windows入侵排查篇
参考 Tide团队
https://github.com/TideSec
前言
一、思路
1.1 检查系统账号安全
1.1.1 服务器弱口令,远程端口是否对外网开放
- 问管理员
1.1.2 可疑账号,新增账号
- lusrmgr.msc
重点看组里 administrators组的账号 有可疑的立即删除
在这里插入图片描述
1.1.3 看是否存在隐藏账号、克隆账号。
- 检查方法
a. 打开注册表regedit 查看管理员的键值
b. 使用D盾_web查杀工具,有对克隆账号的检测功能。
1.1.4 结合日志,查看管理员登录时间、用户名是否存在异常
- 检查方法
a. win+r 输入eventvwr.msc 打开事件查看器
b. 导出windwos日志-安全 利用微软工具
Log Parser 进行分析。
事件ID
4778,4779 远程桌面 重连或者断开 有远程登录的 ip和 客户端名
4624 登录成功 有远程登录的 ip和 客户端名
4625 登录失败 服务器是否在受到暴力破解
4634 – 注销成功
4647 – 用户启动的注销
4672 – 使用超级用户(如管理员)进行登录
4625 登录失败的
1.2 端口、进程
1.2.1 检查端口连接情况,是否有远程连接、可疑连接。
- netstat -ano 定位可疑的established
- 定位出pid 再用 tasklist | findstr “pid” 定位进程
1.2.2 进程
- D盾_web查杀工具
点击工具 进程查看 重点关注 没有公司等签名信息的进程
- Process Explorer 微软 进程查看工具 同理
重点看
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU 或内存资源占用长时间过高的进程
查看Windows服务所对应的端口:
%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)
1.3启动项,计划任务和服务
1.3.1异常启动项
杀软 检查 清除
- msconfig查看启动项
- 注册表 regedit
特别注意 下边三个
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
- 组策略 gpedit.msc 查看开机启动脚本
1.3.2 计划任务
控制面板 -》 计划任务
1.3.3 服务自启动
services.msc 注意服务状态和启动类型,检查是否有异常服务。
1.4 可疑文件
1.4.1用户目录
Window 2003版本 C:\Documents and Settings
Window 2008R2及以后版本 C:\Users\
1.4.2 最近访问文件
%UserProfile%\Recent
我的电脑 最近访问
1.4.3服务器各目录根据时间 查找
1.4.4回收站,浏览器历史记录,下载记录
ctrl h ctrl j
1.4.5修改时间在创建时间前的文件
右键查看文件属性对比
1.5自动化查杀
- 病毒查杀 杀毒软件 病毒库最新 查杀
- webshell查杀
D盾 河马
1.6日志分析
1.6.1 系统日志
前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
eventvwr.msc
看 应用程序日志、安全日志、系统日志
1.6.2 web访问日志
- 找到中间件的日志 打包到本地分析
二、工具
1.病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
2.病毒查杀
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)
大蜘蛛:http://free.drweb.ru/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)
火绒安全软件:https://www.huorong.cn
360杀毒:http://sd.360.cn/download_center.html
3.病毒动态
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区:http://bbs.duba.net
腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
4.在线病毒扫描网站
Virustotal:https://www.virustotal.com
Virscan:http://www.virscan.org
腾讯哈勃分析系统:https://habo.qq.com
Jotti 恶意软件扫描系统:https://virusscan.jotti.org
5. webshell查杀
D盾_Web查杀:http://www.d99net.net/index.asp
河马 WebShell 查杀:http://www.shellpub.com