windows應急響應指導分析
一、病毒分類
1、蠕蟲病毒(worm)
文件夾蠕蟲、網絡蠕蟲、郵件蠕蟲等,主要特點是具有很強的傳播性
2、挖礦病毒(CoinMiner/XMiner)
利用被感染主機進行挖礦,占用主機資源,近幾年十分流行,通常與僵尸網絡搭配
3、木馬病毒(Trojan/Backdoor)
木馬、后門等主要是為了獲得主機的控制權限,竊取信息,執行C&C端的功能指令等
4、感染型病毒(Virus)
主要行為是感染文件,常見家族有Sality、Ramnit、Virut等
5、宏病毒(W200M/X97M/Omacro)
文檔類,啟用宏功能后執行宏代碼,通常為一個DownLoader,下載執行其他惡意軟件
6、勒索病毒(Ransom)
加密文件,勒索贖金
理解上,僵尸網絡:是由大量中了木馬病毒的主機組成,不特定單一主機中了僵尸網絡病毒。
感染型病毒和蠕蟲病毒:都具有擴散性,但感染型病毒只是在同臺主機的不同文件間擴散;而蠕蟲病毒是在不同主機間擴散,范圍不一樣。
勒索病毒:其實可以算是影響比較大的感染型病毒,也會感染文件,但它感染程度更惡劣,破壞文件。
宏病毒:比較類似木馬病毒,用來執行指令,或者下載文件等。
二、進程排查
病毒的存在形式是多樣的,可能是獨立運行的進程,也可能是將動態庫或惡意代碼注入到系統進程、應用進程中運行。這里,粗略分為三種,即獨立進程模塊、動態庫模塊、隱藏模塊。
1、獨立進程塊
這是最簡單的一種形式,即病毒是獨立可執行文件,以獨立進程在運行。這類進程通常要么進程名隨機,要么偽裝成與系統進程相似的名字,或者名字與系統進程完全一樣,但文件位置完全不是系統默認的正常路徑。以某中毒主機為例,打開任務管理器后觀察如下:病毒進程名為svch0st.exe,而系統進程為svchost.exe。
遇到這種,我們可以使用PCHunter對所有進程文件校驗簽名,檢查無簽名或簽名可疑的進程。
或者使用微軟提供的procexp,他支持自動上傳進程文件至virustotal
2、動態庫模塊
病毒也可能以動態庫的方式注入到系統進程或應用進程中去。如下圖所示,客戶某一中毒主機,我們使用PCHunter工具觀察到病毒體sdbot.dll模塊注入到系統進程explorer.exe進程中,并且對該進程掛了應用層鉤子,包括IAT、EAT和inline等類型的鉤子。
同上,可以使用PCHUNTER校驗某個進程的dll文件做快速判斷。
同時也可以使用procexp自動上傳某個進程的dll至virustotal
如果已知病毒dll,需要找到對應的進程,可以使用如下命令。或者使用以上工具搜索所有進程的dll
| tasklist /m xxx.dll |
隱藏模塊往往也是動態庫模塊,但它肉眼觀察不到(Windows系統工具看不到,PCHunter等工具也看不到),是很隱蔽的一種手段,屬于難查難殺的類型。
譬如,在某客戶主機上,我們懷疑svchost.exe進程有問題(進程有問題并不代表進程對應的文件有問題,這一點一定要區分好),但我們使用系統工具和PCHunter等等工具均查看不到任何異常模塊。至此,懷疑有隱藏模塊,祭出特殊工具dump出該svchost.exe的所有模塊空間(按模塊分割成獨立文件),觀察到有隱藏的模塊:
svchost_exe_PID384_hiddenmodule_2560000_x86.exe就是隱藏在svchost.exe進程中的模塊
注:此特殊工具會將隱藏模塊文件名加上“hiddenmodule”字眼
可使用微軟的procdump工具pd64.exx -pid [PID]
4、進程內存字符串
在網絡端檢測出某個惡意域名或 IP 后,可以在所有系統進程中搜索該域名,幫助定位發起域名連接的進程,從而定位病毒文件。
深信服SfabAntiBot即可對內存進行掃描
需要注意的是上面掃描是對進程所有內存進行掃描,一個是會比較卡,并且同樣會掃描到代碼段,這樣可能會有誤判,把代碼當成域名字符串。
所以需要結合process hacker等工具查看指定進程內存是否確實存在指定字符串信息。
三、網絡行為排查
威脅情報等輔助網站
1、 https://www.virustotal.com/ , 國外知名安全站點,可能需翻墻,可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進行病毒掃描。
2、 https://x.threatbook.cn/ , 國內威脅情報站點,可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進行病毒掃描。
