0x00 应急响应介绍
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
常见的应急响应事件分类
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
入侵排查思路
web入侵:对中间件日志进行分析
系统入侵:计划任务,系统爆破痕迹(系统日志),进程进行分析
网络攻击:流量分析
0x01 Windows - 应急响应处置过程
1.1 检查系统账号安全
1.1.1 检查服务器是否有弱口令
1.1.2 检查远程管理端口是否对公网开放
1.1.3 查看服务器是否存在可疑账号、新增账号
打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
1.1.4 查看服务器是否存在隐藏账号、克隆账号
a、打开注册表 ,查看管理员对应键值。
b、使用D盾_web查杀工具,D盾_web查杀集成了对克隆账号检测的功能
c、windows账号信息,隐藏账号
打开 cmd 窗口,输入lusrmgr.msc命令,用户名以
结
尾
的
为
隐
藏
用
户
,
如
:
a
d
m
i
n
结尾的为隐藏用户,如:admin
结尾的为隐藏用户,如:admin
LogParser.exe -i:EVT "select TimeGenera as LoginTime,EXTRACT\_TOKEN<Strings,5,'|'> as username FROM c: where ntID=4624"
1.2 检查异常端口、进程
1.2.1 检查端口连接情况,是否有远程连接、可疑连接
a、通过netstat查看目前的网络连接,定位可疑的ESTABLISHED
netstat -ano
b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位
tasklist | findstr "PID"
1.2.2 检查进程
a、开始–运行–输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容:
- 没有签名验证信息的进程
- 没有描述信息的进程
- 进程的属主
- 进程的路径是否合法
- CPU或内存资源占用长时间过高的进程
1.3 计划任务
1.3.1 任务计划程序
控制面板 — 管理工具 — 任务计划程序,或运行 — taskschd.msc,或通过命令查看计划任务 schtasks
存放计划任务的文件
- C:\Windows\System32\Tasks\
- C:\Windows\SysWOW64\Tasks\
- C:\Windows\tasks\
- *.job(指文件)
1.3.2 自启动
【开始】-【运行】- 【输入shell:startup】,查看是否存在开机自启动项目
1.3.3 组策略
【开始】-【运行】- 【输入gpedit.msc】,查看是否存在脚本启动
1.4 查看可疑目录及文件
查看 host :
cmd运行如下命令:
type %systemroot%\System32\drivers\etc\hosts
查看Recent:
Recent是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开分析可疑文件:
单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。
查看temp:
路径为 C:\Windows\Temp。查看temp(tmp)相关目录下有无异常文件 :Windows产生的临时文件
查看shift:
连按shift键5次,查看是否存在后门
查看ntfs数据流:
# 查找出可疑数据流命令
dir /s /r | findstr -i "$data" | findstr -vi "identifier"
# 将所有数据流存储到txt文本以便查找目标数据流的地址:
dir /s /r >
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
