应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 强力推荐windows入侵排查利器:火绒剑 0x01 分析入侵过程攻击者入侵windows系统往往从弱口令、系统漏洞以及服务漏洞进行切入,获得一个普通的系统权限,再经过提权后进行创建启动项、修改注册表、植入病毒和木马等一系列操作,从而维持对目标主机的控制权。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,系统运维人员可以根据以上异常情况来知道 暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破 漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝、Redis未授权访问等 流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪 木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中,而PC木马是进入系统进行植入。目的都是对操作系统进行持久控制 病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,植入病毒后往往会影响受感染电脑的正常运作,或是被控制而不自知,电脑正常运作仅盗窃资料、或者被利用做其他用途等用户非自发引导的行为 0x02 入侵排查方法一、检查系统账号安全攻击者面对windows系统会先从用户密码入手,首先是通过rdp服务对Administrator、Guest等默认账户的口令爆破,如果爆破没结果的话会固定密码,对用户账号进行爆破,再之后加入还是失败的话就是社工生成账号、密码字典,运气好那么就可以直接登录到管理员账号。在拿到系统权限后,权限维持则是必不可少的一步,创造一个新的管理账号方便后期登录查看就是一个不错的方法,当然为了增加隐蔽性该账号可以是影子账户。根据这几方面,检查看系统账号时可以重点关注弱口令、可疑账号、影子账户。 (一)排查服务器弱口令 检查方法: 尝试使用弱口令登录爆破或直接咨询管理员 (二)排查可疑账号、新增账号 检查方法:
(三)排查隐藏账号 检查方法1:
检查方法2:
(四)结合日志排查用户是否出现异常 检查方法1:
检查方法2:
二、检查异常端口、进程端口作为计算机内部与外部数据交互的窗口,在攻击者眼里也是作为 (一)排查可疑端口 检查方法1: 1、使用netstat命令查看当前网络连接,定位可疑的ESTABLISHED连接 netstat -ano 2、根据PID编号通过tasklist对进程进行定位 tasklist | findstr "PID" 检查方法2:
(二)排查可疑进程 检查方法1: 1、在桌面打开运行(可使用快捷键 win+R),输入 msinfo32 命令 检查方法2:
检查方法3:
在查看可疑的进程及其子进程。可以重点观察以下内容:
三、检查启动项、计划任务和服务启动项、计划任务、服务是攻击者维持权限的惯用手段。在入侵windows计算机后,攻击者可以通过修改注册表、替换粘滞键程序在系统启动时就获得权限,也能够在管理员权限下设置计划任务,因为计划任务后门分为管理员权限和普通用户权限两种。管理员权限可以设置更多的计划任务,例如重启后运行等。也可以通过meterpreter创建后门服务。 (一)排查异常启动项 检查方法1:
检查方法2:
检查方法3:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。 检查方法4:
检查方法5:
(二)排查计划任务 检查方法1:
检查方法2:
检查方法3:
(三)排查服务自启动 检查方法:
四、检查系统相关信息系统本身如果存在漏洞,那么结果往往是致命的,如果计算机存在永恒之蓝漏洞且未采取防护措施。那么攻击者就能直接通过MSF的漏洞利用程序获取目标windows系统的system权限。与此同时,攻击者在进入系统后往往也会留一些蛛丝马迹,如未将上传文件清除、浏览器浏览记录未删除、下载的文件未删除等。在检查系统相关信息时就需要重点关注系统本身存在的漏洞以及攻击者使用过的文件。 (一)查看系统版本以及补丁信息 检查方法:
3、将内容导入文本,利用 windows-exploit-suggester 对系统补丁进行漏洞利用分析 python windows-exploit-suggester.py --database 2021-08-26-mssb.xls --systeminfo systeminfo.txt (二)查看可疑目录及文件 检查方法1:
Window 2003版本 : C:\Documents and Settings Window 2003以后版本 : C:\Users\ 检查方法2:
检查方法3:
检查方法4:
(三)查看隐藏文件 检查方法1:
检查方法2:
检查方法3:
五、日志分析主要查看系统日志和web日志,通过日志可以帮助我们验证对入侵过程的判断和发现其他入侵行为。但它的前提则是日志记录已开启的情况下才能获取。这块具体会在之后的日志分析篇提到 (一)系统日志 分析方法:
(二)web日志 分析方法:
六、工具查杀webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。这里推荐D盾以及火绒软件(当然查杀软件越多越好)。对病毒进行全盘扫描,而对webshell进行web目录扫描。 0x03 总结我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里。 |
|