Windows 的应急事件分类-
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? --轉(zhuǎn)載自先知社區(qū)白河愁大佬 (感謝)
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? URL:https://xz.aliyun.com/t/2524
Windows 系統(tǒng)的應(yīng)急事件,按照處理的方式,可分為下面幾種類別:
- 病毒、木馬、蠕蟲事件
- Web 服務(wù)器入侵事件或第三方服務(wù)入侵事件
- 系統(tǒng)入侵事件,如利用 Windows 的漏洞攻擊入侵系統(tǒng)、利用弱口令入侵、利用其他服務(wù)的漏洞入侵,跟 Web 入侵有所區(qū)別,Web 入侵需要對(duì) Web 日志進(jìn)行分析,系統(tǒng)入侵只能查看 Windows 的事件日志。
- 網(wǎng)絡(luò)攻擊事件(DDoS、ARP、DNS 劫持等)
2. 通用排查思路
入侵肯定會(huì)留下痕跡,另外重點(diǎn)強(qiáng)調(diào)的是不要一上來就各種查查查,問清楚誰在什么時(shí)間發(fā)現(xiàn)的主機(jī)異常情況,異常的現(xiàn)象是什么,受害用戶做了什么樣的緊急處理。問清楚主機(jī)異常情況后,需要?jiǎng)幽X考慮為什么會(huì)產(chǎn)生某種異常,從現(xiàn)象反推可能的入侵思路,再考慮會(huì)在 Windows 主機(jī)上可能留下的痕跡,最后才是排除各種可能,確定入侵的過程。
獲取 Windows 的基本信息,如機(jī)器名稱、操作系統(tǒng)版本、OS 安裝時(shí)間、啟動(dòng)時(shí)間、域名、補(bǔ)丁安裝情況,使用systeminfo命令獲取。運(yùn)行msinfo32也可以查看計(jì)算機(jī)的詳細(xì)信息。
2.1 直接檢查相關(guān)日志
任何操作(人、程序、進(jìn)程)都會(huì)導(dǎo)致產(chǎn)生相關(guān)日志
2.1.1 Windows 日志簡(jiǎn)介
日志記錄了系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息,同時(shí)還監(jiān)視著系統(tǒng)中發(fā)生的事件。當(dāng)服務(wù)器被入侵或者系統(tǒng)(應(yīng)用)出現(xiàn)問題時(shí),管理員可以根據(jù)日志迅速定位問題的關(guān)鍵,再快速處理問題,從而極大地提高工作效率和服務(wù)器的安全性。
Widdows 通過自帶事件查看器管理日志,使用命令eventvwr.msc打開,或者 Windows 10 搜索框直接搜索事件查看器,或者使用開始菜單-Windows 管理工具-事件查看器打開。
?
Windows 日志位置
Windows 2000/Server2003/Windows XP
\%SystemRoot%\System32\Config\*.evt
Windows Vista/7/10/Server2008:
\%SystemRoot%\System32\winevt\Logs\*.evtx
日志審核策略,使用命令auditpol /get /category:*
?
其他一些可能會(huì)用到的事件日志的位置:
- C:\Windows\System32\WDI\LogFiles
- BootCKCL.etl
- ShutdownCKCL.etl
- SecondaryLogOnCKCL.etl
- WdiContext.etl.<###>
- C:\Windows\System32\WDI\<guid>\<guid>
- snapshot.etl
</guid></guid>
- C:\Windows\System32\LogFiles\WMI
- Wifi.etl
- LwNetLog.etl
- C:\Windows\System32\SleepStudy
- UserNotPresentSession.etl
- abnormal-shutdown-<yyyy>-<mm>-
-<hh>-<mm>-<ss>.etl</ss></mm></hh>
</mm></yyyy>
-
- user-not-present-trace-<yyyy>-<mm>-
-<hh>-<mm>-<ss>.etl</ss></mm></hh>
</mm></yyyy>
-
- ScreenOnPowerStudyTraceSession-<yyyy>-<mm>-
-<hh>-<mm>-<ss>.etl</ss></mm></hh>
</mm></yyyy>
- Windows 日志
- 系統(tǒng)日志
系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件。例如,系統(tǒng)日志中會(huì)記錄在啟動(dòng)過程中加載驅(qū)動(dòng)程序或其他系統(tǒng)組件失敗。系統(tǒng)組件所記錄的事件類型由Windows預(yù)先確定。 - 應(yīng)用程序日志
應(yīng)用程序日志包含由應(yīng)用程序或程序記錄的事件。例如,數(shù)據(jù)庫(kù)程序可在應(yīng)用程序日志中記錄文件錯(cuò)誤。程序開發(fā)人員決定記錄哪些事件。 - 安全日志
安全日志包含諸如有效和無效的登錄嘗試等事件,以及與資源使用相關(guān)的事件,如創(chuàng)建、打開或刪除文件或其他對(duì)象。管理員可以指定在安全日志中記錄什么事件。例如,如果已啟用登錄審核,則安全日志將記錄對(duì)系統(tǒng)的登錄嘗試。
關(guān)于安全日志登錄部分的事件 ID 和登錄類型代碼的含義見下面 2 個(gè)表。
?
