应急响应-入侵排查(Windows篇)
整理了一篇关于应急响应当中的入侵排查手册,希望大家喜欢
应急响应是我们大家所熟悉的,今天呢整理了一下关于Windows系统下应急工作中进行入侵排查的一些点,以供参考、借鉴和一个抛砖引玉的效果。
首先分享的是一些在Windows的入侵排查流程当中常用的命令:
| WIN: | ||
|---|---|---|
| 排查项目 | 命令 | 功能 |
| 查看异常进程 | tasklist | 查看系统进程信息 |
| tasklist /svc | 查看进程对应服务信息 | |
| Procxp | 查看系统进程和进程详细信息 | |
| PCHunter | 查看系统进程和系统内核信息 | |
| Process Monitor | 抓取当前系统上各个进程的API调用,注册表修改,文件操作,网络通信等操作详情 | |
| 查看网络连接与网络流量 | netstat -ano | 查看当前系统上的网络链接状态 |
| netstat -ano wireshark | 抓取当前系统上的网络流量 | |
| 查看异常用户 | quser | 查询用户会话信息 |
| net user | 查询系统用户 | |
| 日志排查 | eventvwr | 系统事件管理 |
| lorg -u -g %access log path% | 分析HTTPD日志文件 | |
| 排查恶意程序文件 | sc query | 查询系统服务信息 |
| regedlit | 查询注册表信息 | |
| portmon | 端口通信数据监视 | |
| procdump | 保存进程内存信息和上下文 |
接下来也是按部就班的流程,三板斧
检查系统账号
1、查看服务器是否有弱口令,远程管理端口(3389)是否对公网开放。
检测方法:根据实际情况咨询相关服务器管理员
2、查看服务器是否存在可疑账号、新增账号
检查方法:在cmd窗口,输入lusrmgr.msc命令,查看是否有新增可疑的账号,如有管理员群组的(Administrators)里的新增账户如有请立即禁用或删除掉
路径:cmd窗口,输入lusrmgr.msc命令,或者,开始—管理工具—服务器管理—本地用户和组
3、查看服务器是否存在隐藏账号、克隆账号
检查方法:1)打开注册表,查看管理员键值(开始输入regedit)
2)使用D盾web查杀工具,集成了对克隆账号的检测功能
4、结合日志,查看管理员登录时间、用户名是否存在异常
检查方法:win+R输入eventvwr.msc,回车运行,打开事件查看器
检查异常的端口和进程
1、即检查端口连接情况,是否有远程连接、可疑连接
检测方法:1)netstat -ano查看目前的网络连接,定位可疑的ESTABLISHED(建立)
2)根据netstat定位出的pid,再通过tasklist命令进行进程定位tasklist | findstr "PID"
2、检查进程
1)开始—运行—输入msinfo32—软件环境—正在运行任务,就可以看到进程的详细信息,比如进程路径、进程ID、文件常见日期、启动时间等
2)打开D盾_web查杀工具,进程查看,关注没有签名信息的进程
3)通过微软官方提供的ProcessExplorer等工具进行排查
4)查看可疑进程及其子进程,主要观察以下内容
a.没有签名验证信息的进程
b.没有描述信息的进程
c.进程的属主
d.进程的路径是否合法
e.CPU或内存资源占用长时间过高的进程
检查启动项、计划任务和服务
1、检查服务器是否存在异常的启动项
1)登录服务器,开始—所有程序—启动,默认情况下此目录是一个空目录,确认是否有非业务程序在该目录下
2)开始—运行—输入msconfig,查看是否存在命令异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中现实的路径删除文件
3)开始—运行—输入regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀软进行病毒查杀,清除残留病毒或木马
4)利用安全软件查看启动项、开机时间管理等
5)组策略,运行—gpedit.msc
2、检查计划任务
检查方法:1)开始—设置—控制面板—任务计划—查看计划任务属性
2)开始—运行—cmd—输入at,检查计算机与网络上其他计算机之间的会话或计划任务,如有,则确认是否为正常连接
3、服务自启动
检查方法:开始—运行—输入services.msc,注意服务状态和启动类型,检查是否有异常服务
检查系统相关信息
1、查看系统版本以及补丁信息
检查方法:开始—运行—cmd—输入systeminfo,查看系统信息
2、查找可疑目录及文件
检查方法:1)查看用户目录,新建账号在这个目录生成一个用户目录,查看是否有新建用户目录
Window 2003 C:\Documents and Settings Window
2008R2 C:\Users\
2)开始—运行—输入%UserProfile%\Recent,分析最近打开,分析可疑文件
3)在服务器各个目录,可根据文件夹列表时间进行排序,查找可疑文件
检查分析日志
系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用 软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义
默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事 件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以 自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程 序事件日志中找到相应的记录,也许会有助于你解决问题
默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志 、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是 调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以 使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性 日志满后使系统停止响应
默认位置: %SystemRoot%\System32\Winevt\Logs\Security.evtx
审核策略与事件查看器
审核策略
Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略 ,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等
PS:默认状态下,也会记录一些简单的日志,日志默认大小20M
设置:
1、开始—管理工具—本地安全策略—本地策略—审核策略,参考配置操作
2、设置合理的日志属性,即日志最大大小,时间覆盖阈值等
事件日志分析
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式
差不多就这些,欢迎朋友们补充遗漏或指正错误
