來自:信安之路(微信號:xazlsec)
本文作者:bypass(信安之路作者團隊成員 & 個人公眾號 bypass)
當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過程,同時給出解決方案與防範措施,為企業輓回或減少經濟損失。
常見的應急響應事件分類:
web 入侵:網頁掛馬、主頁篡改、Webshell
系統入侵:病毒木馬、勒索軟體、遠控後門
網絡攻擊:DDOS 攻擊、DNS 劫持、ARP 欺騙
針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些 Window 服務器入侵排查的思路。
0x01 入侵排查思路
一、檢查系統賬號安全
1、查看服務器是否有弱口令,遠程管理端口是否對公網開放。
檢查方法:
據實際情況咨詢相關服務器管理員。
2、查看服務器是否存在可疑賬號、新增賬號。
檢查方法:
打開 cmd 視窗,輸入lusrmgr.msc
命令,查看是否有新增/可疑的賬號,如有管理員群組的(Administrators)里的新增賬戶,如有,請立即禁用或刪除掉。
3、查看服務器是否存在隱藏賬號、克隆賬號。
檢查方法:
a、打開註冊表 ,查看管理員對應鍵值。
b、使用 D 盾 _web 查殺工具,集成了對克隆賬號檢測的功能。
4、結合日誌,查看管理員登錄時間、用戶名是否存在異常。
檢查方法:
a、Win+R 打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。
b、匯出 Windows 日誌–安全,利用 Log Parser 進行分析。
二、檢查異常端口、行程
1、檢查端口連接情況,是否有遠程連接、可疑連接。
檢查方法:
a、netstat -ano 查看目前的網絡連接,定位可疑的 ESTABLISHED
b、根據 netstat 定位出的 pid,再通過 tasklist 命令進行行程定位 tasklist | findstr “PID”
2、行程
檢查方法:
a、開始–運行–輸入 msinfo32
,依次點擊“軟體環境→正在運行任務”就可以查看到行程的詳細信息,比如行程路徑、行程 ID、檔案創建日期、啟動時間等。
b、打開 D 盾 _web 查殺工具,行程查看,關註沒有簽名信息的行程。
c、通過微軟官方提供的 Process Explorer 等工具進行排查 。
d、查看可疑的行程及其子行程。可以通過觀察以下內容:
沒有簽名驗證信息的行程
沒有描述信息的行程
行程的屬主
行程的路徑是否合法
CPU 或記憶體資源占用長時間過高的行程
3、小技巧:
a、查看端口對應的 PID: netstat -ano | findstr “port”
b、查看行程對應的 PID:任務管理器–查看–選擇列–PID 或者 tasklist | findstr “PID”
c、查看行程對應的程式位置:
任務管理器–選擇對應行程–右鍵打開檔案位置
運行輸入 wmic,cmd界面 輸入 process
d、tasklist /svc
行程– PID –服務
e、查看 Windows 服務所對應的端口:
%system%/system32/drivers/etc/services
(一般%system%
就是 C:Windows)
三、檢查啟動項、計劃任務、服務
1、檢查服務器是否有異常的啟動項。
檢查方法:
a、登錄服務器,單擊【開始】>【所有程式】>【啟動】,預設情況下此目錄在是一個空目錄,確認是否有非業務程式在該目錄下。
b、單擊開始選單 >【運行】,輸入 msconfig,查看是否存在命名異常的啟動專案,是則取消勾選命名異常的啟動專案,併到命令中顯示的路徑刪除檔案。
c、單擊【開始】>【運行】,輸入 regedit,打開註冊表,查看開機啟動項是否正常,特別註意如下三個註冊表項:
HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion
unHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
檢查右側是否有啟動異常的專案,如有請刪除,並建議安裝殺毒軟體進行病毒查殺,清除殘留病毒或木馬。
d、利用安全軟體查看啟動項、開機時間管理等。
e、組策略,運行 gpedit.msc。
2、檢查計劃任務
檢查方法:
a、單擊【開始】>【設置】>【控制面板】>【任務計劃】,查看計劃任務屬性,便可以發現木馬檔案的路徑。
b、單擊【開始】>【運行】;輸入 cmd,然後輸入at,檢查計算機與網絡上的其它計算機之間的會話或計劃任務,如有,則確認是否為正常連接。
3、服務自啟動
檢查方法:
單擊【開始】>【運行】,輸入 services.msc,註意服務狀態和啟動型別,檢查是否有異常服務。
四、檢查系統相關信息
1、查看系統版本以及補丁信息
檢查方法:
單擊【開始】>【運行】,輸入 systeminfo,查看系統信息
2、查找可疑目錄及檔案
檢查方法:
a、 查看用戶目錄,新建賬號會在這個目錄生成一個用戶目錄,查看是否有新建用戶目錄。
Window 2003 :
C:Documents and Settings
Window 2008R2 :