常用事件 ID 含義
| Event ID(2000/XP/2003) | Event ID(Vista/7/8/2008/2012) | 描述 | 日志名稱 |
| 528 | 4624 | 成功登錄 | Security |
| 529 | 4625 | 失敗登錄 | Security |
| 680 | 4776 | 成功/失敗的賬戶認(rèn)證 | Security |
| 624 | 4720 | 創(chuàng)建用戶 | Security |
| 636 | 4732 | 添加用戶到啟用安全性的本地組中 | Security |
| 632 | 4728 | 添加用戶到啟用安全性的全局組中 | Security |
| 2934 | 7030 | 服務(wù)創(chuàng)建錯(cuò)誤 | System |
| 2944 | 7040 | IPSEC服務(wù)服務(wù)的啟動(dòng)類型已從禁用更改為自動(dòng)啟動(dòng) | System |
| 2949 | 7045 | 服務(wù)創(chuàng)建 | System |
登錄類型 ID
成功/失敗登錄事件提供的有用信息之一是用戶/進(jìn)程嘗試登錄(登錄類型),但 Windows 將此信息顯示為數(shù)字,下面是數(shù)字和對(duì)應(yīng)的說明:
| 登錄類型 | 登錄類型 | 描述 |
| 2 | Interactive | 用戶登錄到本機(jī) |
| 3 | Network | 用戶或計(jì)算手機(jī)從網(wǎng)絡(luò)登錄到本機(jī),如果網(wǎng)絡(luò)共享,或使用 net use 訪問網(wǎng)絡(luò)共享,net view 查看網(wǎng)絡(luò)共享 |
| 4 | Batch | 批處理登錄類型,無需用戶干預(yù) |
| 5 | Service | 服務(wù)控制管理器登錄 |
| 7 | Unlock | 用戶解鎖主機(jī) |
| 8 | NetworkCleartext | 用戶從網(wǎng)絡(luò)登錄到此計(jì)算機(jī),用戶密碼用非哈希的形式傳遞 |
| 9 | NewCredentials | 進(jìn)程或線程克隆了其當(dāng)前令牌,但為出站連接指定了新憑據(jù) |
| 10 | Remotelnteractive | 使用終端服務(wù)或遠(yuǎn)程桌面連接登錄 |
| 11 | Cachedlnteractive | 用戶使用本地存儲(chǔ)在計(jì)算機(jī)上的憑據(jù)登錄到計(jì)算機(jī)(域控制器可能無法驗(yàn)證憑據(jù)),如主機(jī)不能連接域控,以前使用域賬戶登錄過這臺(tái)主機(jī),再登錄就會(huì)產(chǎn)生這樣日志 |
| 12 | CachedRemotelnteractive | 與 Remotelnteractive 相同,內(nèi)部用于審計(jì)目的 |
| 13 | CachedUnlock | 登錄嘗試解鎖 |
賬戶類型
- 用戶賬戶
- 計(jì)算機(jī)賬戶:此帳戶類型表示每個(gè)主機(jī)。 此帳戶類型的名稱以字符“$”結(jié)尾。 例如,“DESKTOP-SHCTJ7L $”是計(jì)算機(jī)帳戶的名稱。
- 服務(wù)賬戶:每個(gè)服務(wù)帳戶都創(chuàng)建為特定服務(wù)的所有者。 例如,IUSR是IIS的所有者,而krbtgt是作為密鑰分發(fā)中心一部分的服務(wù)的所有者。
應(yīng)用程序和服務(wù)日志
應(yīng)用程序和服務(wù)日志是一種新類別的事件日志。這些日志存儲(chǔ)來自單個(gè)應(yīng)用程序或組件的事件,而非可能影響整個(gè)系統(tǒng)的事件。
查看 PowerShell 的日志
Microsoft->Windows->PowerShell->OPtions
2.1.2 遠(yuǎn)程登錄事件
攻擊者可能造成的遠(yuǎn)程登錄事件
RDP
攻擊者使用 RDP 遠(yuǎn)程登錄受害者計(jì)算機(jī),源主機(jī)和目的主機(jī)都會(huì)生成相應(yīng)事件。
重要的事件 ID(安全日志,Security.evtx)
- 4624:賬戶成功登錄
- 4648:使用明文憑證嘗試登錄
- 4778:重新連接到一臺(tái) Windows 主機(jī)的會(huì)話
- 4779:斷開到一臺(tái) Windows 主機(jī)的會(huì)話
遠(yuǎn)程連接日志(應(yīng)用程序和服務(wù)日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational),重要事件 ID 和含義:
- 1149:用戶認(rèn)證成功
- 21:遠(yuǎn)程桌面服務(wù):會(huì)話登錄成功
- 24:遠(yuǎn)程桌面服務(wù):會(huì)話已斷開連接
