù)的不足。

1.6 日志分析

系統(tǒng)日志

分析方法：

a、前提：開(kāi)啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則可以查看系統(tǒng)的日志文件，排除故障，追查入侵者的信息等。

b、Win+R 打開(kāi)運(yùn)行，輸入 “eventvwr.msc”，回車(chē)運(yùn)行，打開(kāi)"事件查看器"。

C、導(dǎo)出應(yīng)用程序日志、安全日志、系統(tǒng)日志，利用 Log Parser 進(jìn)行分析。

Web 訪問(wèn)日志

分析方法：

a、找到中間件的web日志，打包到本地方便進(jìn)行分析。

b、推薦工具：Windows 下，推薦用 EmEditor 進(jìn)行日志分析，支持大文本，搜索效率還不錯(cuò)。Linux 下，使用 Shell 命令組合查詢(xún)分析。

二、 工具篇

PCHunter

http://www.xuetr.com

1

火絨劍

https://www.huorong.cn

1

Process Explorer

https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

1

processhacker

https://processhacker.sourceforge.io/downloads.php

1

autoruns

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

1

OTL

https://www.bleepingcomputer.com/download/otl/

1

SysInspector

http://download.eset.com.cn/download/detail/?product=sysinspector

1

卡巴斯基（推薦理由：綠色版、最新病毒庫(kù)）

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

1

大蜘蛛（推薦理由：掃描快、一次下載只能用1周，更新病毒庫(kù)）

http://free.drweb.ru/download+cureit+free

1

火絨安全軟件

https://www.huorong.cn

1

360殺毒

http://sd.360.cn/download_center.html

1

2.3 病毒動(dòng)態(tài)

CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心

http://www.cverc.org.cn

1

微步在線威脅情報(bào)社區(qū)

https://x.threatbook.cn

1

火絨安全論壇

http://bbs.huorong.cn/forum-59-1.html

1

愛(ài)毒霸社區(qū)

http://bbs.duba.net

1

騰訊電腦管家

http://bbs.guanjia.qq.com/forum-2-1.html

1

2.4 在線病毒掃描網(wǎng)站

Virustotal

https://www.virustotal.com

1

Virscan

http://www.virscan.org

1

騰訊哈勃分析系統(tǒng)

https://habo.qq.com

1

Jotti 惡意軟件掃描系統(tǒng)

https://virusscan.jotti.org

1

2.5 webshell查殺

D盾_Web查殺

http://www.d99net.net/index.asp

1

河馬 WebShell 查殺

http://www.shellpub.com

1

Windows 網(wǎng)絡(luò)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶(hù)投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶(hù)投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。