Windows 应急响应
本文最后更新于 2024-10-09,文章内容可能已经过时。
🔎入侵排查过程
出事情一定要先报告,而后根据业主需求或者上级制定再进行操作 -> 检查系统账号安全 -> 检查异常端口、进程 -> 检查启动项、计划任务、服务 -> 检查系统相关信息 -> 自动化查杀 -> 日志分析
-
这几个方面出发进行排查
🎈常见应急响应事件分类
web 入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP 爆破、SSH 爆破、主机漏洞、数据库入侵等
网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗
-
DDOS 攻击:分布式拒绝服务攻击(群殴)
-
DOS 攻击:拒绝服务式攻击(单挑)
路由器 / 交换机异常:内网病毒,配置错误等
🎈检查系统账号安全
查看服务器是否由弱口令,远程管理端口是否对公网开放。
检查方法:
-
据实际情况咨询相关服务器管理员
查看服务器是否存在可疑账号、新增账号。
检查方法:
-
打开本地用户和组 (lusrmgr.msc),查看是否有新增 / 可疑的账号。
查看服务器是否存在隐藏账户、影子账号。
检查方法:
-
打开注册表,查看管理员对应键值
-
使用工具,D 盾查杀
结合日志,查看管理员登录时间、用户名是否存在异常。
检查方法:
-
打开事件查看器 (eventvwr.msc)
-
导出 Windows 日志 - 安全,利用 Log Parser 进行分析。
🎈检查异常端口、进程
💡端口
检查端口连接情况,是否有远程连接、可疑连接。
检查方法:
-
netstat –ano 查看目前的网络连接,定位可疑的 ESTABLISHED
-
根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位
tasklist /fi "PID eq 12852"💡进程
检查方法:
-
开始 - 运行 - 键入 msinfo32,依次点击「软件环境 - 正在运行任务」就可以查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等。
-
打开 D 盾 _web 查杀工具,进程查看,关注没有签名信息的进程。
-
通过微软官方提供的 Process Explorer 等工具进行排查。
-
查看可疑的进程及子进程。
小技巧:
-
查看端口对应的 PID:netstat -ano | findstr "port"
-
查看 PID 对应的进程:tasklist /fi "PID eq pid"
-
查看进程对应的程序位置:任务管理器 - 选择对应进程 - 右键打开文件位置,运行键入 wmic,命令 process
-
查看 Windows 服务所对应的端口:运行键入 drivers- 进入 etc 文件 - 打开 services 文件,C:\Windows\System32\drivers\etc\services
🎈检查启动项、计划任务、服务
💡检查启动项
检查服务器是否有异常的启动项。
检查方法:
-
登录服务器,任务管理器 - 启动
-
运行键入 msconfig –启动
-
运行键入 regedit 打开注册表,查看开机启动项是否正常,特别注意如下注册表项:
-
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
-
-
利用安全软件查看启动项、开机时间管理等
-
组策略,运行 gpedit.msc
💡检查计划任务
检查方法:
-
win 搜索任务计划程序 或 右键此电脑 - 管理,查看计划任务属性,便可以发现木马文件的路径。
-
cmd 中输入命令 at 检查计算机与网络上的其他计算机之间的会话或计划任务,如有,则确认是否为正常连接。
💡服务自启动
检查方法:
-
运行键入 services.msc,注意服务状态和启动类型,
-
检查是否有异常服务。
🎈检查系统相关信息
💡查看系统版本以及补丁信息
检查方法:
-
cmd 中命令 systeminfo
-
查看系统信息
💡查找可疑目录及文件
检查方法:
-
查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
-
windows 2003 C:\Documents and Settings
-
windows 2008 R2 C:\User\
-
-
运行键入 recent,分析最近打开分析可疑文件
-
在服务器目录,可根据文件夹内文件列表时间进行排序,查找可疑文件
-
回收站、浏览器下载目录、浏览器历史记录
-
修改时间在创建时间之前的为可疑文件
💡得到发现 WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?
