入侵排除
一、检查系统账号安全
(一)排查服务器弱口令
尝试使用弱口令登录爆破或直接咨询管理员
(二)排查可疑账号、新增账号
1、打开cmd窗口,输入 lusrmgr.msc
2、查看是否存在可疑账号,特别是管理员群组(Administrators)中的新增账号,如果存在需要立即删除或禁用
(三)排查隐藏账号
打开注册表,查看管理员对应键值
1、在桌面打开运行(可使用快捷键 win+R),输入 regedit,打开注册表编辑器
2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口
3、选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定并关闭注册表编辑器
4、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
5、在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户
(四)结合日志排查用户是否出现异常
1、在桌面打开运行(可使用快捷键 win+R),输入 eventvwr.msc 命令
2、打开时间查看器,分析用户登录日志
二、检查异常端口、进程
(一)排查可疑端口
1、使用netstat命令查看当前网络连接,定位可疑的ESTABLISHED连接
netstat -ano
2、根据PID编号通过tasklist对进程进行定位
tasklist | findstr "PID"
(二)排查可疑进程
1、在桌面打开运行(可使用快捷键 win+R),输入 msinfo32 命令
2、依次点击 “软件环境 – 正在运行任务” 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等
三、检查启动项、计划任务和服务
启动项、计划任务、服务是攻击者维持权限的惯用手段。在入侵windows计算机后,攻击者可以通过修改注册表、替换粘滞键程序在系统启动时就获得权限,也能够在管理员权限下设置计划任务,因为计划任务后门分为管理员权限和普通用户权限两种。管理员权限可以设置更多的计划任务,例如重启后运行等。也可以通过meterpreter创建后门服务。
(一)排查异常启动项
单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
(二)排查计划任务
1、在桌面打开运行(可使用快捷键 win+R),输入 control 打开控制面板
2、在 系统与安全 中查看计划任务属性,便可以发现木马文件的路径。
(三)排查服务自启动
1、在桌面打开运行(可使用快捷键 win+R),输入 services.msc
2、注意服务状态和启动类型,检查是否有异常服务
四、检查系统相关信息
系统本身如果存在漏洞,那么结果往往是致命的,如果计算机存在永恒之蓝漏洞且未采取防护措施。那么攻击者就能直接通过MSF的漏洞利用程序获取目标windows系统的system权限。与此同时,攻击者在进入系统后往往也会留一些蛛丝马迹,如未将上传文件清除、浏览器浏览记录未删除、下载的文件未删除等。在检查系统相关信息时就需要重点关注系统本身存在的漏洞以及攻击者使用过的文件。
(一)查看系统版本以及补丁信息
1、在桌面打开运行(可使用快捷键 win+R)输入 systeminfo
2、查看系统信息和补丁状态
3、将内容导入文本,利用 windows-exploit-suggester 对系统补丁进行漏洞利用分析
(二)查看可疑目录及文件
查看用户目录,是否存在新建用户目录
五、日志分析
主要查看系统日志和web日志,通过日志可以帮助我们验证对入侵过程的判断和发现其他入侵行为。但它的前提则是日志记录已开启的情况下才能获取。这块具体会在之后的日志分析篇提到
(一)系统日志
1、在桌面打开运行(可使用快捷键 win+R),输入 eventvwr.msc
2、找到事件查看器,查看windows日志(包括应用程序、安全、Setup、系统、事件)
(二)web日志
1、找到中间件、应用、WAF的日志(包括但不限于IIS、Nginx、宝塔、网站等)
2、打包至本地进行分析,在编辑器中对关键字进行搜索
权限维持
1、 注册表自启动
通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。
2、 组策略设置脚本启动
运行gpedit.msc进入本地组策略,通过Windows设置的“脚本(启动/关机)”项来说实现。因为其极具隐蔽性,因此常常被攻击者利用来做服务器后门。
3、 计划任务
通过window系统的任务计划程序功能实现定时启动某个任务,执行某个脚本。
4、 服务自启动
通过服务设置自启动,结合powershell实现无文件后门。
5、 WMI后门
在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的WMI。这里可以利用一个工具powersploit,下面用它的Persistence模块来示范一个简单的例子
Import-Module .\Persistence\Persistence.psm1 $ElevatedOptions =
New-ElevatedPersistenceOption -PermanentWMI -Daily -At ‘3 PM’
$UserOptions = New-UserPersistenceOption -Registry -AtLogon
Add-Persistence -FilePath .\EvilPayload.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -Verbose
6、 dll劫持
如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去指定的目录下查找这个DLL;如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。
7、 COM劫持
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。这种方法可以绕过Autoruns对启动项的检测。
8、 远程控制
远控木马是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。远程访问木马通常与用户请求的程序(如游戏程序)一起,是一种看不见的下载,或作为电子邮件附件发送。一旦主机系统被攻破,入侵者可以利用它来向其他易受感染的计算机分发远程访问木马,从而建立僵尸网络