- 25:遠(yuǎn)程桌面服務(wù):會(huì)話重新連接成功
遠(yuǎn)程連接日志關(guān)注 RemoteInteractive(10) 和CachedRemoteInteractive(12)表明使用了 RDP ,因?yàn)檫@些登錄類型專用于RDP使用。
計(jì)劃任務(wù)和 AT
關(guān)注的事件 ID
- 4624:賬戶成功登錄
計(jì)劃任務(wù)事件 Microsoft-Windows-TaskScheduler/Operational.evtx,計(jì)劃任務(wù) ID 含義:
- 100:任務(wù)已開始
- 102:任務(wù)完成
- 106:已注冊(cè)任務(wù)(關(guān)注點(diǎn))
- 107:在調(diào)度程序上觸發(fā)任務(wù)
- 110:用戶觸發(fā)的任務(wù)
- 129:創(chuàng)建任務(wù)流程(推出)
- 140:任務(wù)已更新
- 141:任務(wù)已刪除
- 200:運(yùn)行計(jì)劃任務(wù)
- 325:啟動(dòng)請(qǐng)求排隊(duì)
統(tǒng)一后臺(tái)進(jìn)程管理器(UBPM)
- 服務(wù)控制管理器 - 管理 Windows 服務(wù)
- 任務(wù)計(jì)劃程序 - 管理 Windows 任務(wù)
- Windows Management Instrumentation - 管理 WMI 供應(yīng)商
- DCOM Server Process Launcher - 管理進(jìn)程外 COM 應(yīng)用程序
PSExec
PSExec是系統(tǒng)管理員的遠(yuǎn)程命令執(zhí)行工具,包含在“Sysinternals Suite”工具中,但它通常也用于針對(duì)性攻擊的橫向移動(dòng)。
PsExec的典型行為
- 在具有網(wǎng)絡(luò)登錄(類型3)的遠(yuǎn)程計(jì)算機(jī)上將 PsExec 服務(wù)執(zhí)行文件(默認(rèn)值:PSEXESVC.exe)復(fù)制到%SystemRoot%。
- 如果使用-c選項(xiàng),則通過 $Admin 共享將文件復(fù)制到 %SystemRoot% 執(zhí)行命令。
- 注冊(cè)服務(wù)(默認(rèn)值:PSEXESVC),并啟動(dòng)服務(wù)以在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行該命令。
- 停止服務(wù)(默認(rèn)值:PSEXESVC),并在執(zhí)行后刪除遠(yuǎn)程計(jì)算機(jī)上的服務(wù)。
PSExec選項(xiàng)的重要選項(xiàng):
- -r
- 更改復(fù)制的文件名和遠(yuǎn)程計(jì)算機(jī)的服務(wù)名稱
(默認(rèn)值:%SystemRoot%\ PSEXESVC.exe和PSEXESVC)
- 更改復(fù)制的文件名和遠(yuǎn)程計(jì)算機(jī)的服務(wù)名稱
- -s
- 由SYSTEM帳戶執(zhí)行。
- -C
- 將程序復(fù)制到遠(yuǎn)程計(jì)算機(jī)
- 被復(fù)制到Admin$(%SystemRoot%)
- -u
- 使用特定憑據(jù)登錄到遠(yuǎn)程計(jì)算機(jī)
- 生成登錄類型2和登錄類型3 的事件
可以從System.evtx中查找事件 ID 7045 發(fā)現(xiàn) PSExec,相關(guān)的事件 ID
- Security.evtx
- 4624:帳戶已成功登錄
- Ssystem.evtx
- 7045:系統(tǒng)中安裝了服務(wù)
PsExec在執(zhí)行命令時(shí)在遠(yuǎn)程主機(jī)上創(chuàng)建服務(wù),默認(rèn)服務(wù)名稱為PSEXESVC,配合檢測(cè)系統(tǒng) 7045 事件可以確定。
如果使用-r參數(shù)更改了默認(rèn)的服務(wù)名稱,通過以下特征可以檢測(cè) PSExec 的執(zhí)行:
- PSExec服務(wù)執(zhí)行文件(默認(rèn)值:PSEXESVC.exe)被復(fù)制到遠(yuǎn)程計(jì)算機(jī)上的“%SystemRoot%”目錄中
- 服務(wù)名稱與沒有“.exe”擴(kuò)展名的執(zhí)行名稱相同
- 服務(wù)以“用戶模式”執(zhí)行,而不是“內(nèi)核模式”
- “LocalSystem”帳戶用于服務(wù)帳戶
- 實(shí)際帳戶用于執(zhí)行服務(wù)執(zhí)行文件,而不是“SYSTEM”
2.1.3 GUI 的日志工具介紹
Widnows 自帶事件管理器就是很不錯(cuò)的日志工具,其他可以了解下Event Log Explorer
?
