0x00 前言
當(dāng)企業(yè)發(fā)生黑客入侵藏斩、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí)瑟捣,急需第一時(shí)間進(jìn)行處理,使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作,進(jìn)一步查找入侵來(lái)源新锈,還原入侵事故過(guò)程甲脏,同時(shí)給出解決方案與防范措施,為企業(yè)挽回或減少經(jīng)濟(jì)損失。
常見(jiàn)的應(yīng)急響應(yīng)事件分類(lèi):
web入侵:網(wǎng)頁(yè)掛馬块请、主頁(yè)篡改娜氏、Webshell
系統(tǒng)入侵:病毒木馬、勒索軟件墩新、遠(yuǎn)控后門(mén)
網(wǎng)絡(luò)攻擊:DDOS攻擊贸弥、DNS劫持、ARP欺騙
針對(duì)常見(jiàn)的攻擊事件海渊,結(jié)合工作中應(yīng)急響應(yīng)事件分析和解決的方法绵疲,總結(jié)了一些Window服務(wù)器入侵排查的思路。
0x01 入侵排查思路
1.1 檢查系統(tǒng)賬號(hào)安全
????1臣疑、查看服務(wù)器是否有弱口令盔憨,遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開(kāi)放。
????????檢查方法:據(jù)實(shí)際情況咨詢(xún)相關(guān)服務(wù)器管理員讯沈。
????2郁岩、查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)缺狠。
????????檢查方法:打開(kāi) cmd 窗口问慎,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號(hào)挤茄,如有管理員群組的(Administrators)里的新增賬戶(hù)如叼,如有,請(qǐng)立即禁用或刪除掉驮樊。
????3薇正、查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)囚衔。
????檢查方法:
????????a挖腰、打開(kāi)注冊(cè)表 ,查看管理員對(duì)應(yīng)鍵值练湿。
????????b猴仑、使用D盾_web查殺工具,集成了對(duì)克隆賬號(hào)檢測(cè)的功能肥哎。
????4辽俗、結(jié)合日志,查看管理員登錄時(shí)間篡诽、用戶(hù)名是否存在異常崖飘。
????????檢查方法:
????????????a、Win+R打開(kāi)運(yùn)行杈女,輸入“eventvwr.msc”朱浴,回車(chē)運(yùn)行吊圾,打開(kāi)“事件查看器”。
????????????b翰蠢、導(dǎo)出Windows日志--安全项乒,利用Log Parser進(jìn)行分析。
1.2 檢查異常端口梁沧、進(jìn)程
????1檀何、檢查端口連接情況,是否有遠(yuǎn)程連接廷支、可疑連接频鉴。
????????檢查方法:
????????????a、netstat -ano 查看目前的網(wǎng)絡(luò)連接酥泞,定位可疑的ESTABLISHED
????????????b砚殿、根據(jù)netstat 定位出的pid,再通過(guò)tasklist命令進(jìn)行進(jìn)程定位 tasklist | findstr “PID”
2芝囤、進(jìn)程
檢查方法:
????a似炎、開(kāi)始--運(yùn)行--輸入msinfo32,依次點(diǎn)擊“軟件環(huán)境→正在運(yùn)行任務(wù)”就可以查看到進(jìn)程的詳細(xì)信息悯姊,比如進(jìn)程路徑羡藐、進(jìn)程ID、文件創(chuàng)建日期悯许、啟動(dòng)時(shí)間等仆嗦。
????b、打開(kāi)D盾_web查殺工具先壕,進(jìn)程查看瘩扼,關(guān)注沒(méi)有簽名信息的進(jìn)程。
????c垃僚、通過(guò)微軟官方提供的 Process Explorer 等工具進(jìn)行排查 集绰。
????d、查看可疑的進(jìn)程及其子進(jìn)程谆棺≡匝啵可以通過(guò)觀(guān)察以下內(nèi)容:
? ? ? ????沒(méi)有簽名驗(yàn)證信息的進(jìn)程
? ? ? ????沒(méi)有描述信息的進(jìn)程
? ? ? ????進(jìn)程的屬主
? ? ? ????進(jìn)程的路徑是否合法
? ? ????? CPU或內(nèi)存資源占用長(zhǎng)時(shí)間過(guò)高的進(jìn)程
? ?3、小技巧:
? ????????a改淑、查看端口對(duì)應(yīng)的PID: netstat -ano | findstr “port”
