Windows 的应急事件分类-
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? --轉(zhuǎn)載自先知社區(qū)白河愁大佬 (感謝)
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? URL:https://xz.aliyun.com/t/2524
Windows 系統(tǒng)的應(yīng)急事件,按照處理的方式,可分為下面幾種類別:
- 病毒、木馬、蠕蟲事件
- Web 服務(wù)器入侵事件或第三方服務(wù)入侵事件
- 系統(tǒng)入侵事件,如利用 Windows 的漏洞攻擊入侵系統(tǒng)、利用弱口令入侵、利用其他服務(wù)的漏洞入侵,跟 Web 入侵有所區(qū)別,Web 入侵需要對 Web 日志進行分析,系統(tǒng)入侵只能查看 Windows 的事件日志。
- 網(wǎng)絡(luò)攻擊事件(DDoS、ARP、DNS 劫持等)
2. 通用排查思路
入侵肯定會留下痕跡,另外重點強調(diào)的是不要一上來就各種查查查,問清楚誰在什么時間發(fā)現(xiàn)的主機異常情況,異常的現(xiàn)象是什么,受害用戶做了什么樣的緊急處理。問清楚主機異常情況后,需要動腦考慮為什么會產(chǎn)生某種異常,從現(xiàn)象反推可能的入侵思路,再考慮會在 Windows 主機上可能留下的痕跡,最后才是排除各種可能,確定入侵的過程。
獲取 Windows 的基本信息,如機器名稱、操作系統(tǒng)版本、OS 安裝時間、啟動時間、域名、補丁安裝情況,使用systeminfo命令獲取。運行msinfo32也可以查看計算機的詳細(xì)信息。
2.1 直接檢查相關(guān)日志
任何操作(人、程序、進程)都會導(dǎo)致產(chǎn)生相關(guān)日志
2.1.1 Windows 日志簡介
日志記錄了系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息,同時還監(jiān)視著系統(tǒng)中發(fā)生的事件。當(dāng)服務(wù)器被入侵或者系統(tǒng)(應(yīng)用)出現(xiàn)問題時,管理員可以根據(jù)日志迅速定位問題的關(guān)鍵,再快速處理問題,從而極大地提高工作效率和服務(wù)器的安全性。
Widdows 通過自帶事件查看器管理日志,使用命令eventvwr.msc打開,或者 Windows 10 搜索框直接搜索事件查看器,或者使用開始菜單-Windows 管理工具-事件查看器打開。
?
Windows 日志位置
Windows 2000/Server2003/Windows XP
\%SystemRoot%\System32\Config\*.evt
Windows Vista/7/10/Server2008:
\%SystemRoot%\System32\winevt\Logs\*.evtx
日志審核策略,使用命令auditpol /get /category:*
?
其他一些可能會用到的事件日志的位置:
- C:\Windows\System32\WDI\LogFiles
- BootCKCL.etl
- ShutdownCKCL.etl
- SecondaryLogOnCKCL.etl
- WdiContext.etl.<###>
- C:\Windows\System32\WDI\<guid>\<guid>
- snapshot.etl
</guid></guid>
- C:\Windows\System32\LogFiles\WMI
- Wifi.etl
- LwNetLog.etl
- C:\Windows\System32\SleepStudy
- UserNotPresentSession.etl
- abnormal-shutdown-<yyyy>-<mm>-
-<hh>-<mm>-<ss>.etl</ss></mm></hh>
</mm></yyyy>
-
- user-not-present-trace-<yyyy>-<mm>-
-<hh>-<mm>-<ss>.etl</ss></mm></hh>
</mm></yyyy>
-
- ScreenOnPowerStudyTraceSession-<yyyy>-<mm>-
-<hh>-<mm>-<ss>.etl</ss></mm></hh>
</mm></yyyy>
- Windows 日志
- 系統(tǒng)日志
系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件。例如,系統(tǒng)日志中會記錄在啟動過程中加載驅(qū)動程序或其他系統(tǒng)組件失敗。系統(tǒng)組件所記錄的事件類型由Windows預(yù)先確定。 - 應(yīng)用程序日志
應(yīng)用程序日志包含由應(yīng)用程序或程序記錄的事件。例如,數(shù)據(jù)庫程序可在應(yīng)用程序日志中記錄文件錯誤。程序開發(fā)人員決定記錄哪些事件。 - 安全日志
安全日志包含諸如有效和無效的登錄嘗試等事件,以及與資源使用相關(guān)的事件,如創(chuàng)建、打開或刪除文件或其他對象。管理員可以指定在安全日志中記錄什么事件。例如,如果已啟用登錄審核,則安全日志將記錄對系統(tǒng)的登錄嘗試。
關(guān)于安全日志登錄部分的事件 ID 和登錄類型代碼的含義見下面 2 個表。
?
