Windows應急響應-個人整理

客服小祥-10086發表於2024-09-16
Windows

Windows應急響應整理(一)

參考
1.NOPTeam的手冊連結
2.fox-yu的部落格(思路很清晰,對我這個小白來說很友好)

1.整體思路

1.1常見事件型別(不完整、待補充)

  • 網路協議攻擊:
    • 拒絕服務攻擊:DDos、CC攻擊、泛洪攻擊等。連結
    • DNS劫持
    • ARP欺騙
  • web入侵:
    • webshell
    • 網頁掛馬
    • 主頁篡改
    • 郵件釣魚
  • 系統入侵:
    • 遠控後門
    • 病毒、木馬、蠕蟲
    • 勒索軟體
    • 挖礦程式
  • APT攻擊事件
  • 資料洩漏

1.2排查思路

  • 確認情況
    • 什麼人,什麼時間,透過什麼方法(日誌、系統佔用異常、告警、檔案)發現了什麼情況,影響到什麼範圍,做了什麼處置
    • 整體網路拓撲、安全裝置部署情況、是否能提供相關日誌記錄、能否協調相關廠商進行協助
    • 整體資產資訊、受影響資產資訊、核心資產資訊、涉及到的所有服務、開放的埠、有無弱口令
  • 先處理,再分析
    1. 網站下線(掛馬、篡改)、斷網隔離(病毒、遠控)、流量清洗(Dos)、聯絡運營商(Dns劫持)
    2. 資料備份、樣本保留、攻擊畫像、溯源取證

2.分析處理

2.1 準備工具

重點關注:網路連線、後臺程序、啟動項、登錄檔、記憶體、隱藏使用者、特殊檔案(建立、修改、訪問時間)

  • 程序與網路連線排查工具
    OpenArk(自帶工具源,可自定義工具庫)
    image
    Procexp(可直接替換本機自帶的程序資源管理器)
    火絨劍(新版本的火絨已刪除該模組,也可以用PChunter替代)
    SystemInformer(ProcessHacker專案繼承過來的)
    TCPview
    apateDNS(用於將dns解析轉到指定ip,需要.net3.5環境)
    INetSim(kaili自帶,用於模擬常見網際網路服務,使用姿勢)
  • 登錄檔比對工具
    Regshot(快速比對兩個登錄檔的差異)
  • 日誌檢視工具
    fulleventlogview
    寶瓜windows日誌分析工具
  • 啟動項工具
    Autoruns
  • 線上沙箱與威脅IOC情報
    國內:各安全廠商的雲沙箱、威脅情報網站、騰訊哈勃、阿里雲沙箱等(個人常用還是微步);
    國外:連結
  • 病毒、木馬、後門、webshell等查殺
    客戶端:360、卡巴斯基、火絨、河馬、牧雲、D盾、WebShellkiller
    本地應急:360急救箱、安天、深信服等廠商離線掃描器、Dr.Web CureIt、Emsisoft

2.2常用命令

  1. win+r開啟執行框後,Shift+Ctrl+Enter可以以管理員身份執行。
    2.將執行結果儲存到指定檔案並顯示在螢幕上:
    [命令]>>[檔名或完整路徑]|type[檔名或完整路徑]
    示例:
    systeminfo>>C:\log.txt | Type C:\log.txt
  2. cmd清屏:cls

2.2.1系統排查

2.2.1-1系統基本資訊
  • 系統基本資訊:cmd命令systeminfo
  • win+r==>msinfo32
2.2.1-2使用者資訊/賬號

隱藏賬號:

  1. net user test$ 123 /add執行後即可建立一個net user命令查不出來的賬號,但可被‘登錄檔’和‘本地使用者和組’發現
  2. net localgroup user administrators test$ /add即可將其加入管理員組,擁有管理員許可權
  3. 將登錄檔進行匯出(所有欄位,或僅匯出\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users與test$有關鍵值)
  4. 執行net user test$ /del即可刪除隱藏使用者,刪除後在將之前匯出的登錄檔鍵值,匯入回登錄檔,‘本地使用者和組’中也無法看到隱藏使用者資訊了,使用test$登陸,將登錄檔許可權變為其他使用者不可修改,則可徹底隱藏。
  5. 也可直接複製administrator賬戶對應F值的方式,為test$賬號獲取管理員許可權,而不是透過net命令賦予
  • query此為windows伺服器上的命令,可檢視使用者名稱、會話名、狀態、登入時間
query process 顯示有關在遠端桌面會話主機伺服器上執行的程序的資訊。
query session 顯示遠端桌面會話主機伺服器上的會話的相關資訊。
query termserver 顯示網路上所有遠端桌面會話主機伺服器的列表。
query user 顯示有關遠端桌面會話主機伺服器上的使用者會話的資訊。
  • whoami檢視當前使用者
  • net命令
    net user 檢視所有賬號(無法檢視$使用者)
    net user 賬號名 檢視該賬號的資訊
  • wmic命令(windows伺服器上)
    wmic useraccount list full
  • powershell管理員模式下Get-LocalUser
  • 登錄檔檢視(可比對使用者數量看看有無隱藏使用者):
    win+r==>regedit開啟登錄檔
    ==>\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

    若開啟SAM檔案時提示無許可權,右鍵為使用者新增配置讀取許可權

  • 本地使用者和組檢視
    win+r==>lusrmgr.msc(無法找到透過登錄檔方式建立的使用者。詳情)
  • 克隆賬號排查
    系統使用者資訊的查詢wmic useraccount get name,Sid
    若存在兩個SID同樣的使用者說明存在克隆賬號
2.2.1-3啟動項
2.2.1-4計劃任務
2.2.1-5其他資訊

2.2.2程序排查

2.2.2-1工作管理員檢視
2.2.2-2tasklist命令
2.2.2-3netstat命令
2.2.2-4powershell命令
2.2.2-5wmic命令查詢

2.2.3服務排查

  • services.msc

2.2.4檔案痕跡排查

2.2.4-1敏感目錄
2.2.4-1.1各個盤下temp檔案
2.2.4-1.2瀏覽器歷史記錄
2.2.4-1.3使用者recent檔案
2.2.4-1.4預讀取檔案
2.2.4-2時間點檢視
2.2.4-2.1forfiles命令
2.2.4-2.2建立、修改、訪問時間
2.2.4-2.3webshell

2.2.5日誌分析

2.2.6記憶體分析

2.6.7流量分析

相關文章