C:Users
b、單擊【開始】>【運行】,輸入 %UserProfile%Recent
,分析最近打開分析可疑檔案。
c、在服務器各個目錄,可根據檔案夾內檔案串列時間進行排序,查找可疑檔案。
五、自動化查殺
病毒查殺
檢查方法:
下載安全軟體,更新最新病毒庫,進行全盤掃描。
webshell 查殺
檢查方法:
選擇具體站點路徑進行 webshell 查殺,建議使用兩款 webshell 查殺工具同時查殺,可相互補充規則庫的不足。
六、日誌分析
系統日誌
分析方法:
a、前提:開啟審核策略,若日後系統出現故障、安全事故則可以查看系統的日誌檔案,排除故障,追查入侵者的信息等。
b、Win+R 打開運行,輸入“eventvwr.msc”
,回車運行,打開“事件查看器”。
C、匯出應用程式日誌、安全日誌、系統日誌,利用 Log Parser 進行分析。
WEB 訪問日誌
分析方法:
a、找到中間件的 web 日誌,打包到本地方便進行分析。
b、推薦工具:
Window 下,推薦用 EmEditor 進行日誌分析,支持大文本,搜索效率還不錯。
Linux 下,使用 Shell 命令組合查詢分析
0x02 工具篇
病毒分析 :
PCHunter:
http://www.xuetr.com
火絨劍:
https://www.huorong.cn
Process Explorer:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:
https://processhacker.sourceforge.io/downloads.php
autoruns:
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:
https://www.bleepingcomputer.com/download/otl/
病毒查殺:
卡巴斯基(推薦理由:綠色版、最新病毒庫):
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛(推薦理由:掃描快、一次下載只能用1周,更新病毒庫):
http://free.drweb.ru/download+cureit+free
火絨安全軟體:
https://www.huorong.cn
360殺毒:
http://sd.360.cn/download_center.html
病毒動態:
CVERC-國家計算機病毒應急處理中心:
http://www.cverc.org.cn
微步在線威脅情報社區:
https://x.threatbook.cn
火絨安全論壇:
http://bbs.huorong.cn/forum-59-1.html
愛毒霸社區:
http://bbs.duba.net
騰訊電腦管家:
http://bbs.guanjia.qq.com/forum-2-1.html
在線病毒掃描網站:
多引擎在線病毒掃描網 v1.02,當前支持 41 款殺毒引擎:
http://www.virscan.org
騰訊哈勃分析系統:
https://habo.qq.com
Jotti 惡意軟體掃描系統:
https://virusscan.jotti.org
針對計算機病毒、手機病毒、可疑檔案等進行檢測分析:
http://www.scanvir.com
webshell 查殺:
D盾_Web查殺:
http://www.d99net.net/index.asp
河馬 webshell 查殺:
http://www.shellpub.com
深信服 Webshell 網站後門檢測工具:
http://edr.sangfor.com.cn/backdoor_detection.html
Safe3:
http://www.uusec.com/webshell.zip
0x03 應急響應實戰之 FTP 暴力破解
FTP 是一個檔案傳輸協議,用戶通過 FTP 可從客戶機程式向遠程主機上傳或下載檔案,常用於網站代碼維護、日常原始碼備份等。如果攻擊者通過 FTP 匿名訪問或者弱口令獲取FTP權限,可直接上傳 webshell,進一步滲透提權,直至控制整個網站服務器。
應急場景
從昨天開始,網站響應速度變得緩慢,網站服務器登錄上去非常卡,重啟服務器就能保證一段時間的正常訪問,網站響應狀態時而飛快時而緩慢,多數時間是緩慢的。針對網站服務器異常,系統日誌和網站日誌,是我們排查處理的重點。查看 Window 安全日誌,發現大量的登錄失敗記錄:
日誌分析
安全日誌分析:
安全日誌記錄著事件審計信息,包括用戶驗證(登錄、遠程訪問等)和特定用戶在認證後對系統做了什麼。
打開安全日誌,在右邊點擊篩選當前日誌, 在事件 ID 填入 4625,查詢到事件 ID4625,事件數 177007,從這個資料可以看出,服務器正則遭受暴力破解:
進一步使用 Log Parser 對日誌提取資料分析,發現攻擊者使用了大量的用戶名進行爆破,例如用戶名:fxxx,共計進行了 17826 次口令嘗試,攻擊者基於“fxxx”這樣一個域名信息,構造了一系列的用戶名字典進行有針對性進行爆破,如下圖:
這裡我們留意到登錄型別為 8,來瞭解一下登錄型別8是什麼意思呢?