3、 http://beian.cndns.com/,國內站點備案查詢,所有有企業備案的國內站點可認為是可信站點。
4、 http://www.alexa.com/,全球站點排行查詢,top100萬的站點可認為是可信站點(國外站點沒有備案這一說法)。
5、 google與Baidu等搜索引擎,輸入文件MD5/IP/域名,有時候可以查詢到對應病毒信息。
網絡連接查看命令
| |
四、文件排查
1、臨時目錄排查
黑客往往可能將病毒放在臨時目錄(tmp/temp),或者將病毒相關文件釋放到臨時目錄,因此需要檢查臨時目錄是否存在異常文件。
假設系統盤在C盤,則通常情況下的臨時目錄如下:
C:Users[用戶名]Local SettingsTemp
C:Documents and Settings[用戶名]Local SettingsTemp
C:Users[用戶名]桌面
C:Documents and Settings[用戶名]桌面
C:Users[用戶名]Local SettingsTemporary InternetFiles
C:Documents and Settings[用戶名]Local SettingsTemporary InternetFiles
2、瀏覽器相關文件排查
黑客可能通過瀏覽器下載惡意文件,或者盜取用戶信息,因此需要檢查下瀏覽器的歷史訪問記錄、文件下載記錄、cookie信息,對應相關文件目錄如下:
C:Users[用戶名]Cookies
C:Documents and Settings[用戶名]Cookies
C:Users[用戶名]Local SettingsHistory
C:Documents and Settings[用戶名]Local SettingsHistory
C:Users[用戶名]Local SettingsTemporary InternetFiles
C:Documents and Settings[用戶名]Local SettingsTemporary InternetFiles
3、最新打開文件排查
檢查下最近打開了哪些文件,可疑文件有可能就在最近打開的文件中,打開以下目錄或者運行中輸入recent即可看到:
C:Users[用戶名]Recent
C:Documents and Settings[用戶名]Recent
4、文件時間排查
可以根據文件夾內文件列表時間進行排序,查找可疑文件。一般情況下,修改時間離現象發現時間越近的文件越可疑。當然,黑客也有可能修改”修改日期“,但遇到很少。
用everything對所有exe文件排序,查找現象時間段內創建和修改的文件。
5、其他重要目錄排查
System32也是常見的病毒釋放目錄,因此也要檢查下該目錄。hosts文件是系統配置文件,用于本地DNS查詢的域名設置,可以強制將某個域名對應到某個IP上,因此需要檢查hosts文件有沒有被黑客惡意篡改。
C:WindowsSystem32
C:WindowsSystem32drivershosts
五、遠程登錄排查
系統產生的日志默認分為三類:應用程序日志、安全性日志、系統日志
這些日志以evt文件形式存儲在%systemroot%system32config目錄下,使用日志查看器可查看這些日志(開始 – 運行 –eventvwr)
1、RDP遠程登錄
RDP登錄日志位于windows安全日志中,登錄類型為10,該日志記錄了此主機上的所有登錄行為。
審計RDP登錄日志的目的是為了發現可疑登錄記錄,包括:
1.是否有異常的沒有登錄成功的審計事件,比如RDP爆破登錄;
2.是否有成功登錄的不明帳號記錄;
3.是否有異常IP的登錄事件,比如IP非此主機用戶常用IP;
4.是否有異常時間的登錄事件,比如凌晨2點遠程登錄主機;
注意:有時候登錄記錄會十分多,分析起來難度大,因此我們可以根據前期收集到的信息來幫助我們縮小審計范圍,比如異常現象發生的時間,惡意文件創建的時間等,可在這類時間點附近查找異常的登錄記錄。
| 操作系統 |
事件ID | 登錄類型 | 說明 |
| Xp/2003 | 528 | 10 | RDP遠程登錄成功 |
| Xp/2003 | 529 | 10 | RDP遠程登錄失敗 |
| 2008/2012/2016/win7/win8/win10 | 4624 | 10 | RDP遠程登錄成功 |
| 2008/2012/2016/win7/win8/win10 | 4625 | 10 | RDP遠程登錄失敗 |
