一、前言

1、什么是应急响应

“应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。(百度)

2、常见攻击类型

(1)WEB入侵:挂马,网页篡改,植入webshell,黑页,暗链等

(2)主机入侵:病毒木马,勒索病毒,远控后门,系统异常,RDP爆破,SSH爆破,主机漏洞,数据库入侵等

(3)网络攻击:DDOS/CC攻击,ARP攻击,DNS/HTTP劫持

(4)路由器/交换机攻击:内网病毒,配置错误,机器本身的漏洞等

二、Windows入侵排查思路

1、检查系统账号安全

(1)查看服务器是否有弱口令远程管理端口是否对公网开放

  据实际情况咨询相关服务器管理员。

(2)查看服务器是否存在可疑账号新增账号

  • 黑客获得shell后,通常会新建一个用户用来登陆远程桌面。我们可以在命令行中输入net user查看当前计算机等等用户有无增加

img

  • 在运行中输入mmc打开控制台,选择文件->添加/删除管理单元->本地用户和组。(也可以在cmd 窗口,输入 lusrmgr.msc 命令)

img

(3)查看服务器是否存在隐藏账号克隆账号

  • 打开注册表 ,查看管理员对应键值。
  • 使用D盾_web查杀工具,集成了对克隆账号检测的功能。

img

(4)结合日志,查看管理员登录时间用户名是否存在异常。

  • Win+R 打开运行,输入”eventvwr.msc“,回车运行,打开“事件查看器”。
  • 导出 Windows 日志 – 安全,利用微软官方工具 Log Parser 进行分析

img

2、检查网络状态、进程

(1)检查端口连接情况,是否有远程连接可疑连接

  • 使用netstat -ano命令查看目前的网络连接,定位可疑的 ESTABLISHED
  • 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

img

(2)查看hosts文件是否被修改,hosts文件的存放位置为C:\Windows\System32\drivers\etc

img

(3)进程

  • 开始 – 运行 – 输入 msinfo32 命令,依次点击 “软件环境 – 正在运行任务” 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

img

  • 打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
  • 通过微软官方提供的 Process Explorer 等工具进行排查 。
  • 查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU 或内存资源占用长时间过高的进程
  1. 小技巧
  • 查看端口对应的 PID:netstat -ano | findstr "port"
  • 查看进程对应的 PID:任务管理器 – 查看 – 选择列 – PID 或者 tasklist | findstr "PID"
  • 查看进程对应的程序位置:任务管理器 – 选择对应进程 – 右键打开文件位置;或者运行输入 wmic,cmd 界面输入 process
  • tasklist /svc 进程 – PID – 服务
  • 查看Windows服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

3、检查启动项、计划任务、服务

(1)检查启动项

  • 登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。

  • 单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。Windows7上可以直接在这里看到开机的启动项,而现在Windows10需要在任务管理器中查看

img

img

  • 单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项。 检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
  • 利用安全软件查看启动项、开机时间管理等。

  • 组策略,运行 gpedit.msc

img

(2)检查计划任务

  • 单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。

img

  • 单击【开始】>【运行】;输入 cmd,然后输入 at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。

img

(3)检查服务

单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。通常病毒都会藏着这里,并伪装名字

img

4、查找可疑目录及文件

  • 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
Window 2003版本 C:\Documents and Settings
Window 2008R2及以后版本 C:\Users\
  • 一般带有tmp/temp的都是存放临时文件的地方,也是一般病毒存在的地方。在运行输入%temp%查看临时文件,输入 %UserProfile%\Recent查看最近打开的文件
  • 在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。
  • 回收站、浏览器下载目录、浏览器历史记录
  • 修改时间在创建时间之前的为可疑文件

5、漏洞与系统补丁

有的黑客入侵后会故意卸载一些漏洞与系统补丁,来达到利用漏洞来进行持续控制的目的。在cmd中输入systeminfo即可查看计算机安装的补丁

img

6、发现并得到 WebShell、远控木马的创建时间,如何找出同一时间范围内创建的文件?

  • 利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。

  • 利用计算机自带文件搜索功能,指定修改时间进行搜索。

7、日志分析

日志会记录计算机的所有行为,所以黑客的行为会被记录在日志中,我们可以通过检查日志来查看自己的计算机是否正常。

(1)系统日志

  • 前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。

  • 打开运行输入eventvwr.msc即可查看日志。通过查看事件id来排查相关的操作行为

img

1102    清理审计日志
4624 账号成功登录
4625 账号登录失败
4672 授予特殊权限
4720 创建用户
4726 删除用户
4728 将成员添加到启用安全的全局组中
4729 将成员从安全的全局组中移除
4732 将成员添加到启用安全的本地组中
4733 将成员从启用安全的本地组中移除
4756 将成员添加到启用安全的通用组中
4757 将成员从启用安全的通用组中移除
4719 系统审计策略修改
4768 Kerberos身份验证(TGT请求)
4769 Kerberos服务票证请求
4776 NTLM身份验证

日志是可以清除的,但清除日志这一行为同样会被记录下来,所以检查日志就可以确认你的计算机在一段时间内是否正常。最好就是备份日志

img

  • 导出应用程序日志、安全日志、系统日志,利用 Log Parser 进行分析。

(2)Web访问日志

  • 找到中间件的web日志,打包到本地方便进行分析。

  • 推荐工具:Windows 下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。Linux 下,使用 Shell 命令组合查询分析。

三、工具篇

1、病毒分析

2、病毒查杀

3、病毒动态

4、在线病毒扫描网站

5、webshell查杀