-
利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。
-
利用计算机自带文件搜索功能,指定修改时间进行搜索。
🎈自动化查杀
💡病毒查杀
检查方法:
-
下载安全软件
-
更新最新病毒库
-
进行全盘扫描
💡Webshell 查杀
检查方法:
-
选择具体站点路径进行 webshell 查杀
-
建议使用两款 webshell 查杀工具同时查杀
-
可相互补充规则库的不足
📒日志分析
Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
应用程序日志是由应用程序自动生成的记录文件,用于记录应用程序运行时的各种信息,包括用户操作、系统状态、错误信息常见记录方式:
1、文件记录
2、数据库记录
3、远程日志记录
日志默认位置:
C:\Windows\System32\winevt\Logs\Application.evtx
🎈系统日志
记录由操作系统组件生成的事件,如启动和关闭信息、硬件和设备信息、性能和资源利用情况等
日志默认位置:C:\Windows\System32\winevt\Logs\System.evtx
系统日志常用事件 ID
| EVENT ID | 意义 |
|---|---|
| 1074 | 查看计算机的开机、关机、重启的时间以及原因和注释 |
| 6005 | 表示日志服务已启动,用来判断正常开机进入系统 |
| 6006 | 表示日志服务已停止,用来判断系统关机 |
| 6009 | 表示非正常关机, 按 ctrl、alt、delete 键关机 |
| 41 | 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时 |
| 4199 | 当发生 TCP/IP 地址冲突的时候,出现此事件 ID,用来排查用户 IP 网络的问题 |
| 35,36,37 | 记录时间客户端状态信息,35 表示更改时间源,36 表示时间同步失败,37 表示时间同步正常 |
| 134 | 当出现时间同步源 DNS 解析失败时 |
| 7045 | 服务创建成功 |
| 7030 | 服务创建失败 |
🎈安全日志
记录与系统安全相关的事件,如登录和注销、权限变更、异常访问等
日志默认位置:C:\Windows\System32\winevt\Logs\Security.evtx
| EVENT ID | 意义 |
|---|---|
| 4624 | 表示成功登陆的用户,用来筛选该系统的用户登陆成功情况 |
| 4625 | 表示登陆失败的用户,用来判断 RDP 爆破的情况 |
| 4672 | 表示授予了特殊权限 |
| 4720,4722,4723,4724,4725,4726,4738,4740 | 事件 ID 表示当用户帐号发生创建,删除,改变密码时的事件记录。 |
| 4727,4737,4739,4762 | 表示当用户组发生添加、删除时或组内添加成员时生成该事件 |
🎈设置 Setup
1,2,3,4,用来查看 windows 系统更新的记录,事件 ID 前后顺序为「已挂起、已安装、错误、失败、提示重启
事件 ID3,更新错误或失败是重点查看对象
Log Parser Lizard
对于 GUI 环境的 Log Parser Lizard,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本的 SQL 语句,就可以直观的得到结果。
下载地址:http://www.lizard-labs.com/log_parser_lizard.aspx
依赖包:Microsoft .NET Framework 4.5,下载地址:
https://www.microsoft.com/zh-cn/download/details.aspx?id=30653
Event Log Explorer
Event Log Explorer 是一款非常好用的 Windows 日志分析工具。可用于查看、监视和分析跟事件记录,包括安全,系统,应用程序和其他微软 Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
下载地址:https://event-log-explorer.en.softonic.com/
Logparser 使用
1、基本查询结构
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"2、查询登录成功的事件
a、登录成功的所有事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"b、指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated > '2018-06-19 23:32:11' and TimeGenerated < '2018-06-20 23:34:00' and EventID=4624"c、提取登录成功的用户名和 IP:
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM 1.evtx where EventID=4624"3、查询登录失败的事件
a、登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"b、提取登录失败用户名进行聚合统计:
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"4、系统历史开关机记录:
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"2、WEB 访问日志
分析方法:
a、找到中间件的 web 日志,打包到本地方便进行分析。
b、推荐工具:Windows 下,推荐使用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。Linux 下,使用 Shell 命令组合查看分析。
c、到对应中间件 / 服务器存放日志查看内容,例如:
IIS:C:\WINDOWS\system32\LogFiles
apache:apache 默认日志在安装目录下的 logs 目录中
Tomcat:logs/catalina.xx.log logs/host-manager.xx.log
logs/localhost.xx.log logs/manager.xx.log 主要记录系统启、关闭日志、管理日志和异常信息
Weblogic:domain_name/servers/server_name/logs/ server_name.log:
server 启停日志 access.log:安装在该 server 之上的应用 http 访问日志
jboss:LOG4J 配置默认 Deploy/conf/ 如 jboss/server/default/conf/jboss-log4j.xml
⚒️工具使用
🎈病毒分析
🎈病毒查杀
🎈病毒动态
🎈在线病毒扫描网站
🎈webshell 查杀
🎈后门查杀
文件 md5 校验
下载 D 盾 _Web 查杀工具的时候,我们可以留意到下载的压缩包里,除了有一个 exe 可执行文件,还有一个文件 md5 值。这个是软件作者在发布软件时,通过 md5 算法计算出该 exe 文件的「特征值」。
文件 MD5:29285decadbce3918a4f8429ec33df46
当用户下载软件时,可以使用相同的校验算法计算下载到 exe 文件的特征值,并与软件开发者发布的特征值比较。如果两个特征值相同,则认为下载到的 exe 文件是正确的。如果两个特征值不同,则认为下载到 exe 文件是被篡改过的。
certutil -hashfile Desktop\zq.jpg md5🚑勒索自救指南
🎈勒索病毒搜索引擎
在勒索病毒搜索引擎输入病毒名、勒索邮箱、被加密后文件的后缀名,或直接被上传被加密的文件、勒索提示信息,即可快速查找到病毒详情和解密工具。
🎈勒索软件解密工具集
很多安全公司都提供了免费的勒索病毒解密工具下载,收集和整理相关下载地址,可以帮助我们了解和获取最新的勒索病毒解密工具。