可以將目標(biāo) IP 的所有日志文件復(fù)制出來,然后在其他電腦上使用 Event Log Explorer 進(jìn)行分析。
其他一些工具:
- Microsoft Message Analyzer
- ETL Viewer
- Log Parser
- 使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
2.2.4 PowerShell 日志操作
使用Get-WinEvent
Get-WinEvent @{logname='application','system'} -MaxEvents 1
一些常見日志操作
# Get-WinEvent幫助命令
get-help Get-WinEvent
?
# 列出所有事件日志
Get-WinEvent -ListLog *
?
# powershell管理員權(quán)限下獲取安全事件日志
Get-WinEvent -FilterHashtable @{LogName='Security'}
?
# 過濾安全事件ID 4624
Get-WinEvent -FilterHashtable @{LogName='Security';ID='4624'}
?
# 查詢今天的應(yīng)用和系統(tǒng)日志,顯示前2條
Get-WinEvent @{logname='application','system';starttime=[datetime]::today } -MaxEvents 2
?
# 根據(jù)ID查詢事件
Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object {$_.ID -eq "4100" -or $_.ID -eq "4104"}
?
?
# 查詢指定時(shí)間內(nèi)的事件
$StartTime=Get-Date? -Year? 2017? -Month? 1? -Day? 1? -Hour? 15? -Minute? 30
$EndTime=Get-Date? -Year? 2017? -Month? 2? -Day? 15? -Hour? 20? -Minute? 00
?
Get-WinEvent -FilterHashtable @{LogName='System';StartTime=$StartTime;EndTime=$EndTime}
Get-EventLog 的使用可以參考:https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1
2.2.5 Windows 日志刪除和日志集中化
攻擊者入侵系統(tǒng)后,很可能會(huì)刪除日志,比較粗暴的手法是直接刪除所有日志和停止日志服務(wù),對(duì)于應(yīng)急來說刪除掉的日志本身就是就是入侵的明顯特征,根據(jù)文件創(chuàng)建時(shí)間也能大概判斷入侵時(shí)間。另外有工具可以刪除單條日志,這樣只是分析 Windows 日志時(shí)對(duì)分析人員來說很難找到攻擊痕跡,單條日志刪除工具?https://github.com/360-A-Team/EventCleaner,另外可以參考https://github.com/3gstudent/Eventlogedit-evtx--Evolution。
對(duì)抗刪除的的措施是實(shí)施日志集中化,從 Windows 7 開始,Windows 記錄日志為 XML 格式,可以使用
2.2 檢查賬戶
檢查賬戶的幾種方式:
SID 位于HKU\和?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList兩個(gè)密鑰中。 用戶SID可以在值“Profilelist”下找到Subkeys(在用戶登錄系統(tǒng)時(shí)創(chuàng)建)。 值“ProfileImagePath”將列出該特定用戶的配置文件的路徑。 在操作系統(tǒng)級(jí)別,SID可識(shí)別無疑問題的帳戶。 多用戶系統(tǒng)看起來像這樣
HKU\.DEFAULT
HKU\S-1-5-18
HKU\S-1-5-19
HKU\S-1-5-20
HKU\S-1-5-21-1116317227-3122546273-4014252621-1000
HKU\S-1-5-21-1116317227-3122546273-4014252621-1000_Classes
HKU\S-1-5-21-1116317227-3122546273-4014252621-1003
HKU\S-1-5-21-1116317227-3122546273-4014252621-1003_Classes
前四個(gè)密鑰是系統(tǒng)帳戶,從計(jì)算機(jī)到計(jì)算機(jī)通常是相同的。?HKU\.DEFAULT包含全局用戶信息。?HKU\S-1-5-18屬于“LocalSystem帳戶”。HKU\S-1-5-19用于運(yùn)行本地服務(wù),是“本地服務(wù)帳戶”。HKU\S-1-5-20?是用于運(yùn)行網(wǎng)絡(luò)服務(wù)的“NetworkService帳戶”。 其他子鍵是唯一的SID,它們與已登錄系統(tǒng)的各個(gè)用戶相關(guān)聯(lián)。 他們的解釋如下:
- “S”將字符串標(biāo)識(shí)為SID。
- “1”是SID規(guī)范的版本。