登錄型別 8:網絡明文(NetworkCleartext)
這種登錄表明這是一個像型別3一樣的網絡登錄,但是這種登錄的密碼在網絡上是通過明文傳輸的,WindowsServer 服務是不允許通過明文驗證連接到共享檔案夾或印表機的,據我所知只有當從一個使用 Advapi 的 ASP 腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄型別。“登錄過程”欄都將列出 Advapi。
我們推測可能是 FTP 服務,通過查看端口服務及管理員訪談,確認服務器確實對公網開放了 FTP 服務。
另外,日誌並未記錄暴力破解的 IP 地址,我們可以使用 Wireshark 對捕獲到的流量進行分析,獲取到正在進行爆破的 IP:
通過對近段時間的管理員登錄日誌進行分析,如下:
管理員登錄正常,並未發現異常登錄時間和異常登錄 ip,這裡的登錄型別 10,代表遠程管理桌面登錄。
另外,通過查看 FTP 站點,發現只有一個測試檔案,與站點目錄並不在同一個目錄下麵,進一步驗證了 FTP 暴力破解並未成功。
應急處理措施:
1、關閉外網FTP端口映射
2、刪除本地服務器FTP測試
處理措施
FTP 暴力破解依然十分普遍,如何保護服務器不受暴力破解攻擊,總結了幾種措施:
1、禁止使用FTP傳輸檔案,若必須開放應限定管理IP地址並加強口令安全審計(口令長度不低於8位,由數字、大小寫字母、特殊字符等至少兩種以上組合構成)。
2、更改服務器 FTP 預設端口。
3、部署入侵檢測設備,增強安全防護。
0x04 應急響應實戰之蠕蟲病毒
蠕蟲病毒是一種十分古老的計算機病毒,它是一種自包含的程式(或是一套程式),通常通過網絡途徑傳播,每入侵到一臺新的計算機,它就在這台計算機上複製自己,並自動執行它自身的程式。
常見的蠕蟲病毒:熊貓燒香病毒 、衝擊波/震蕩波病毒、conficker 病毒等。
應急場景
某天早上,管理員在出口防火牆發現內網服務器不斷向境外IP發起主動連接,內網環境,無法連通外網,無圖腦補。
事件分析
在出口防火牆看到的服務器內網 IP,首先將中病毒的主機從內網斷開,然後登錄該服務器,打開 D 盾_web 查殺查看端口連接情況,可以發現本地向外網 IP 發起大量的主動連接:
通過端口異常,跟蹤行程 ID,可以找到該異常由 svchost.exe windows 服務主行程引起,svchost.exe 向大量遠程 IP 的 445 端口發送請求:
這裡我們推測可以系統行程被病毒感染,使用卡巴斯基病毒查殺工具,對全盤檔案進行查殺,發現 c:windowssystem32qntofmhz.dll
異常:
使用多引擎在線病毒掃描對該檔案進行掃描:
http://www.virscan.org/
確認服務器感染 conficker 蠕蟲病毒,下載 conficker 蠕蟲專殺工具對服務器進行清查,成功清楚病毒。
大致的處理流程如下:
1、發現異常:出口防火牆、本地端口連接情況,主動向外網發起大量連接
2、病毒查殺:卡巴斯基全盤掃描,發現異常檔案
3、確認病毒:使用多引擎在線病毒對該檔案掃描,確認服務器感染 conficker 蠕蟲病毒。
4、病毒處理:使用 conficker 蠕蟲專殺工具對服務器進行清查,成功清除病毒。
預防處理措施
在政府、醫院內網,依然存在著一些很古老的感染性病毒,如何保護電腦不受病毒感染,總結了幾種預防措施:
1、安裝殺毒軟體,定期全盤掃描
2、不使用來歷不明的軟體,不隨意接入未經查殺的 U 盤
3、定期對 windows 系統漏洞進行修複,不給病毒可乘之機
4、做好重要檔案的備份,備份,備份。
0x05 應急響應實戰之勒索病毒
勒索病毒,是一種新型電腦病毒,主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密演算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。自 WannaCry 勒索病毒在全球爆發之後,各種變種及新型勒索病毒層出不窮。
應急場景
某天早上,網站管理員打開 OA 系統,首頁訪問異常,顯示亂碼:
事件分析
登錄網站服務器進行排查,在站點目錄下發現所有的腳本檔案及附件都被加密為 .sage 結尾的檔案,每個檔案夾下都有一個 !HELP_SOS.hta
檔案,打包了部分樣本:
打開 !HELP_SOS.hta
檔案,顯示如下:
到這裡,基本可以確認是服務器中了勒索病毒,上傳樣本到 360 勒索病毒網站進行分析:
http://lesuobingdu.360.cn
確認 web 服務器中了 sage 勒索病毒,目前暫時無法解密。
絕大多數勒索病毒,是無法解密的,一旦被加密,即使支付也不一定能夠獲得解密密鑰。在平時運維中應積極做好備份工作,資料庫與原始碼分離(類似 OA 系統附件資源也很重要,也要備份)。
遇到了,別急,試一試勒索病毒解密工具:
“拒絕勒索軟體”網站:
https://www.nomoreransom.org/zh/index.html
360 安全衛士勒索病毒專題:
http://lesuobingdu.360.cn
防範措施
一旦中了勒索病毒,檔案會被鎖死,沒有辦法正常訪問了,這時候,會給你帶來極大的困惱。為了防範這樣的事情出現,我們電腦上要先做好一些措施:
1、安裝殺毒軟體,保持監控開啟,定期全盤掃描
2、及時更新 Windows 安全補丁,開啟防火牆臨時關閉端口,如 445、135、137、138、139、3389 等端口
3、及時更新 web 漏洞補丁,升級 web 組件
4、備份。重要的資料一定要備份,謹防資料丟失
5、強化網絡安全意識,陌生鏈接不點擊,陌生檔案不要下載,陌生郵件不要打開
0x06 應急響應實戰之挖礦病毒
隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦,具體現象為電腦 CPU 占用率高,C 盤可使用空間驟降,電腦溫度升高,風扇噪聲增大等問題。
應急場景
某天上午重啟服務器的時候,發現程式啟動很慢,打開任務管理器,發現 cpu 被占用接近 100%,服務器資源占用嚴重。
事件分析
登錄網站服務器進行排查,發現多個異常行程:
分析行程引數:
wmic process get caption,commandline /value >> tmp.txt
TIPS:
在 windows 下查看某個運行程式(或行程)的命令列引數
使用下麵的命令:
wmic process get caption,commandline /value
如果想查詢某一個行程的命令列引數,使用下列方式:
wmic process where caption=”svchost.exe” get caption,commandline /value
這樣就可以得到行程的可執行檔案位置等信息。
訪問該鏈接:
Temp 目錄下發現 Carbon、run.bat 挖礦程式:
具體技術分析細節詳見 《利用WebLogic漏洞挖礦事件分析》:
https://www.anquanke.com/post/id/92223
清除挖礦病毒:關閉異常行程、刪除c盤temp目錄下挖礦程式 。
臨時防護方案
1、根據實際環境路徑,刪除 WebLogic 程式下列 war 包及目錄
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2、重啟 WebLogic 或系統後,確認以下鏈接訪問是否為 404
http://x.x.x.x:7001/wls-wsat
防範措施
新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高級攻擊技術,以增加對標的服務器感染的成功率。通過利用永恆之藍(EternalBlue)、web 攻擊多種漏洞,如 Tomcat 弱口令攻擊、Weblogic WLS 組件漏洞、Jboss 反序列化漏洞,Struts2 遠程命令執行等,導致大量服務器被感染挖礦程式的現象 。總結了幾種預防措施:
1、安裝安全軟體並升級病毒庫,定期全盤掃描,保持實時防護
2、及時更新 Windows 安全補丁,開啟防火牆臨時關閉端口
參考鏈接:
https://cloud.tencent.com/document/product/296/9605
https://www.cnblogs.com/shellr00t/p/6943796.html
https://www.exehack.net/5106.html
●編號718,輸入編號直達本文
●輸入m獲取文章目錄
Linux學習
更多推薦《18個技術類微信公眾號》
涵蓋:程式人生、演算法與資料結構、黑客技術與網絡安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。