常用事件 ID 含義
| Event ID(2000/XP/2003) | Event ID(Vista/7/8/2008/2012) | 描述 | 日志名稱 |
| 528 | 4624 | 成功登錄 | Security |
| 529 | 4625 | 失敗登錄 | Security |
| 680 | 4776 | 成功/失敗的賬戶認(rèn)證 | Security |
| 624 | 4720 | 創(chuàng)建用戶 | Security |
| 636 | 4732 | 添加用戶到啟用安全性的本地組中 | Security |
| 632 | 4728 | 添加用戶到啟用安全性的全局組中 | Security |
| 2934 | 7030 | 服務(wù)創(chuàng)建錯誤 | System |
| 2944 | 7040 | IPSEC服務(wù)服務(wù)的啟動類型已從禁用更改為自動啟動 | System |
| 2949 | 7045 | 服務(wù)創(chuàng)建 | System |
登錄類型 ID
成功/失敗登錄事件提供的有用信息之一是用戶/進程嘗試登錄(登錄類型),但 Windows 將此信息顯示為數(shù)字,下面是數(shù)字和對應(yīng)的說明:
| 登錄類型 | 登錄類型 | 描述 |
| 2 | Interactive | 用戶登錄到本機 |
| 3 | Network | 用戶或計算手機從網(wǎng)絡(luò)登錄到本機,如果網(wǎng)絡(luò)共享,或使用 net use 訪問網(wǎng)絡(luò)共享,net view 查看網(wǎng)絡(luò)共享 |
| 4 | Batch | 批處理登錄類型,無需用戶干預(yù) |
| 5 | Service | 服務(wù)控制管理器登錄 |
| 7 | Unlock | 用戶解鎖主機 |
| 8 | NetworkCleartext | 用戶從網(wǎng)絡(luò)登錄到此計算機,用戶密碼用非哈希的形式傳遞 |
| 9 | NewCredentials | 進程或線程克隆了其當(dāng)前令牌,但為出站連接指定了新憑據(jù) |
| 10 | Remotelnteractive | 使用終端服務(wù)或遠(yuǎn)程桌面連接登錄 |
| 11 | Cachedlnteractive | 用戶使用本地存儲在計算機上的憑據(jù)登錄到計算機(域控制器可能無法驗證憑據(jù)),如主機不能連接域控,以前使用域賬戶登錄過這臺主機,再登錄就會產(chǎn)生這樣日志 |
| 12 | CachedRemotelnteractive | 與 Remotelnteractive 相同,內(nèi)部用于審計目的 |
| 13 | CachedUnlock | 登錄嘗試解鎖 |
賬戶類型
- 用戶賬戶
- 計算機賬戶:此帳戶類型表示每個主機。 此帳戶類型的名稱以字符“$”結(jié)尾。 例如,“DESKTOP-SHCTJ7L $”是計算機帳戶的名稱。
- 服務(wù)賬戶:每個服務(wù)帳戶都創(chuàng)建為特定服務(wù)的所有者。 例如,IUSR是IIS的所有者,而krbtgt是作為密鑰分發(fā)中心一部分的服務(wù)的所有者。
應(yīng)用程序和服務(wù)日志
應(yīng)用程序和服務(wù)日志是一種新類別的事件日志。這些日志存儲來自單個應(yīng)用程序或組件的事件,而非可能影響整個系統(tǒng)的事件。
查看 PowerShell 的日志
Microsoft->Windows->PowerShell->OPtions
2.1.2 遠(yuǎn)程登錄事件
攻擊者可能造成的遠(yuǎn)程登錄事件
RDP
攻擊者使用 RDP 遠(yuǎn)程登錄受害者計算機,源主機和目的主機都會生成相應(yīng)事件。
重要的事件 ID(安全日志,Security.evtx)
- 4624:賬戶成功登錄
- 4648:使用明文憑證嘗試登錄
- 4778:重新連接到一臺 Windows 主機的會話
- 4779:斷開到一臺 Windows 主機的會話
遠(yuǎn)程連接日志(應(yīng)用程序和服務(wù)日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational),重要事件 ID 和含義:
- 1149:用戶認(rèn)證成功
- 21:遠(yuǎn)程桌面服務(wù):會話登錄成功