? ????????b碍岔、查看進(jìn)程對(duì)應(yīng)的PID:任務(wù)管理器--查看--選擇列--PID 或者 tasklist | findstr “PID”
? ????????c、查看進(jìn)程對(duì)應(yīng)的程序位置:
? 任務(wù)管理器--選擇對(duì)應(yīng)進(jìn)程--右鍵打開(kāi)文件位置
? 運(yùn)行輸入 wmic朵夏,cmd界面 輸入 process
????? d蔼啦、tasklist /svc 進(jìn)程--PID--服務(wù)
? ????e、查看Windows服務(wù)所對(duì)應(yīng)的端口:? %system%/system32/drivers/etc/services(一般%system%就是C:\Windows)
1.3 檢查啟動(dòng)項(xiàng)仰猖、計(jì)劃任務(wù)捏肢、服務(wù)
????1掠河、檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。
????檢查方法:
????a猛计、登錄服務(wù)器,單擊【開(kāi)始】>【所有程序】>【啟動(dòng)】爆捞,默認(rèn)情況下此目錄在是一個(gè)空目錄奉瘤,確認(rèn)是否有非業(yè)務(wù)程序在該目錄下。 b煮甥、單擊開(kāi)始菜單 >【運(yùn)行】盗温,輸入 msconfig,查看是否存在命名異常的啟動(dòng)項(xiàng)目成肘,是則取消勾選命名異常的啟動(dòng)項(xiàng)目卖局,并到命令中顯示的路徑刪除文件。 c双霍、單擊【開(kāi)始】>【運(yùn)行】砚偶,輸入 regedit,打開(kāi)注冊(cè)表洒闸,查看開(kāi)機(jī)啟動(dòng)項(xiàng)是否正常染坯,特別注意如下三個(gè)注冊(cè)表項(xiàng): HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目,如有請(qǐng)刪除丘逸,并建議安裝殺毒軟件進(jìn)行病毒查殺单鹿,清除殘留病毒或木馬。
????d深纲、利用安全軟件查看啟動(dòng)項(xiàng)仲锄、開(kāi)機(jī)時(shí)間管理等。
????e湃鹊、組策略儒喊,運(yùn)行g(shù)pedit.msc。
2涛舍、檢查計(jì)劃任務(wù)
????檢查方法:
????????a澄惊、單擊【開(kāi)始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】,查看計(jì)劃任務(wù)屬性富雅,便可以發(fā)現(xiàn)木馬文件的路徑掸驱。
????????b、單擊【開(kāi)始】>【運(yùn)行】没佑;輸入 cmd毕贼,然后輸入at,檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話(huà)或計(jì)劃任務(wù)蛤奢,如有鬼癣,則確認(rèn)是否為正常連接陶贼。
3、服務(wù)自啟動(dòng)
????????檢查方法:?jiǎn)螕簟鹃_(kāi)始】>【運(yùn)行】待秃,輸入services.msc拜秧,注意服務(wù)狀態(tài)和啟動(dòng)類(lèi)型,檢查是否有異常服務(wù)章郁。
1.4 檢查系統(tǒng)相關(guān)信息
????1枉氮、查看系統(tǒng)版本以及補(bǔ)丁信息
????????檢查方法:?jiǎn)螕簟鹃_(kāi)始】>【運(yùn)行】,輸入systeminfo暖庄,查看系統(tǒng)信息
? ? ? ?2聊替、查找可疑目錄及文件
????????檢查方法:
????????????a、 查看用戶(hù)目錄培廓,新建賬號(hào)會(huì)在這個(gè)目錄生成一個(gè)用戶(hù)目錄惹悄,查看是否有新建用戶(hù)目錄。
????????????????????? Window 2003 C:\Documents and Settings
? ????????????????????Window 2008R2 C:\Users\
????????????b肩钠、單擊【開(kāi)始】>【運(yùn)行】泣港,輸入%UserProfile%\Recent,分析最近打開(kāi)分析可疑文件蔬将。
????????????c爷速、在服務(wù)器各個(gè)目錄,可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序霞怀,查找可疑文件惫东。
????????????d、回收站毙石、瀏覽器下載目錄廉沮、瀏覽器歷史記錄
????????????e、修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件
????3徐矩、得到發(fā)現(xiàn)WEBSHELL滞时、遠(yuǎn)控木馬的創(chuàng)建時(shí)間,如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件滤灯?