應用程序和服務日志 -> Microsoft -> Windows ->TerminalServices-RemoteConnectionManager->Operational,事件ID 1149為RDP登錄成功日志,會記錄源IP和用戶。
查看本機登錄過的IP:
打開注冊表,打開此路徑:HKCUSoftwareMicrosoftTerminal ServerClient。
選中Default可以看到連接過的IP。
選中Servers -> [IP]可以查看登陸名。
2、SMB遠程登錄
共享目錄登錄記錄位于windows安全日志中,登錄類型為3,常見的基于共享目錄的攻擊行為是IPC爆破,若爆破成功,攻擊者可以將受攻擊主機的磁盤文件映射到本地,造成信息泄露。同時,共享目錄可作為傳輸惡意文件的途徑之一,了解共享目錄的訪問情況可以幫助我們了解攻擊者的攻擊方法。
| 操作系統 |
事件ID | 登錄類型 | 說明 |
| Xp/2003 | 540 | 3 | SMB遠程登錄成功 |
| 2008/2012/2016/win7/win8/win10 | 529 | 3 | SMB遠程登錄失敗 |
| 2008/2012/2016/win7/win8/win10 | 4624 | 3 | SMB遠程登錄成功 |
| 2008/2012/2016/win7/win8/win10 | 4625 | 3 | SMB遠程登錄失敗 |
黑客為了保持病毒能夠開機啟動、登錄啟動或者定時啟動,通常會有相應的啟動項,因此有必要找出異常啟動項,并刪除之。啟動項的排查,這里引入一個非常好用的工具,工具名字Autoruns(官網www.sysinternals.com)。
1、自啟動項
autoruns查看
注冊表查看
永久啟動項
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
一次性啟動項,下次啟動會自動刪除
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
32位程序啟動項
HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
通過以下路徑放置程序也可以自啟動程序
%Appdata%MicrosoftWindowsStart MenuProgramsStartup
2、任務計劃
autoruns查看
微軟自帶工具
taskschd.msc可啟動系統自帶任務計劃程序,可以查看任務計劃具體操作,顯示所有正在運行的任務,并且可以開啟任務歷史記錄。
注冊表查看
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTree
有些任務計劃做了隱藏可通過注冊表查看,這里任務計劃只有名稱,如果想知道任務計劃執行內容,可以結合任務計劃歷史記錄日志看判斷。
服務排查
通過tasklist /svc,可以查看每個進程所對應的PID和服務
使用autoruns查看
注冊表查看
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices存儲著所有的服務啟動項
七、賬戶排查
查看用戶最后一次登錄,修改密碼時間,以及賬戶是否啟動。
| net user xxx |
通過PCHunter等工具可以查看隱藏用戶,如添加$符號的隱藏賬號,以及克隆賬號。
八、宏病毒分析處置
現象:
EDR等殺軟報宏病毒,病毒名提示類似于W97M、VBA、MSWor、Macro。
分析過程:
根據文件后綴其實就能看出,該word文檔是帶有宏代碼的,m即為macro。
為了分析腳本內容,打開文件就會觸發腳本運行,但如果禁用宏的話,打開文檔是看不到腳本內容的。為了以靜態方式提取樣本,這里會使用到一個分析程序oledump.py(https://github.com/decalage2/oledump-contrib)
oledump.py是一個用于分析OLE文件(復合文件二進制格式)的程序,而word、Excel、ppt等文檔是OLE格式文件的,可以用它來提取宏代碼。
先進行文件基礎分析,可以看到A3這段數據被標記為“M”,“M”即表示Macro,說明這段數據是帶有VBA代碼的。
Python/ target=_blank class=infotextkey>Python oledump.py SSL.docm
接下來我們就需要將這段VBA代碼提取出來,執行以下命令,可以看到VBA代碼就被提取出來了。我們把他重定向到一個文件里即可。