- 24:遠(yuǎn)程桌面服務(wù):會話已斷開連接
- 25:遠(yuǎn)程桌面服務(wù):會話重新連接成功
遠(yuǎn)程連接日志關(guān)注 RemoteInteractive(10) 和CachedRemoteInteractive(12)表明使用了 RDP ,因為這些登錄類型專用于RDP使用。
計劃任務(wù)和 AT
關(guān)注的事件 ID
- 4624:賬戶成功登錄
計劃任務(wù)事件 Microsoft-Windows-TaskScheduler/Operational.evtx,計劃任務(wù) ID 含義:
- 100:任務(wù)已開始
- 102:任務(wù)完成
- 106:已注冊任務(wù)(關(guān)注點)
- 107:在調(diào)度程序上觸發(fā)任務(wù)
- 110:用戶觸發(fā)的任務(wù)
- 129:創(chuàng)建任務(wù)流程(推出)
- 140:任務(wù)已更新
- 141:任務(wù)已刪除
- 200:運行計劃任務(wù)
- 325:啟動請求排隊
統(tǒng)一后臺進程管理器(UBPM)
- 服務(wù)控制管理器 - 管理 Windows 服務(wù)
- 任務(wù)計劃程序 - 管理 Windows 任務(wù)
- Windows Management Instrumentation - 管理 WMI 供應(yīng)商
- DCOM Server Process Launcher - 管理進程外 COM 應(yīng)用程序
PSExec
PSExec是系統(tǒng)管理員的遠(yuǎn)程命令執(zhí)行工具,包含在“Sysinternals Suite”工具中,但它通常也用于針對性攻擊的橫向移動。
PsExec的典型行為
- 在具有網(wǎng)絡(luò)登錄(類型3)的遠(yuǎn)程計算機上將 PsExec 服務(wù)執(zhí)行文件(默認(rèn)值:PSEXESVC.exe)復(fù)制到%SystemRoot%。
- 如果使用-c選項,則通過 $Admin 共享將文件復(fù)制到 %SystemRoot% 執(zhí)行命令。
- 注冊服務(wù)(默認(rèn)值:PSEXESVC),并啟動服務(wù)以在遠(yuǎn)程計算機上執(zhí)行該命令。
- 停止服務(wù)(默認(rèn)值:PSEXESVC),并在執(zhí)行后刪除遠(yuǎn)程計算機上的服務(wù)。
PSExec選項的重要選項:
- -r
- 更改復(fù)制的文件名和遠(yuǎn)程計算機的服務(wù)名稱
(默認(rèn)值:%SystemRoot%\ PSEXESVC.exe和PSEXESVC)
- 更改復(fù)制的文件名和遠(yuǎn)程計算機的服務(wù)名稱
- -s
- 由SYSTEM帳戶執(zhí)行。
- -C
- 將程序復(fù)制到遠(yuǎn)程計算機
- 被復(fù)制到Admin$(%SystemRoot%)
- -u
- 使用特定憑據(jù)登錄到遠(yuǎn)程計算機
- 生成登錄類型2和登錄類型3 的事件
可以從System.evtx中查找事件 ID 7045 發(fā)現(xiàn) PSExec,相關(guān)的事件 ID
- Security.evtx
- 4624:帳戶已成功登錄
- Ssystem.evtx
- 7045:系統(tǒng)中安裝了服務(wù)
PsExec在執(zhí)行命令時在遠(yuǎn)程主機上創(chuàng)建服務(wù),默認(rèn)服務(wù)名稱為PSEXESVC,配合檢測系統(tǒng) 7045 事件可以確定。
如果使用-r參數(shù)更改了默認(rèn)的服務(wù)名稱,通過以下特征可以檢測 PSExec 的執(zhí)行:
- PSExec服務(wù)執(zhí)行文件(默認(rèn)值:PSEXESVC.exe)被復(fù)制到遠(yuǎn)程計算機上的“%SystemRoot%”目錄中
- 服務(wù)名稱與沒有“.exe”擴展名的執(zhí)行名稱相同
- 服務(wù)以“用戶模式”執(zhí)行,而不是“內(nèi)核模式”
- “LocalSystem”帳戶用于服務(wù)帳戶
- 實際帳戶用于執(zhí)行服務(wù)執(zhí)行文件,而不是“SYSTEM”
2.1.3 GUI 的日志工具介紹
Widnows 自帶事件管理器就是很不錯的日志工具,其他可以了解下Event Log Explorer
?
