您现在的位置是:网站首页> 网络安全 应急响应
windows失陷主机检测-应急响应
栗子2019-10-29 11:56:34【应急响应】人已围观
简介当服务器被入侵的时候,大家就想到装个杀毒,全盘查杀一波就ok了,其实只是这样做是远远不够的,没有系统的分析对方如何入侵,会发现再次被入侵,甚至自己都没办法正常维护服务器。
应急响应是安服的核心业务之一,主要是发现威胁,抑制攻击,溯源分析,安全加固。
一、适应场景
中间件入侵:网页挂马、非法篡改、Webshell后门、脱裤等等。
系统入侵:病毒木马、远控挖矿、勒索软件、后门利用等等。
这里给大家分享一波关于在特定场景下的应急排查思路。
二、系统入侵行为分析
1、后门持久化利用
自启服务,开机启动项,计划任务是目前后门常用的持久化利用的途径,尤其是计划任务与服务是近几天病毒常用的手段。
启服务检查方法
排查方法:
【开始菜单】->【运行】->输入“services.msc” 打开计算机服务。点击启动类型,系统会自动排序,不知道什么服务的可以百度一下服务名。发现特殊的服务名可以鼠标右键,属性按钮可以看到这项服务具体执行了什么命令以及参数。
或者cmd一键查看
wmic service where (startmode="auto") get name ,processid ,pathname ,startmode ,caption
重点关注:主要查看“自动”字眼的,服务名称异常的,描述为空的,描述全英文乱码的以及陌生的。
计划任务检查方法
排查方法:
【开始菜单】->【运行】->输入“taskschd.msc”,打开任务计划程序。找到异常的任务项,右键属性便可以查看其详细内容,比如执行的命令,频率,创建日期等等。(当然也可以通过【控制面板】->【任务计划程序】打开)
重点关注:powershell命令、加密、创建日期、频率过高的。
开机启动项检查方法
排查方法:
1、【开始菜单】->【所有程序】->【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
2、【开始菜单】->【运行】,输入 “msconfig”,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径找到并删除(或压缩备份)文件。
3、【开始菜单】->【运行】,输入 “regedit”,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
4、【开始菜单】->【运行】->输入“gpedit.msc”,打开计算机组策略,【计算机配置】->【Windows设置】->【脚本(启动/关机)】双击打开对应的项目查看即可,默认没有配置。 操作系统安全
5、cmd -> "wmic startup"
2、异常进程
排查方法:
鼠标右键工具栏【任务管理器】即可。
重点关注:
1、CPU或内存资源占用长时间过高的进程
2、进程对应的用户
3、没有签名验证信息的进程
4、没有描述信息的进程
5、进程的路径在temp缓存目录的
6、进程对应的文件创建日期、修改日期、文件大小(如exe文件过大的)
小贴示:
获取系统当前正在运行的进程、进程文件路径、进程id
wmic process get caption,executablepath,processid
获取系统当前正在运行的服务
wmic service where (state="running") get name ,processid ,pathname ,startmode ,caption
工具推荐: 火绒剑、antoruns、Process Explorer、Pchunter等。
3、异常端口排查
1、netstat -ano 查看全部端口
2、netstat -ano | findstr "端口号" 查看目标端口对应的进程pid
3、tasklist |findstr “pid” 通过端口号查找进程
4、文件系统
资源管理器
排查方法:查找恶意软件常驻目录,按照修改日期排序。
重点关注:
C:\windows
C:\windows\temp
C:\windows\system32
历史信息
回收站、ie、浏览器下载目录、访问记录。
排查方法
【开始】>【运行】,输入%UserProfile%\Recent,查看最近访问的文件。
借助LastActivityView,可以帮你发现电脑中的一些操作记录。
重点关注:
文件创建日期、修改日期、有无签名、文件名、文件大小、隐藏文件等。
小贴示:
可以通过资源管理器的搜索功能按照时间点去搜索特定目录下同一时间段的文件,点击右上角时间哪个按钮即可。
5、系统日志分析
排查方法:
1、【开始菜单】->【运行】,输入“eventvwr.msc”,打开事件管理器。
2、windows自带的时间查看器使用起来不是很友好,推荐大家使用【event_log_explorer】。这个软件是收费的,但是可以去官网获取免费的激活码,如果实在找不到激活码的,可以留言~。
3、使用Log Parser,进行查看、搜索,这个工具使用起来需要对语法极其熟悉,改天为大家分享一波。
在线病毒查杀工具
http://www.virscan.org 多引擎在线病毒扫描网
https://habo.qq.com 腾讯哈勃分析系统
线下病毒查杀工具
360杀毒、腾讯电脑管家、卡巴斯基等
三、中间件入侵行为分析
1、webshell查杀
在线webshell查杀 https://scanner.baidu.com/#/pages/intro 百度webdir+
线下webshell查杀 D盾、河马(支持linux)、安全狗等
2、中间件日志分析
通过notepad++编辑器,可以直接搜索某个时间段、路径、文件名等等。按照各个线索去搜索。可以先使用webshell查杀工具,找到木马然后以木马文件名为线索找到对应的访问ip,去看对方的行踪。 具体方法,【搜索】->【查找】->【文件查找】注意点击“全部查找”,不要使用全部替换。
小贴示: 一般攻击都伴随着系统层面,推荐参考上面的系统分析方法深度分析。
很赞哦!()
