2023年7月27日发(作者:)
Windows应急响应及隐患排查思路
一、安全事件分类
1. Web入侵:网站挂马、网页篡改、Webshell
2. 系统入侵:主机漏洞、蓝屏/重启、网络协议/服务 弱口令/未授权访问
3. 僵尸网络:远控、后门、木马、勒索软件、挖矿病毒、蠕虫
4. 信息泄漏:脱裤
5. 网络攻击:DDoS、DoS、ARP、DNS劫持
二、排查思路
什么时间?什么现象?做过什么处理?当前状态?受影响主机范围?该现象可能产生的原因?可能留下的痕迹?是否部署安全设备/产品?有无相关记录?网络环境架构?是否提供账号密码可登陆受影响主机?是否存在过某些漏洞/弱口令/数据库/中间件/高危端口?
三、排查项目
1. 账户
1.1异常账户
1.
打开 cmd 窗口,输入命令,查看是否有新增的账号,如发现存在非系统及用户所创建异常账户,立即禁用或删除。
2.
使用net user列出当前登录账号
3.
使用wmic UserAccount get列出当前系统所有账户
1.2 隐藏账户
1.
在桌面打开运行Win + R,输入
regedit,即可打开注册表编辑器;
2.
选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口; 3.
选择当前用户(一般为
administrator),将权限勾选为完全控制,然后确定,关闭注册表编辑器;
4.
再器择
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
藏账户,在确认为非系统用户的前提下,可删除此用户。
次打开注册表编辑,即可选5.
在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐1.3 克隆账户
d盾.rar
1.
以管理员权限运行d盾
2
2.
查看是否存在克隆账户
3.
非管理员权限用户运行
2. 漏洞
涉及弱口令、未授权访问漏洞、系统漏洞、应用程序组件漏洞、端口、进程
netstat命令参数详解,常用命令:netstat -ano、netstat -anob、netstat -ano |
find/findstr "PID/PORT/连接状态"
3
tasklist命令参数详解,常用命令:tasklist /SVC、tasklist /V、tasklist /SVC |
find/findstr "PID"
4
wmic常用命令:wmic process、wmic process where name=" processname" list full
检查方法
1.
通过netstat -ano | findstr "ESTABLISHED"查看当前网络连接状态,定位异常
2.
根据netstat 定位出的pid,再通过tasklist /svc | findstr "PID"进行进程定位
3.
查看进程对应的程序位置wmic process where name="processname" list full
1.
ctrl+alt+delete打开任务管理器,或点击【开始】>【运行】,输入msinfo32,软件环境,正在运行程序,查看进程详细信息
2.
借助Process Explorer、D盾、TCPView等工具排查可疑进程/子进程:没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用长时间过高的进程
常用漏洞摸排(具体poc或方法,详见附件。)
(1) Weblogic反序列化
(2) Jboss反序列化
5
(3) Struts2命令执行
(4) 心脏滴血漏洞
(5) Spark未授权访问漏洞
(6) Mongdb未授权访问漏洞
(7) ElasticSearch远程代码执行
(8) ElasticSearch任意文件读取
(9) Redis未授权访问
(10) ActiveMQ任意文件上传漏洞
(11) Zookeeper未授权访问
3. 目录及文件
1.
在服务器各个目录(网站根目录、Temp/Tmp目录、文件上传目录),可根据文件夹内文件列表时间进行排序或搜索指定日期范围,查找可疑文件、异常文件
查看文件时间,创建时间、修改时间、访问时间。通过对文件右键属性即可看到详细的时间或通过dir /tc 文件名来查看创建时间
1.
单击【开始】>【运行】,输入%UserProfile%Recent,分析最近打开过的可疑文件
C:Documents and SettingsAdministratorRecent
C:Documents and SettingsDefault UserRecent
1.
单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下
2.
查看浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息
4. 服务
6
1.
单击【开始】>【运行】,输入,排查是否存在异常服务
2.
在PowerShell下输入service
5. 启动项
7
1.
登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下
8
2.
单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件
3.
单击【开始】>【运行】,输入注册表项如下:
regedit,打开注册表,查看开机启动项是否正常,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows
NTCurrentVersionWindowsRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
(ProfilePath)Start MenuProgramsStartup
9
4.
运行在本地组策略编辑器里查看开机运行脚本
6. 会话、计划任务
1.
命令行输入net use、at、,检查计算机与网络上的其它计算机之间的会话或计划任务
2.
单击【开始】>【运行】,输入或从计算机管理进入,直接查看计划任务
10
3.
存放计划任务的文件
C:WindowsSystem32Tasks
C:WindowsSysWOW64Tasks
C:Windowstasks
7. 注册表
注册表目录含义
名称
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
作用
存储Windows可识别的文件类型的详细列表,以及相关联的程序。
存储当前用户设置的信息。
包括安装在计算机上的硬件和软件的信息。
11
名称
HKEY_USERS
HKEY_CURRENT_CONFIG
账户:
作用
包含使用计算机的用户的信息。
这个分支包含计算机当前的硬件配置信息。
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
启动项:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows
NTCurrentVersionWindowsRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
(ProfilePath)Start MenuProgramsStartup
8. 日志
系统日志
1.
启用安全审核策略:已管理员身份运行cmd,输入Auditpol /set /Category:System
/failure:enable,重启服务器生效
2.
Win+R打开运行,输入,回车运行,打开“事件查看器”
12
日志导出至文本格式,使用文本编辑器打开并用正则表达式((?:(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))).){3}(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))))匹配IP地址
3. 导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析
4. 登陆类型ID含义
13
14
应用组件日志
1.
确认应用组件日志存放日志,打包到本地进行分析
2.
在本地通过日志分析工具进行排查
15
发布者:admin,转转请注明出处:http://www.yc00.com/news/1690420660a347456.html
评论列表(0条)