可以將目標(biāo) IP 的所有日志文件復(fù)制出來,然后在其他電腦上使用 Event Log Explorer 進行分析。
其他一些工具:
- Microsoft Message Analyzer
- ETL Viewer
- Log Parser
- 使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
2.2.4 PowerShell 日志操作
使用Get-WinEvent
Get-WinEvent @{logname='application','system'} -MaxEvents 1
一些常見日志操作
# Get-WinEvent幫助命令
get-help Get-WinEvent
?
# 列出所有事件日志
Get-WinEvent -ListLog *
?
# powershell管理員權(quán)限下獲取安全事件日志
Get-WinEvent -FilterHashtable @{LogName='Security'}
?
# 過濾安全事件ID 4624
Get-WinEvent -FilterHashtable @{LogName='Security';ID='4624'}
?
# 查詢今天的應(yīng)用和系統(tǒng)日志,顯示前2條
Get-WinEvent @{logname='application','system';starttime=[datetime]::today } -MaxEvents 2
?
# 根據(jù)ID查詢事件
Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object {$_.ID -eq "4100" -or $_.ID -eq "4104"}
?
?
# 查詢指定時間內(nèi)的事件
$StartTime=Get-Date? -Year? 2017? -Month? 1? -Day? 1? -Hour? 15? -Minute? 30
$EndTime=Get-Date? -Year? 2017? -Month? 2? -Day? 15? -Hour? 20? -Minute? 00
?
Get-WinEvent -FilterHashtable @{LogName='System';StartTime=$StartTime;EndTime=$EndTime}
Get-EventLog 的使用可以參考:https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1
2.2.5 Windows 日志刪除和日志集中化
攻擊者入侵系統(tǒng)后,很可能會刪除日志,比較粗暴的手法是直接刪除所有日志和停止日志服務(wù),對于應(yīng)急來說刪除掉的日志本身就是就是入侵的明顯特征,根據(jù)文件創(chuàng)建時間也能大概判斷入侵時間。另外有工具可以刪除單條日志,這樣只是分析 Windows 日志時對分析人員來說很難找到攻擊痕跡,單條日志刪除工具?https://github.com/360-A-Team/EventCleaner,另外可以參考https://github.com/3gstudent/Eventlogedit-evtx--Evolution。
對抗刪除的的措施是實施日志集中化,從 Windows 7 開始,Windows 記錄日志為 XML 格式,可以使用
2.2 檢查賬戶
檢查賬戶的幾種方式:
SID 位于HKU\和?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList兩個密鑰中。 用戶SID可以在值“Profilelist”下找到Subkeys(在用戶登錄系統(tǒng)時創(chuàng)建)。 值“ProfileImagePath”將列出該特定用戶的配置文件的路徑。 在操作系統(tǒng)級別,SID可識別無疑問題的帳戶。 多用戶系統(tǒng)看起來像這樣
HKU\.DEFAULT
HKU\S-1-5-18
HKU\S-1-5-19
HKU\S-1-5-20
HKU\S-1-5-21-1116317227-3122546273-4014252621-1000
HKU\S-1-5-21-1116317227-3122546273-4014252621-1000_Classes
HKU\S-1-5-21-1116317227-3122546273-4014252621-1003
HKU\S-1-5-21-1116317227-3122546273-4014252621-1003_Classes
前四個密鑰是系統(tǒng)帳戶,從計算機到計算機通常是相同的。?HKU\.DEFAULT包含全局用戶信息。?HKU\S-1-5-18屬于“LocalSystem帳戶”。HKU\S-1-5-19用于運行本地服務(wù),是“本地服務(wù)帳戶”。HKU\S-1-5-20?是用于運行網(wǎng)絡(luò)服務(wù)的“NetworkService帳戶”。 其他子鍵是唯一的SID,它們與已登錄系統(tǒng)的各個用戶相關(guān)聯(lián)。 他們的解釋如下:
- “S”將字符串標(biāo)識為SID。
- “1”是SID規(guī)范的版本。
- “5”是標(biāo)識符權(quán)限值。
- “21-1116317227-3122546273-4014252621”是域或本地計算機標(biāo)識符,因計算機與計算機不同,因為它對應(yīng)于唯一的個人用戶帳戶。
- “1000”是相對ID(RID)。 默認(rèn)情況下未創(chuàng)建的任何組或用戶的RID均為1000或更高。
- “1000_Classes”包含每用戶文件關(guān)聯(lián)和類注冊。
- “1003”是同一系統(tǒng)上另一個用戶的相對ID(RID)。
- “1003_Classes”包含第二個用戶的文件關(guān)聯(lián)和類注冊。
2.3 檢查網(wǎng)絡(luò)連接
檢查網(wǎng)絡(luò)監(jiān)聽和連接的端口和應(yīng)用程序
netstat -anob
輸出主機上的所有偵聽和活動連接,包括 PID 和連接到每個連接的程序的名稱。 這也告訴 Netstat返回連接的 IP 地址,而不是試圖確定它們的主機名。
- -a :顯示所有連接和偵聽端口。
- -b :顯示在創(chuàng)建每個連接或偵聽端口時涉及的可執(zhí)行程序。在某些情況下,已知可執(zhí)行程序承載多個獨立的組件,這些情況下,顯示創(chuàng)建連接或偵聽端口時涉及的組件序列。在此情況下,可執(zhí)行程序的名稱位于底部 [] 中,它調(diào)用的組件位于頂部,直至達到 TCP/IP。注意,此選項可能很耗時,并且在你沒有足夠權(quán)限時可能失敗。
- -n :以數(shù)字形式顯示地址和端口號。
- -o :顯示擁有的與每個連接關(guān)聯(lián)的進程 ID。
- -r :顯示路由表。
路由
netstat -rn
結(jié)合findstr命令查找特定的端口或程序。
?
發(fā)現(xiàn)的感覺異常的 IP 地址可以在威脅情報平臺上查詢,如果是已知的惡意 IP,可以比較快速的確認(rèn)攻擊方式。
防火墻配置
netsh firewall show all
Windows 10 自帶的網(wǎng)絡(luò)連接可以參考:
https://betanews.com/2018/07/31/all-the-websites-windows-10-connects-to-clean-install/
2.4 檢查進程
進程通常結(jié)合網(wǎng)絡(luò)查看異常,先檢查異常的網(wǎng)絡(luò)連接,再獲取由哪個進程生成的網(wǎng)絡(luò)連接
netstat -abno | find "port number"
?
tasklist | findstr PID
使用 wmic 命令獲取進程信息
wmic process | find "Proccess Id" > proc.csv
?
Get-WmiObject -Class Win32_Process
?
Get-WmiObject -Query? "select * from win32_service where name='WinRM'" -ComputerName Server01, Server02 | Format-List -Property PSComputerName, Name, ExitCode, Name, ProcessID, StartMode, State, Status
PowerShell 的其他關(guān)于進程和網(wǎng)絡(luò)的命令
Get-Process
?
Get-NetTCPConnection
Get-NetTCPConnection -State Established
?
# 進程跟服務(wù)的對應(yīng)關(guān)系
tasklist /svc
使用 SysinternalsSuite 的 procexp 可以獲取進程比較詳細(xì)的信息,比如真實路徑、加載的 DLL 文件等、CPU 和內(nèi)存使用情況等。
?
當(dāng)然也可以使用內(nèi)存管理器。
查看可疑的進程及其子進程。可以通過觀察以下內(nèi)容:
- 沒有簽名驗證信息的進程
- 沒有描述信息的進程
- 進程的屬主
- 進程的路徑是否合法
- CPU或內(nèi)存資源占用長時間過高的進程
可以獲取進程關(guān)聯(lián)的文件 MD5 值,然后發(fā)送到威脅情報平臺上輔助檢查。進程關(guān)聯(lián)的文件也可以使用在線病毒檢測平臺上直接檢測。
2.4.1 內(nèi)存 dump
有 2 種比較方便的方法:
第一種是使用系統(tǒng)自帶功能,在計算機屬性,系統(tǒng)屬性,高級選項卡中選擇“啟動和故障恢復(fù)設(shè)置”,選擇完全轉(zhuǎn)儲內(nèi)存,然后點擊確定,系統(tǒng)會提示重啟。
?
