0x00 前言
當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息
系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過程,同時給出解決方案與防范措施,為企業
挽回或減少經濟損失。
常見的應急響應事件分類:
web入侵:網頁掛馬、主頁篡改、Webshell
系統入侵:病毒木馬、勒索軟件、遠控后門
網絡攻擊:DDoS攻擊、DNS劫持、ARP欺騙
針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些Window服務器入侵排查的思路。
0x01 入侵排查思路
1.1 檢查系統賬號安全
1、查看服務器是否有弱口令,遠程管理端口是否對公網開放。
檢查方法:據實際情況咨詢相關服務器管理員。
2、查看服務器是否存在可疑賬號、新增賬號。
檢查方法:打開 cmd 窗口,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號,如有管理員群組的
(Administrators)里的新增賬戶,如有,請立即禁用或刪除掉。
3、查看服務器是否存在隱藏賬號、克隆賬號。
檢查方法:
a、打開注冊表 ,查看管理員對應鍵值。
b、使用D盾_web查殺工具,集成了對克隆賬號檢測的功能。
4、結合日志,查看管理員登錄時間、用戶名是否存在異常。
檢查方法:
a、Win+R打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。
b、導出windows日志--安全,利用Log Parser進行分析。
1.2 檢查異常端口、進程
1、檢查端口連接情況,是否有遠程連接、可疑連接。
檢查方法:
a、netstat -ano 查看目前的網絡連接,定位可疑的ESTABLISHED
b、根據netstat 定位出的pid,再通過tasklist命令進行進程定位 tasklist | findstr “PID”
2、進程
檢查方法:a、開始--運行--輸入msinfo32,依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息,比如進程
路徑、進程ID、文件創建日期、啟動時間等。
b、打開D盾_web查殺工具,進程查看,關注沒有簽名信息的進程。
c、通過微軟官方提供的 Process Explorer 等工具進行排查 。
d、查看可疑的進程及其子進程。可以通過觀察以下內容:
3、小技巧:
a、查看端口對應的PID: netstat -ano | findstr “port”
b、查看進程對應的PID:任務管理器--查看--選擇列--PID 或者 tasklist | findstr “PID”
c、查看進程對應的程序位置:
任務管理器--選擇對應進程--右鍵打開文件位置
運行輸入 wmic,cmd界面 輸入 process
d、tasklist /svc 進程--PID--服務
e、查看Windows服務所對應的端口: %system%/system32/drivers/etc/services(一般%system%就是
C:Windows)
1.3 檢查啟動項、計劃任務、服務
1、檢查服務器是否有異常的啟動項。
檢查方法:
a、登錄服務器,單擊【開始】>【所有程序】>【啟動】,默認情況下此目錄在是一個空目錄,確認是否有非
業務程序在該目錄下。 b、單擊開始菜單 >【運行】,輸入 msconfig,查看是否存在命名異常的啟動項目,是
則取消勾選命名異常的啟動項目,并到命令中顯示的路徑刪除文件。 c、單擊【開始】>【運行】,輸入
regedit,打開注冊表,查看開機啟動項是否正常,特別注意如下三個注冊表項:
HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversionrun
HKEY_LOCAL_macHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce 檢查右側是否有啟動異常
的項目,如有請刪除,并建議安裝殺毒軟件進行病毒查殺,清除殘留病毒或木馬。
d、利用安全軟件查看啟動項、開機時間管理等。
e、組策略,運行gpedit.msc。
沒有簽名驗證信息的進程
沒有描述信息的進程
進程的屬主
進程的路徑是否合法
CPU或內存資源占用長時間過高的進程
2、檢查計劃任務
檢查方法:
a、單擊【開始】>【設置】>【控制面板】>【任務計劃】,查看計劃任務屬性,便可以發現木馬文件的路
徑。
b、單擊【開始】>【運行】;輸入 cmd,然后輸入at,檢查計算機與網絡上的其它計算機之間的會話或計劃
任務,如有,則確認是否為正常連接。
3、服務自啟動
檢查方法:單擊【開始】>【運行】,輸入services.msc,注意服務狀態和啟動類型,檢查是否有異常服務。
1.4 檢查系統相關信息
1、查看系統版本以及補丁信息
檢查方法:單擊【開始】>【運行】,輸入systeminfo,查看系統信息
2、查找可疑目錄及文件
檢查方法:
a、 查看用戶目錄,新建賬號會在這個目錄生成一個用戶目錄,查看是否有新建用戶目錄。
Window 2003 C:Documents and SettingsWindow 2008R2 C:Users
b、單擊【開始】>【運行】,輸入%UserProfile%Recent,分析最近打開分析可疑文件。
c、在服務器各個目錄,可根據文件夾內文件列表時間進行排序,查找可疑文件。
d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄
e、修改時間在創建時間之前的為可疑文件
3、得到發現WEBSHELL、遠控木馬的創建時間,如何找出同一時間范圍內創建的文件?
a、利用 Registry Workshop 注冊表編輯器的搜索功能,可以找到最后寫入時間區間的文件。
b、利用計算機自帶文件搜索功能,指定修改時間進行搜索。
1.5 自動化查殺
病毒查殺
檢查方法:下載安全軟件,更新最新病毒庫,進行全盤掃描。
webshell查殺
檢查方法:選擇具體站點路徑進行webshell查殺,建議使用兩款webshell查殺工具同時查殺,可相互補
充規則庫的不足。
1.6 日志分析
系統日志
分析方法:
a、前提:開啟審核策略,若日后系統出現故障、安全事故則可以查看系統的日志文件,排除故障,追查入侵
者的信息等。
b、Win+R打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。
C、導出應用程序日志、安全日志、系統日志,利用Log Parser進行分析。
WEB訪問日志
分析方法:
a、找到中間件的web日志,打包到本地方便進行分析。
b、推薦工具:Window下,推薦用 EmEditor 進行日志分析,支持大文本,搜索效率還不錯。
linux下,使用Shell命令組合查詢分析
0x02 工具篇
2.1 病毒分析
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autorunsOTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
2.2 病毒查殺
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推薦理由:綠色版、最新病
毒庫)
大蜘蛛:http://free.drweb.ru/download+cureit+free(推薦理由:掃描快、一次下載只能用1周,更新病毒庫)
火絨安全軟件:https://www.huorong.cn
360殺毒:http://sd.360.cn/download_center.html
2.3 病毒動態
CVERC-國家計算機病毒應急處理中心:http://www.cverc.org.cn
微步在線威脅情報社區:https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
愛毒霸社區:http://bbs.duba.net
騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html
2.4 在線病毒掃描網站
http://www.virscan.org //多引擎在線病毒掃描網 v1.02,當前支持 41 款殺毒引擎
https://habo.qq.com //騰訊哈勃分析系統
https://virusscan.jotti.org //Jotti惡意軟件掃描系統
http://www.scanvir.com //針對計算機病毒、手機病毒、可疑文件等進行檢測分析
2.5 webshell查殺
D盾_Web查殺:http://www.d99net.net/index.asp
河馬webshell查殺:http://www.shellpub.com
深信服Webshell網站后門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
Safe3:http://www.uusec.com/webshell.zip