python oledump.py -s A3 -v SSL.docm
這段代碼其實比較簡單。
1.先判斷操作系統位數設置不同路徑的rundll32.exe,然后通過CreateProcessA啟動rundll32.exe。
2.通過VirtualAllocEx在rundll32進程里申請一段內存空間。
3.通過WriteProcessMemory將myArray數組的內容,按字節寫入到剛才申請的內存空間。
4.通過CreateRemoteThread在rundll32進程創建遠程線程,入口點為剛才申請的內存空間首地址,并啟動該線程。
綜上所述,該代碼為遠程注入惡意代碼到其他進程,可以判斷為病毒。
九、勒索病毒
勒索病毒特征
1、文件被加密成統一后綴,無法使用。
2、桌面存在勒索信息文件,或勒索信息背景。
勒索信息文件里的一串二進制字符串,實際上是加密密鑰,但它被其他算法又加密了一層。
加密原理
1.常見的勒索病毒加密算法為RSA+AES。
2.勒索病毒運行時會隨機生成一串AES密鑰,用該密鑰來加密文件,加密結束后,使用RSA公鑰對AES密鑰進行加密,保存在本地。
3.解密需要病毒開發者提供RSA私鑰,解密本地AES密鑰文件,從而得到AES密鑰來解密系統數據。
所以別寄希望于逆向分析來解密
十、sysmon監控
sysmon為windows提供了更強大的監控功能,但遺憾的是sysmon只支持2008以后的系統。
sysmon安裝推薦xml文件下載鏈接
https://github.com/SwiftOnSecurity/sysmon-config
最常用的安裝方式
| sysmon.exe -accepteula -i -n |
推薦安裝命令,使用上述git里的配置,可支持DNS記錄,并且可自行修改過濾器,記錄自己需要的。
| Sysmon64.exe -accepteula -i z-AlphaVersion.xml |
| sysmon.exe -u |
具體事件路徑為
應用程序和服務日志-Microsoft-Windows-Sysmon-Operational
如下圖所示,或者你直接去C盤指定路徑查文件也行
如同windows自帶的系統日志,安全日志有事件ID一樣,sysmon日志也有對應的事件ID,最新版本支持23種事件。
Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sysmon service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 13: RegistryEvent (Value Set)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
Event ID 255: Error
案例
常用的有事件ID 1,監控進程創建,惡意進程的創建,包括他的父進程,PID,執行命令等等。
之前遇到過一起,開啟會自動運行powershell,但查了啟動項,任務計劃,wmi都沒發現痕跡,苦苦無解,然后使用sysmon監控進程創建,最終定位是誰拉起了powershell,往上溯源找到是一個偽造成正常程序圖標和后綴的link文件,存放在Startup目錄下,鏈接到存放在另一處的vbs腳本。
下圖即為進程創建監控日志,可以看到幾個關鍵點,創建的進程,命令行,以及父進程
事件ID3,監控網絡連接,當惡意程序外連CC服務器或者礦池等操作的時候,可以監控到是哪個進程發起的連接。這邊也舉個例子,之前遇到一種病毒,當你去用進程管理器或分析工具去查看時,該病毒會自動退出,防止被檢測到,并且隨機一段時間重啟,但態勢感知上發現確實有挖礦行為,使用sysmon監控,當他不定時運行時,即可捕捉到他連接礦池的行為,從而定位到進程。
下圖為網絡連接監控日志,可以看到網絡連接的五元組,和對應的進程。
事件ID22,是這次重磅推出的新功能,DNS查詢記錄,這功能讓應急響應人員可以很輕松的通過域名定位到進程,并且你即使開啟了dnscache服務,也能定位到原先進程。dnscache是一個緩存服務,簡單來講,就是會代理其他進程進行dns解析,并且會緩存解析結果,下一次解析就不再發送請求,讀取緩存內容返回給指定程序即可。所以大家使用內存掃描工具,可能會定位到dnscache服務進程。
在監測設備上發現可疑域名解析時,通過這個功能,可以輕松定位到發起解析的進程,從而進一步分析進程文件是否確實有問題。
如下圖所示,為dns查詢日志,會記錄解析域名和結果,以及對應的進程PID和路徑。