重啟后在配置的文件位置可以找到上次轉(zhuǎn)儲的內(nèi)存文件。
另外一種方法,使用 SysinternalsSuite 工具集的 notmyfault64 工具,在使用管理員權(quán)限的命令行模式下(cmd、PowerShell),運行
NotMyFault64.exe /crash
2.4.2 內(nèi)存分析
利用 Volatility 進行內(nèi)存取證,分析入侵攻擊痕跡,包括網(wǎng)絡(luò)連接、進程、服務(wù)、驅(qū)動模塊、DLL、handles、檢測進程注入、檢測Meterpreter、cmd歷史命令、IE瀏覽器歷史記錄、啟動項、用戶、shimcache、userassist、部分rootkit隱藏文件、cmdliner等。
參考:https://xz.aliyun.com/t/2497
2.5 檢查開機啟動和運行服務(wù)
2.5.1 開機啟動
關(guān)于開機啟動需要分析的位置:
- 注冊表中的關(guān)于開機啟動的位置
- HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
- HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- (ProfilePath)\Start Menu\Programs\Startup
- 開始菜單,啟動項里(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup)
- 任務(wù)管理器,啟動選項卡,或者運行 msconfig,查看啟動選項卡
- 運行gpedit.msc在本地組策略編輯器里查看開機運行腳本,包括計算機配置和用戶配置的。
?
- 使用 SysinternalsSuite 工具集的 Autoruns 工具查看開機啟動項目
?
2.5.2 查看服務(wù)狀態(tài)
服務(wù)狀態(tài),自動啟動配置,在 PowerShell 下可以運行:
Get-Service
?
# 運行service命令
service
運行services.msc可以打開 Windows 服務(wù)工具,常見的 GUI 界面。
?
2.6 檢查計劃任務(wù)
存放計劃任務(wù)的文件
- C:\Windows\System32\Tasks\
- C:\Windows\SysWOW64\Tasks\
- C:\Windows\tasks\
- *.job(指文件)
使用命令查看計劃任務(wù)
schtasks
運行taskschd.msc打開計劃任務(wù)面板,或者從計算機管理進入,直接查看計劃任務(wù)。
?
也可以使用 SysinternalsSuite 工具集的 Autoruns 工具查看計劃任務(wù)。
2.7 檢查文件
檢查可疑文件的思路,一種是通過可疑進程(CPU 利用率、進程名)關(guān)聯(lián)的文件,一種是按照時間現(xiàn)象關(guān)聯(lián)的文件,文件大小也可以 作為輔助的判斷方法,文件的操作可以使用Get-ChildItem命令查看。需要關(guān)注的文件位置:
- 下載目錄
- 回收站文件
- 程序臨時文件
- 歷史文件記錄
- 應(yīng)用程序打開歷史
- 搜索歷史
- 快捷方式(LNK)
- 驅(qū)動
- driverquery
- 進程 DLL 的關(guān)聯(lián)查詢
tasklist -M
- 共享文件
- 最近的文件(%UserProfile%\Recent)
- 文件更新
- 已安裝文件
- hklm:\software\Microsoft\Windows\CurrentVersion\Uninstall\
- 異常現(xiàn)象之前創(chuàng)建的文件
2.8 檢查注冊表
注冊表目錄含義:
一些重要的注冊表鍵
hklm:\Software\Microsoft\Windows\CurrentVersion\policies\system
hklm:\Software\Microsoft\Active Setup\Installed Components
hklm:\Software\Microsoft\Windows\CurrentVersion\App Paths
hklm:\software\microsoft\windows nt\CurrentVersion\winlogon
hklm:\software\microsoft\security center\svc
hkcu:\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
hkcu:\Software\Microsoft\Windows\CurrentVersion\explorer\RunMru
hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\Startmenu
hklm:\System\CurrentControlSet\Control\Session Manager
hklm:\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
hklm:\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved
hklm:\System\CurrentControlSet\Control\Session Manager\AppCertDlls
hklm:\Software\Classes\exefile\shell\open\command
hklm:\BCD00000000
hklm:\system\currentcontrolset\control\lsa
hklm:\Software \Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objects