- “5”是標(biāo)識(shí)符權(quán)限值。
- “21-1116317227-3122546273-4014252621”是域或本地計(jì)算機(jī)標(biāo)識(shí)符,因計(jì)算機(jī)與計(jì)算機(jī)不同,因?yàn)樗鼘?duì)應(yīng)于唯一的個(gè)人用戶帳戶。
- “1000”是相對(duì)ID(RID)。 默認(rèn)情況下未創(chuàng)建的任何組或用戶的RID均為1000或更高。
- “1000_Classes”包含每用戶文件關(guān)聯(lián)和類注冊(cè)。
- “1003”是同一系統(tǒng)上另一個(gè)用戶的相對(duì)ID(RID)。
- “1003_Classes”包含第二個(gè)用戶的文件關(guān)聯(lián)和類注冊(cè)。
2.3 檢查網(wǎng)絡(luò)連接
檢查網(wǎng)絡(luò)監(jiān)聽和連接的端口和應(yīng)用程序
netstat -anob
輸出主機(jī)上的所有偵聽和活動(dòng)連接,包括 PID 和連接到每個(gè)連接的程序的名稱。 這也告訴 Netstat返回連接的 IP 地址,而不是試圖確定它們的主機(jī)名。
- -a :顯示所有連接和偵聽端口。
- -b :顯示在創(chuàng)建每個(gè)連接或偵聽端口時(shí)涉及的可執(zhí)行程序。在某些情況下,已知可執(zhí)行程序承載多個(gè)獨(dú)立的組件,這些情況下,顯示創(chuàng)建連接或偵聽端口時(shí)涉及的組件序列。在此情況下,可執(zhí)行程序的名稱位于底部 [] 中,它調(diào)用的組件位于頂部,直至達(dá)到 TCP/IP。注意,此選項(xiàng)可能很耗時(shí),并且在你沒有足夠權(quán)限時(shí)可能失敗。
- -n :以數(shù)字形式顯示地址和端口號(hào)。
- -o :顯示擁有的與每個(gè)連接關(guān)聯(lián)的進(jìn)程 ID。
- -r :顯示路由表。
路由
netstat -rn
結(jié)合findstr命令查找特定的端口或程序。
?
發(fā)現(xiàn)的感覺異常的 IP 地址可以在威脅情報(bào)平臺(tái)上查詢,如果是已知的惡意 IP,可以比較快速的確認(rèn)攻擊方式。
防火墻配置
netsh firewall show all
Windows 10 自帶的網(wǎng)絡(luò)連接可以參考:
https://betanews.com/2018/07/31/all-the-websites-windows-10-connects-to-clean-install/
2.4 檢查進(jìn)程
進(jìn)程通常結(jié)合網(wǎng)絡(luò)查看異常,先檢查異常的網(wǎng)絡(luò)連接,再獲取由哪個(gè)進(jìn)程生成的網(wǎng)絡(luò)連接
netstat -abno | find "port number"
?
tasklist | findstr PID
使用 wmic 命令獲取進(jìn)程信息
wmic process | find "Proccess Id" > proc.csv
?
Get-WmiObject -Class Win32_Process
?
Get-WmiObject -Query? "select * from win32_service where name='WinRM'" -ComputerName Server01, Server02 | Format-List -Property PSComputerName, Name, ExitCode, Name, ProcessID, StartMode, State, Status
PowerShell 的其他關(guān)于進(jìn)程和網(wǎng)絡(luò)的命令
Get-Process
?
Get-NetTCPConnection
Get-NetTCPConnection -State Established
?
# 進(jìn)程跟服務(wù)的對(duì)應(yīng)關(guān)系
tasklist /svc
使用 SysinternalsSuite 的 procexp 可以獲取進(jìn)程比較詳細(xì)的信息,比如真實(shí)路徑、加載的 DLL 文件等、CPU 和內(nèi)存使用情況等。
?
當(dāng)然也可以使用內(nèi)存管理器。
查看可疑的進(jìn)程及其子進(jìn)程。可以通過觀察以下內(nèi)容:
- 沒有簽名驗(yàn)證信息的進(jìn)程
- 沒有描述信息的進(jìn)程
- 進(jìn)程的屬主
- 進(jìn)程的路徑是否合法
- CPU或內(nèi)存資源占用長(zhǎng)時(shí)間過高的進(jìn)程
可以獲取進(jìn)程關(guān)聯(lián)的文件 MD5 值,然后發(fā)送到威脅情報(bào)平臺(tái)上輔助檢查。進(jìn)程關(guān)聯(lián)的文件也可以使用在線病毒檢測(cè)平臺(tái)上直接檢測(cè)。
2.4.1 內(nèi)存 dump
有 2 種比較方便的方法:
第一種是使用系統(tǒng)自帶功能,在計(jì)算機(jī)屬性,系統(tǒng)屬性,高級(jí)選項(xiàng)卡中選擇“啟動(dòng)和故障恢復(fù)設(shè)置”,選擇完全轉(zhuǎn)儲(chǔ)內(nèi)存,然后點(diǎn)擊確定,系統(tǒng)會(huì)提示重啟。
?
