紧急反应的基本思维过程
- 资料收集:收集客户资料及毒性主机资料,包括样品
- 判断类型:判断是否存在安全事件,什么类型的安全事件,盗窃,采矿,窃听,多斯等。
- 限制范围:隔离防止受影响地区继续扩散(保持良好的隔离)
- 深入分析: 日志分析 、 过程分析 、 开始项目分析 、 抽样分析
- 清理和清理: 删除程序, 删除文件, 补丁, 删除异常系统服务, 清除后门帐户以防止事件扩展, 并恢复生产后处理
- 输出报告:组织和输出完整的安全事故报告
Windows入侵检测思维
企业遭受黑客攻击、系统崩溃或其他影响正常业务的安全事件时,迫切需要尽早处理,尽快恢复企业网络信息系统正常工作,进一步 调查 入侵 的 来源,还原入侵事故过程,同时提供解决方案和预防措施,恢复或减少企业经济损失。
一般紧急反应事件分类:
网络入侵:网络安装,网页操作,网络壳
系统入侵:病毒,特洛伊,远程控制后门
网络攻击:DDOS攻击,DNS黑客,ARP欺诈
入侵排查思路
检查系统账号安全
1.检查服务器是否有弱端口,以及远程管理端口是否开放到公共网络。
- 检查方法: 根据实际情况,咨询相关服务器管理员。
2.检查服务器是否有疑虑帐户,并添加帐户。
- 检查方法:打开cmd窗口并输入
lusrmgr.msc要查看是否有新的/怀疑帐户,如果管理员组有新的帐户,如果有,请立即关闭或删除。
3.检查服务器是否有隐藏帐户或克隆帐户。
检查方法:
a.打开注册表并查看管理员的相应的关键值。
使用D Shield_web检测工具,集成了克隆帐户检测的功能。
将日志合并以查看管理员登录时间和用户名是否异常.检查方法:
a,Win+R打开运行,输入“eventvwr.msc”,回到车上,打开事件查看器。
b.出口Windows日志-安全,使用微软的官方日志分析工具进行分析。
检查异常端口进程
1.检查端口连接状态,是否存在远程连接或怀疑的连接。
检查方法:
a、使用
netstat -ano查看当前网络连接并定位怀疑的ESTABLISHEDb,按netstat命令定位的PID代码,然后由任务列表命令定位的过程
tasklist | findstr "PID"
2、进程
检查方法:
启动-运行-输入
msinfo32在命令中,单击“软件环境-运行任务”查看进程的详细信息,如进程路径、进程ID、文件创建日期和启动时间等。b.打开D Shield_web检测工具,查看没有签名信息的进程。
c.通过微软的官方进程浏览器等工具搜索。
d.观察可疑过程及其子过程。
未经签名验证的程序
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用过长进程
3、小技巧:
a.查看相应的端口PID:netstat -ano | findstr "port"
b,查看进程的相应的PID: Task Manager - View - Select column - PID 或tasklist | findstr "PID"
c.查看过程的相应程序位置:
任务管理员 – 选择相应的过程 – 右击打开文件位置
运行输入wmic,cmd 界面输入process
d、tasklist /svc程序 – PID – 服务
e.查看相应的Windows服务端口:
%systemroot%/system32/drivers/etc/services(一般来说%systemroot%是C:Windows路径)
1.检查启动项目、计划任务和服务
1.检查服务器有一个异常启动项目。
检查方法:
a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
b、单击开始菜单 >【运行】,输入msconfig,查看是否存在一个指定例外的启动项目,然后取消指定例外的启动项目并删除文件到命令中显示的路径。
c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:在右边检查启动中是否有异常,如果没有,删除它们,并建议安装防病毒软件以扫描病毒和清除病毒或蠕虫的残余。
使用安全软件查看启动项目、启动时间管理等。
e、组策略,运行
gpedit.msc
2、检查计划任务
检查方法:
a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。
b、单击【开始】>【运行】;输入
cmd,然后输入at检查网络上的计算机与其他计算机之间的连接,或如果有任何任务,确定连接正常。
3、服务自启动
- 检查方法:单击【开始】>【运行】,输入
services.msc注意服务状态和启动类型,以检查是否有异常服务。
1.4检查系统相关信息
1.查看系统版本和补丁信息
- 检查方法:单击【开始】>【运行】,输入
systeminfo,查看系统信息。
寻找可疑目录和文件
检查方法:
a,查看用户目录,新帐户将生成在这个目录中的用户目录,以查看是否有新的用户目录。
b、单击【开始】>【运行】,输入
%UserProfile%Recent分析最近打开了对可疑文件的分析。c.在服务器的每个目录中,您可以按照文件列表的时间顺序搜索文件,以寻找怀疑的文件。
d,回收站,浏览器下载目录,浏览器历史记录
e.修改时间是创建时间前一个可疑的文件
3.找到和获取WebShell,远程控制的木头鹰创建时间,如何在同一时间范围内创建的文件?
a.使用注册工作室注册编辑器的搜索功能,您可以找到最后在时间区上写的文件。
b.使用计算机自驱动文件搜索功能指定搜索修改时间。
1.5 自动化查杀
病毒查杀
- 如何检查:下载安全软件,更新最新的病毒库,并进行全盘扫描。
Webshell kills
- 检查方法:选择具体站点路径进行Webshell kills,建议使用两款 WebShell 查杀工具同时查杀,可相互补充规则库的不足。
1.6 日志分析
系统日志
分析方法:
如系统故障或未来发生安全事故,您可以查看系统日志文件,消除故障,跟踪入侵者的信息等。
打开运行,输入“eventvwr.msc”,运行车后,打开“Event Viewer”。
导入应用日志 、 安全日志 、 系统日志, 并使用日志分析器进行分析.
Web 访问日志
分析方法:
找到中间人的网络日志,并将其本地包装进行分析。
b,推荐工具:在Windows上,推荐使用EmEditor进行日志分析,支持大文本,搜索效率良好。
0x02 工具篇
2.1 病毒分析
PCHunter:http://www.xuetr.com
火焰剑: https://ww.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
2.2 病毒查杀
Kabarski: http://devbuilds.Kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT (建议:绿色版本,最新的病毒库)
Big Spider: http://free.Drweb.ru/download+cureit+free (建议:快速扫描,一次下载仅需1周,更新病毒库)
手套安全软件: https://ww.huorong.cn
360杀毒药: http://sd.360.cn/download_center.html
2.3 病毒动态
国家电脑病毒紧急反应中心: http://ww.cverc.org.cn
Microstep Online Threat Intelligence Community: https://x.threatbook.cn
燃油安全论坛: http://bbs.huorong.Cn/forum-59-1.html
药物滥用社区: http://bbs.Duba.net
电脑管理员: http://bbs.guanjia.qq.com/forum-2-1.html
2.4网上病毒扫描网站
Virustotal:https://www.virustotal.com
Virscan:http://www.virscan.org
Tencent Hub分析系统: https://habo.qq.com
Jotti恶意软件扫描系统: https://virusscan.Jotti.org
2.5 Webshell kills
D Shield_Web搜索: http://ww.d99net.net/index.asp
WebShell: http://ww.webshell.comShellpub.com