hklm:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
hkcu:\Software\Microsoft\Internet Explorer\Extensions
hklm:\Software\Microsoft\Internet Explorer\Extensions
hklm:\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
活用注冊表編輯器的搜索功能,根據(jù)進程名稱、服務(wù)名稱、文件名稱搜索注冊表。
3. 特定事件痕跡檢查
3.1 挖礦病毒應(yīng)急
3.1.1 傳播方式
通常可能的傳播方式:
3.1.2 挖礦程序特點
- CPU、GPU、內(nèi)存利用率高;
- 網(wǎng)絡(luò)會連接一些礦工 IP,可以通過威脅情報獲取。
3.1.3 挖礦程序應(yīng)急目的
- 找出入侵原因
- 找到挖礦程序,并刪除
挖礦事件應(yīng)急可能需要對樣本進行分析,需要二進制的一些分析能力,通過提取樣本后確認(rèn)樣本分類、行為、危害。
3.2 勒索病毒事件應(yīng)急
3.2.1 傳播方式
通常可能的傳播方式:
3.2.2 勒索病毒特點
- 各種數(shù)據(jù)文件和可執(zhí)行程序生成奇怪的后綴名;
- 明顯的提示,要交贖金
3.3.3 勒索病毒應(yīng)急目的
- 如果是重要數(shù)據(jù),交付贖金恢復(fù)數(shù)據(jù);
- 找到入侵的原因,排查同類漏洞,并進行加固(一般是重裝)
確認(rèn)勒索病毒后要立即拔掉網(wǎng)線,限制傳播范圍。
3.3 應(yīng)急示例
- http://blog.nsfocus.net/emergency-response-case-study/
- https://blog.csdn.net/qq_27446553/article/details/81102198
http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/ - https://mp.weixin.qq.com/s?src=11×tamp=1533106387&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4h8eCCyQEr8A9hbHaIHPrqR-WiIdoJPqMsmSVic4-gs*sd3j613UabGbt6z9mQT6p5fWutdawPYrht-VlixmLLS&new=1
- https://mp.weixin.qq.com/s?src=11×tamp=1533106458&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4hJcF-gDfZJVqz2bzHZt6fF*EmCrKm*DXOl3CMpdqrFZwBPOuAKr1TQcF7qG2x72YvsE8D1nglxXyYenvA2HLqY&new=1
4. Sysinternals Utilities
工具中有些是命令行工具,有些是有 GUI 界面,作用:
- 使用Process Explorer顯示詳細(xì)的流程和系統(tǒng)信息
- 使用Process Monitor捕獲低級系統(tǒng)事件,并快速過濾輸出以縮小根本原因
- 列出,分類和管理在您啟動或登錄計算機時運行的軟件,或運行Microsoft Office或Internet Explorer時運行的軟件
- 驗證文件,正在運行的程序以及這些程序中加載的模塊的數(shù)字簽名
- 使用可以識別和清除惡意軟件感染的Autoruns,Process Explorer,Sigcheck和Process Monitor功能
- 檢查文件,密鑰,服務(wù),共享和其他對象的權(quán)限
- 使用 Sysmon 監(jiān)控整個網(wǎng)絡(luò)中與安全相關(guān)的事件
- 當(dāng)進程滿足指定條件時生成內(nèi)存轉(zhuǎn)儲
- 遠(yuǎn)程執(zhí)行進程,并關(guān)閉遠(yuǎn)程打開的文件
- 管理Active Directory對象并跟蹤LDAP API調(diào)用
- 捕獲有關(guān)處理器,內(nèi)存和時鐘的詳細(xì)數(shù)據(jù)
- 對無法啟動的設(shè)備,文件使用中的錯誤,無法解釋的通信以及許多其他問題進行故障排除
- 了解其他地方?jīng)]有詳細(xì)記錄的Windows核心概念
下載:https://docs.microsoft.com/en-us/sysinternals/downloads/
4.1 常用工具介紹
4.1.1 autoruns
可以方便的查看自啟動、計劃任務(wù)和運行服務(wù),通過關(guān)聯(lián)右鍵菜單可以獲取更詳細(xì)的內(nèi)容。
?
4.1.2 procexp
查看進程的工具。
?
?
4.1.3 ADExplorer
Active Directory Explorer(AD Explorer)是一種高級Active Directory(AD)查看器和編輯器。 您可以使用AD Explorer輕松導(dǎo)航AD數(shù)據(jù)庫,定義收藏位置,查看對象屬性和屬性,而無需打開對話框,編輯權(quán)限,查看對象的架構(gòu),以及執(zhí)行可以保存和重新執(zhí)行的復(fù)雜搜索。
AD Explorer還包括保存AD數(shù)據(jù)庫快照以進行脫機查看和比較的功能。 加載已保存的快照時,您可以像實時數(shù)據(jù)庫一樣導(dǎo)航和瀏覽它。 如果您有兩個AD數(shù)據(jù)庫快照,則可以使用AD Explorer的比較功能查看它們之間更改的對象,屬性和安全權(quán)限。
?