重啟后在配置的文件位置可以找到上次轉(zhuǎn)儲(chǔ)的內(nèi)存文件。
另外一種方法,使用 SysinternalsSuite 工具集的 notmyfault64 工具,在使用管理員權(quán)限的命令行模式下(cmd、PowerShell),運(yùn)行
NotMyFault64.exe /crash
2.4.2 內(nèi)存分析
利用 Volatility 進(jìn)行內(nèi)存取證,分析入侵攻擊痕跡,包括網(wǎng)絡(luò)連接、進(jìn)程、服務(wù)、驅(qū)動(dòng)模塊、DLL、handles、檢測(cè)進(jìn)程注入、檢測(cè)Meterpreter、cmd歷史命令、IE瀏覽器歷史記錄、啟動(dòng)項(xiàng)、用戶、shimcache、userassist、部分rootkit隱藏文件、cmdliner等。
參考:https://xz.aliyun.com/t/2497
2.5 檢查開機(jī)啟動(dòng)和運(yùn)行服務(wù)
2.5.1 開機(jī)啟動(dòng)
關(guān)于開機(jī)啟動(dòng)需要分析的位置:
- 注冊(cè)表中的關(guān)于開機(jī)啟動(dòng)的位置
- HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
- HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- (ProfilePath)\Start Menu\Programs\Startup
- 開始菜單,啟動(dòng)項(xiàng)里(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup)
- 任務(wù)管理器,啟動(dòng)選項(xiàng)卡,或者運(yùn)行 msconfig,查看啟動(dòng)選項(xiàng)卡
- 運(yùn)行gpedit.msc在本地組策略編輯器里查看開機(jī)運(yùn)行腳本,包括計(jì)算機(jī)配置和用戶配置的。
?
- 使用 SysinternalsSuite 工具集的 Autoruns 工具查看開機(jī)啟動(dòng)項(xiàng)目
?
2.5.2 查看服務(wù)狀態(tài)
服務(wù)狀態(tài),自動(dòng)啟動(dòng)配置,在 PowerShell 下可以運(yùn)行:
Get-Service
?
# 運(yùn)行service命令
service
運(yùn)行services.msc可以打開 Windows 服務(wù)工具,常見的 GUI 界面。
?
2.6 檢查計(jì)劃任務(wù)
存放計(jì)劃任務(wù)的文件
- C:\Windows\System32\Tasks\
- C:\Windows\SysWOW64\Tasks\
- C:\Windows\tasks\
- *.job(指文件)
使用命令查看計(jì)劃任務(wù)
schtasks
運(yùn)行taskschd.msc打開計(jì)劃任務(wù)面板,或者從計(jì)算機(jī)管理進(jìn)入,直接查看計(jì)劃任務(wù)。
?
也可以使用 SysinternalsSuite 工具集的 Autoruns 工具查看計(jì)劃任務(wù)。
2.7 檢查文件
檢查可疑文件的思路,一種是通過可疑進(jìn)程(CPU 利用率、進(jìn)程名)關(guān)聯(lián)的文件,一種是按照時(shí)間現(xiàn)象關(guān)聯(lián)的文件,文件大小也可以 作為輔助的判斷方法,文件的操作可以使用Get-ChildItem命令查看。需要關(guān)注的文件位置:
- 下載目錄
- 回收站文件
- 程序臨時(shí)文件
- 歷史文件記錄
- 應(yīng)用程序打開歷史
- 搜索歷史
- 快捷方式(LNK)
- 驅(qū)動(dòng)
- driverquery
- 進(jìn)程 DLL 的關(guān)聯(lián)查詢
tasklist -M
- 共享文件
- 最近的文件(%UserProfile%\Recent)
- 文件更新
- 已安裝文件
- hklm:\software\Microsoft\Windows\CurrentVersion\Uninstall\
- 異常現(xiàn)象之前創(chuàng)建的文件
2.8 檢查注冊(cè)表
注冊(cè)表目錄含義:
一些重要的注冊(cè)表鍵
hklm:\Software\Microsoft\Windows\CurrentVersion\policies\system
hklm:\Software\Microsoft\Active Setup\Installed Components
hklm:\Software\Microsoft\Windows\CurrentVersion\App Paths
hklm:\software\microsoft\windows nt\CurrentVersion\winlogon
hklm:\software\microsoft\security center\svc
hkcu:\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
hkcu:\Software\Microsoft\Windows\CurrentVersion\explorer\RunMru
hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\Startmenu
hklm:\System\CurrentControlSet\Control\Session Manager
hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
hklm:\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved
hklm:\System\CurrentControlSet\Control\Session Manager\AppCertDlls
hklm:\Software\Classes\exefile\shell\open\command
hklm:\BCD00000000
hklm:\system\currentcontrolset\control\lsa
hklm:\Software \Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objects