????????????? a坪稽、利用 Registry Workshop 注冊(cè)表編輯器的搜索功能,可以找到最后寫(xiě)入時(shí)間區(qū)間的文件鳞骤。
????????????? b窒百、利用計(jì)算機(jī)自帶文件搜索功能,指定修改時(shí)間進(jìn)行搜索豫尽。
1.5 自動(dòng)化查殺
????病毒查殺
????????檢查方法:下載安全軟件篙梢,更新最新病毒庫(kù),進(jìn)行全盤(pán)掃描美旧。
????webshell查殺
????????檢查方法:選擇具體站點(diǎn)路徑進(jìn)行webshell查殺渤滞,建議使用兩款webshell查殺工具同時(shí)查殺贬墩,可相? 互補(bǔ)充規(guī)則庫(kù)的不足。
1.6 日志分析
????系統(tǒng)日志
????分析方法:
????????a妄呕、前提:開(kāi)啟審核策略陶舞,若日后系統(tǒng)出現(xiàn)故障、安全事故則可以查看系統(tǒng)的日志文件绪励,排除故障吊说,追查入侵者的信息等。
????????b优炬、Win+R打開(kāi)運(yùn)行,輸入“eventvwr.msc”厅贪,回車(chē)運(yùn)行蠢护,打開(kāi)“事件查看器”。
????????C养涮、導(dǎo)出應(yīng)用程序日志葵硕、安全日志、系統(tǒng)日志贯吓,利用Log Parser進(jìn)行分析懈凹。
????WEB訪(fǎng)問(wèn)日志
????分析方法:
????????a、找到中間件的web日志悄谐,打包到本地方便進(jìn)行分析介评。
????????b、推薦工具:Window下爬舰,推薦用 EmEditor 進(jìn)行日志分析们陆,支持大文本,搜索效率還不錯(cuò)情屹。
? Linux下坪仇,使用Shell命令組合查詢(xún)分析
0x02 工具篇
2.1 病毒分析
????PCHunter:http://www.xuetr.com
????火絨劍:https://www.huorong.cn
????Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
????processhacker:https://processhacker.sourceforge.io/downloads.php
????autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
????OTL:https://www.bleepingcomputer.com/download/otl/
????SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
2.2 病毒查殺
????卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe?(推薦理由:綠色版、最新病毒庫(kù))
????大蜘蛛:http://free.drweb.ru/download+cureit+free(推薦理由:掃描快垃你、一次下載只能用1周椅文,更新病毒庫(kù))
????火絨安全軟件:https://www.huorong.cn
????360殺毒:http://sd.#/download_center.html
2.3 病毒動(dòng)態(tài)
????CVERC-國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心:http://www.cverc.org.cn
????微步在線(xiàn)威脅情報(bào)社區(qū):https://x.threatbook.cn
????火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
????愛(ài)毒霸社區(qū):http://bbs.duba.net
????騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html
2.4 在線(xiàn)病毒掃描網(wǎng)站
????http://www.virscan.org?//多引擎在線(xiàn)病毒掃描網(wǎng) v1.02,當(dāng)前支持 41 款殺毒引擎
????https://habo.qq.com?//騰訊哈勃分析系統(tǒng)
????https://virusscan.jotti.org?//Jotti惡意軟件掃描系統(tǒng)
????http://www.scanvir.com?//針對(duì)計(jì)算機(jī)病毒惜颇、手機(jī)病毒皆刺、可疑文件等進(jìn)行檢測(cè)分析
2.5 webshell查殺
????D盾_Web查殺:http://www.d99net.net/index.asp
????河馬webshell查殺:http://www.shellpub.com
????深信服Webshell網(wǎng)站后門(mén)檢測(cè)工具:http://edr.sangfor.com.cn/backdoor_detection.html
????Safe3:http://www.uusec.com/webshell.zip