4.1.4 TCPView
查看網(wǎng)絡(luò)連接情況
?
4.1.5 PSExec
像Telnet這樣的實用程序和Symantec的PC Anywhere等遠(yuǎn)程控制程序允許您在遠(yuǎn)程系統(tǒng)上執(zhí)行程序,但是設(shè)置起來很麻煩,并且要求您在要訪問的遠(yuǎn)程系統(tǒng)上安裝客戶端軟件。 PsExec是一種輕量級的 telne t替代品,可讓您在其他系統(tǒng)上執(zhí)行進程,完成控制臺應(yīng)用程序的完全交互,而無需手動安裝客戶端軟件。 PsExec最強大的用途包括在遠(yuǎn)程系統(tǒng)上啟動交互式命令提示和IpConfig等遠(yuǎn)程啟用工具,否則它們無法顯示有關(guān)遠(yuǎn)程系統(tǒng)的信息。
使用可以參考:https://www.itprotoday.com/management-mobility/psexec
4.1.6 LogonSessions
列出了當(dāng)前活動的登錄會話,如果指定-p選項,則列出每個會話中運行的進程。
?
4.2 Troubleshooting with the Windows Sysinternals Tools 2nd Edition
這是一本書,介紹 Sysinternals 工具集的使用。
5. 其他
- 關(guān)注近期的安全事件趨勢,定期查看 CNCERT 的安全報告,其他一些殺毒軟件公司的論壇也要關(guān)注;
- 結(jié)合近期的應(yīng)急,對每次應(yīng)急出現(xiàn)的新狀況進行總結(jié)分析,一段時間內(nèi)的應(yīng)急需求基本是一致的;
- 關(guān)注幾個威脅情報中心,可以分析域名、IP、文件 MD5,比較方便判斷攻擊方式;
- 準(zhǔn)備好殺毒盤和 Live 盤,可以利用 U 盤做一個專用的應(yīng)急響應(yīng)工具包
- Webshell 查殺
- D盾_Web查殺:http://www.d99net.net/index.asp
- 河馬webshell查殺:http://www.shellpub.com
- 深信服Webshell網(wǎng)站后門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
- 勒索軟件基本沒有辦法,重要數(shù)據(jù)只能交贖金,不過也是有些特定的勒索病毒能恢復(fù)文件
- 如果未作 Windows 的日志集中化 ,如果入侵刪掉所有日志, 大部分情況下只能呵呵,查一下可能的入侵鏈路上的其他設(shè)備、同網(wǎng)段設(shè)備有什么日志;
- 弱口令是很常見的入侵事件原因;
- 眼見為實,證據(jù)說話,不要被客戶誘導(dǎo);
- Windows 的攻擊方式可以了解一下?ATT&CK 矩陣
?
另外工具列表了解一下:
# 日志分析:
LogParser.msi(命令行)
Log.Parser.Lizard.6.7.2(圖形界面)
LPSV2.D2 (圖形界面)
EmEditor 進行web日志分析,支持大文本
# 病毒分析 :
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
# 病毒查殺:?
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
(推薦理由:綠色版、最新病毒庫)
大蜘蛛:http://free.drweb.ru/download+cureit+free (推薦理由:掃描快、一次下載只能用1周,更新病毒庫)
火絨安全軟件:https://www.huorong.cn
360殺毒:http://sd.360.cn/download_center.html
# 在線病毒分析:
微步云沙箱: https://s.threatbook.cn/
騰訊哈勃分析系統(tǒng): https://habo.qq.com/
多引擎在線病毒掃描網(wǎng): http://www.virscan.org/ ?(當(dāng)前支持 41 款殺毒引擎)
Jotti惡意軟件掃描系統(tǒng): https://virusscan.jotti.org/
針對計算機病毒、手機病毒、可疑文件等進行檢測分析: http://www.scanvir.com/
# 病毒動態(tài):
微步在線威脅情報社區(qū):https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
CVERC-國家計算機病毒應(yīng)急處理中心:http://www.cverc.org.cn
# webshell查殺:
D盾_Web查殺:http://www.d99net.net/index.asp
河馬webshell查殺:http://www.shellpub.com
深信服Webshell網(wǎng)站后門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
總結(jié)
以上是生活随笔為你收集整理的Windows 的应急事件分类-的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 使用链表进行奇偶分排 c语言
- 下一篇: dtop: 一个基于减法的系统占用率及系