hklm:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
hkcu:\Software\Microsoft\Internet Explorer\Extensions
hklm:\Software\Microsoft\Internet Explorer\Extensions
hklm:\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
活用注冊(cè)表編輯器的搜索功能,根據(jù)進(jìn)程名稱、服務(wù)名稱、文件名稱搜索注冊(cè)表。
3. 特定事件痕跡檢查
3.1 挖礦病毒應(yīng)急
3.1.1 傳播方式
通常可能的傳播方式:
3.1.2 挖礦程序特點(diǎn)
- CPU、GPU、內(nèi)存利用率高;
- 網(wǎng)絡(luò)會(huì)連接一些礦工 IP,可以通過威脅情報(bào)獲取。
3.1.3 挖礦程序應(yīng)急目的
- 找出入侵原因
- 找到挖礦程序,并刪除
挖礦事件應(yīng)急可能需要對(duì)樣本進(jìn)行分析,需要二進(jìn)制的一些分析能力,通過提取樣本后確認(rèn)樣本分類、行為、危害。
3.2 勒索病毒事件應(yīng)急
3.2.1 傳播方式
通常可能的傳播方式:
3.2.2 勒索病毒特點(diǎn)
- 各種數(shù)據(jù)文件和可執(zhí)行程序生成奇怪的后綴名;
- 明顯的提示,要交贖金
3.3.3 勒索病毒應(yīng)急目的
- 如果是重要數(shù)據(jù),交付贖金恢復(fù)數(shù)據(jù);
- 找到入侵的原因,排查同類漏洞,并進(jìn)行加固(一般是重裝)
確認(rèn)勒索病毒后要立即拔掉網(wǎng)線,限制傳播范圍。
3.3 應(yīng)急示例
- http://blog.nsfocus.net/emergency-response-case-study/
- https://blog.csdn.net/qq_27446553/article/details/81102198
http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/ - https://mp.weixin.qq.com/s?src=11×tamp=1533106387&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4h8eCCyQEr8A9hbHaIHPrqR-WiIdoJPqMsmSVic4-gs*sd3j613UabGbt6z9mQT6p5fWutdawPYrht-VlixmLLS&new=1
- https://mp.weixin.qq.com/s?src=11×tamp=1533106458&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4hJcF-gDfZJVqz2bzHZt6fF*EmCrKm*DXOl3CMpdqrFZwBPOuAKr1TQcF7qG2x72YvsE8D1nglxXyYenvA2HLqY&new=1
4. Sysinternals Utilities
工具中有些是命令行工具,有些是有 GUI 界面,作用:
- 使用Process Explorer顯示詳細(xì)的流程和系統(tǒng)信息
- 使用Process Monitor捕獲低級(jí)系統(tǒng)事件,并快速過濾輸出以縮小根本原因
- 列出,分類和管理在您啟動(dòng)或登錄計(jì)算機(jī)時(shí)運(yùn)行的軟件,或運(yùn)行Microsoft Office或Internet Explorer時(shí)運(yùn)行的軟件
- 驗(yàn)證文件,正在運(yùn)行的程序以及這些程序中加載的模塊的數(shù)字簽名
- 使用可以識(shí)別和清除惡意軟件感染的Autoruns,Process Explorer,Sigcheck和Process Monitor功能
- 檢查文件,密鑰,服務(wù),共享和其他對(duì)象的權(quán)限
- 使用 Sysmon 監(jiān)控整個(gè)網(wǎng)絡(luò)中與安全相關(guān)的事件
- 當(dāng)進(jìn)程滿足指定條件時(shí)生成內(nèi)存轉(zhuǎn)儲(chǔ)
- 遠(yuǎn)程執(zhí)行進(jìn)程,并關(guān)閉遠(yuǎn)程打開的文件
- 管理Active Directory對(duì)象并跟蹤LDAP API調(diào)用
- 捕獲有關(guān)處理器,內(nèi)存和時(shí)鐘的詳細(xì)數(shù)據(jù)
- 對(duì)無法啟動(dòng)的設(shè)備,文件使用中的錯(cuò)誤,無法解釋的通信以及許多其他問題進(jìn)行故障排除
- 了解其他地方?jīng)]有詳細(xì)記錄的Windows核心概念
下載:https://docs.microsoft.com/en-us/sysinternals/downloads/
4.1 常用工具介紹
4.1.1 autoruns
可以方便的查看自啟動(dòng)、計(jì)劃任務(wù)和運(yùn)行服務(wù),通過關(guān)聯(lián)右鍵菜單可以獲取更詳細(xì)的內(nèi)容。
?
4.1.2 procexp
查看進(jìn)程的工具。
?
?
4.1.3 ADExplorer
Active Directory Explorer(AD Explorer)是一種高級(jí)Active Directory(AD)查看器和編輯器。 您可以使用AD Explorer輕松導(dǎo)航AD數(shù)據(jù)庫(kù),定義收藏位置,查看對(duì)象屬性和屬性,而無需打開對(duì)話框,編輯權(quán)限,查看對(duì)象的架構(gòu),以及執(zhí)行可以保存和重新執(zhí)行的復(fù)雜搜索。
AD Explorer還包括保存AD數(shù)據(jù)庫(kù)快照以進(jìn)行脫機(jī)查看和比較的功能。 加載已保存的快照時(shí),您可以像實(shí)時(shí)數(shù)據(jù)庫(kù)一樣導(dǎo)航和瀏覽它。 如果您有兩個(gè)AD數(shù)據(jù)庫(kù)快照,則可以使用AD Explorer的比較功能查看它們之間更改的對(duì)象,屬性和安全權(quán)限。
?
4.1.4 TCPView
查看網(wǎng)絡(luò)連接情況
?
4.1.5 PSExec
像Telnet這樣的實(shí)用程序和Symantec的PC Anywhere等遠(yuǎn)程控制程序允許您在遠(yuǎn)程系統(tǒng)上執(zhí)行程序,但是設(shè)置起來很麻煩,并且要求您在要訪問的遠(yuǎn)程系統(tǒng)上安裝客戶端軟件。 PsExec是一種輕量級(jí)的 telne t替代品,可讓您在其他系統(tǒng)上執(zhí)行進(jìn)程,完成控制臺(tái)應(yīng)用程序的完全交互,而無需手動(dòng)安裝客戶端軟件。 PsExec最強(qiáng)大的用途包括在遠(yuǎn)程系統(tǒng)上啟動(dòng)交互式命令提示和IpConfig等遠(yuǎn)程啟用工具,否則它們無法顯示有關(guān)遠(yuǎn)程系統(tǒng)的信息。
使用可以參考:https://www.itprotoday.com/management-mobility/psexec
4.1.6 LogonSessions
列出了當(dāng)前活動(dòng)的登錄會(huì)話,如果指定-p選項(xiàng),則列出每個(gè)會(huì)話中運(yùn)行的進(jìn)程。
?
4.2 Troubleshooting with the Windows Sysinternals Tools 2nd Edition
這是一本書,介紹 Sysinternals 工具集的使用。
5. 其他
- 關(guān)注近期的安全事件趨勢(shì),定期查看 CNCERT 的安全報(bào)告,其他一些殺毒軟件公司的論壇也要關(guān)注;
- 結(jié)合近期的應(yīng)急,對(duì)每次應(yīng)急出現(xiàn)的新狀況進(jìn)行總結(jié)分析,一段時(shí)間內(nèi)的應(yīng)急需求基本是一致的;
- 關(guān)注幾個(gè)威脅情報(bào)中心,可以分析域名、IP、文件 MD5,比較方便判斷攻擊方式;
- 準(zhǔn)備好殺毒盤和 Live 盤,可以利用 U 盤做一個(gè)專用的應(yīng)急響應(yīng)工具包
- Webshell 查殺
- D盾_Web查殺:http://www.d99net.net/index.asp
- 河馬webshell查殺:http://www.shellpub.com
- 深信服Webshell網(wǎng)站后門檢測(cè)工具:http://edr.sangfor.com.cn/backdoor_detection.html
- 勒索軟件基本沒有辦法,重要數(shù)據(jù)只能交贖金,不過也是有些特定的勒索病毒能恢復(fù)文件
- 如果未作 Windows 的日志集中化 ,如果入侵刪掉所有日志, 大部分情況下只能呵呵,查一下可能的入侵鏈路上的其他設(shè)備、同網(wǎng)段設(shè)備有什么日志;
- 弱口令是很常見的入侵事件原因;
- 眼見為實(shí),證據(jù)說話,不要被客戶誘導(dǎo);
- Windows 的攻擊方式可以了解一下?ATT&CK 矩陣
?
另外工具列表了解一下:
# 日志分析:
LogParser.msi(命令行)
Log.Parser.Lizard.6.7.2(圖形界面)
LPSV2.D2 (圖形界面)
EmEditor 進(jìn)行web日志分析,支持大文本
# 病毒分析 :
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
# 病毒查殺:?
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
(推薦理由:綠色版、最新病毒庫(kù))
大蜘蛛:http://free.drweb.ru/download+cureit+free (推薦理由:掃描快、一次下載只能用1周,更新病毒庫(kù))
火絨安全軟件:https://www.huorong.cn
360殺毒:http://sd.360.cn/download_center.html
# 在線病毒分析:
微步云沙箱: https://s.threatbook.cn/
騰訊哈勃分析系統(tǒng): https://habo.qq.com/
多引擎在線病毒掃描網(wǎng): http://www.virscan.org/ ?(當(dāng)前支持 41 款殺毒引擎)
Jotti惡意軟件掃描系統(tǒng): https://virusscan.jotti.org/
針對(duì)計(jì)算機(jī)病毒、手機(jī)病毒、可疑文件等進(jìn)行檢測(cè)分析: http://www.scanvir.com/
# 病毒動(dòng)態(tài):
微步在線威脅情報(bào)社區(qū):https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心:http://www.cverc.org.cn
# webshell查殺:
D盾_Web查殺:http://www.d99net.net/index.asp
河馬webshell查殺:http://www.shellpub.com
深信服Webshell網(wǎng)站后門檢測(cè)工具:http://edr.sangfor.com.cn/backdoor_detection.html
總結(jié)
以上是生活随笔為你收集整理的Windows 的应急事件分类-的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 使用链表进行奇偶分排 c语言
- 下一篇: dtop: 一个基于减法的系统占用率及系