歡迎光臨
每天分享高質量文章

Windows 應急流程及實戰演練

來自:信安之路(微信號:xazlsec)

本文作者:bypass(信安之路作者團隊成員 & 個人公眾號 bypass)

當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過程,同時給出解決方案與防範措施,為企業輓回或減少經濟損失。  

常見的應急響應事件分類:

web 入侵:網頁掛馬、主頁篡改、Webshell

系統入侵:病毒木馬、勒索軟體、遠控後門

網絡攻擊:DDOS 攻擊、DNS 劫持、ARP 欺騙

針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些 Window 服務器入侵排查的思路。

0x01 入侵排查思路

一、檢查系統賬號安全

1、查看服務器是否有弱口令,遠程管理端口是否對公網開放。

檢查方法:

據實際情況咨詢相關服務器管理員。

2、查看服務器是否存在可疑賬號、新增賬號。

檢查方法:

打開 cmd 視窗,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號,如有管理員群組的(Administrators)里的新增賬戶,如有,請立即禁用或刪除掉。

3、查看服務器是否存在隱藏賬號、克隆賬號。

檢查方法:

a、打開註冊表 ,查看管理員對應鍵值。

b、使用 D 盾 _web 查殺工具,集成了對克隆賬號檢測的功能。

4、結合日誌,查看管理員登錄時間、用戶名是否存在異常。

檢查方法:

a、Win+R 打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。

b、匯出 Windows 日誌–安全,利用 Log Parser 進行分析。

二、檢查異常端口、行程

1、檢查端口連接情況,是否有遠程連接、可疑連接。

檢查方法:

a、netstat -ano 查看目前的網絡連接,定位可疑的 ESTABLISHED

b、根據 netstat 定位出的 pid,再通過 tasklist 命令進行行程定位 tasklist  | findstr “PID”

2、行程

檢查方法:

a、開始–運行–輸入 msinfo32,依次點擊“軟體環境→正在運行任務”就可以查看到行程的詳細信息,比如行程路徑、行程 ID、檔案創建日期、啟動時間等。

b、打開 D 盾 _web 查殺工具,行程查看,關註沒有簽名信息的行程。

c、通過微軟官方提供的 Process Explorer 等工具進行排查 。

d、查看可疑的行程及其子行程。可以通過觀察以下內容:

沒有簽名驗證信息的行程

沒有描述信息的行程

行程的屬主

行程的路徑是否合法

CPU 或記憶體資源占用長時間過高的行程

3、小技巧:

a、查看端口對應的 PID: netstat -ano | findstr “port”

b、查看行程對應的 PID:任務管理器–查看–選擇列–PID 或者 tasklist  | findstr “PID”

c、查看行程對應的程式位置:

任務管理器–選擇對應行程–右鍵打開檔案位置

運行輸入 wmic,cmd界面 輸入  process

d、tasklist /svc   行程– PID –服務

e、查看 Windows 服務所對應的端口:

%system%/system32/drivers/etc/services(一般 %system%就是 C:Windows)

三、檢查啟動項、計劃任務、服務

1、檢查服務器是否有異常的啟動項。

檢查方法:

a、登錄服務器,單擊【開始】>【所有程式】>【啟動】,預設情況下此目錄在是一個空目錄,確認是否有非業務程式在該目錄下。

b、單擊開始選單 >【運行】,輸入 msconfig,查看是否存在命名異常的啟動專案,是則取消勾選命名異常的啟動專案,併到命令中顯示的路徑刪除檔案。

c、單擊【開始】>【運行】,輸入 regedit,打開註冊表,查看開機啟動項是否正常,特別註意如下三個註冊表項:

HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion
un

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

檢查右側是否有啟動異常的專案,如有請刪除,並建議安裝殺毒軟體進行病毒查殺,清除殘留病毒或木馬。

d、利用安全軟體查看啟動項、開機時間管理等。

e、組策略,運行 gpedit.msc。

2、檢查計劃任務

檢查方法:

a、單擊【開始】>【設置】>【控制面板】>【任務計劃】,查看計劃任務屬性,便可以發現木馬檔案的路徑。

b、單擊【開始】>【運行】;輸入 cmd,然後輸入at,檢查計算機與網絡上的其它計算機之間的會話或計劃任務,如有,則確認是否為正常連接。

3、服務自啟動

檢查方法:

單擊【開始】>【運行】,輸入 services.msc,註意服務狀態和啟動型別,檢查是否有異常服務。

四、檢查系統相關信息

1、查看系統版本以及補丁信息

檢查方法:

單擊【開始】>【運行】,輸入 systeminfo,查看系統信息

2、查找可疑目錄及檔案

檢查方法:

a、 查看用戶目錄,新建賬號會在這個目錄生成一個用戶目錄,查看是否有新建用戶目錄。

Window 2003 :

C:Documents and Settings

Window 2008R2 :

C:Users

b、單擊【開始】>【運行】,輸入 %UserProfile%Recent,分析最近打開分析可疑檔案。

c、在服務器各個目錄,可根據檔案夾內檔案串列時間進行排序,查找可疑檔案。

五、自動化查殺

病毒查殺

檢查方法:

下載安全軟體,更新最新病毒庫,進行全盤掃描。

webshell 查殺

檢查方法:

選擇具體站點路徑進行 webshell 查殺,建議使用兩款 webshell 查殺工具同時查殺,可相互補充規則庫的不足。

六、日誌分析

系統日誌

分析方法:

a、前提:開啟審核策略,若日後系統出現故障、安全事故則可以查看系統的日誌檔案,排除故障,追查入侵者的信息等。

b、Win+R 打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。

C、匯出應用程式日誌、安全日誌、系統日誌,利用 Log Parser 進行分析。

WEB 訪問日誌

分析方法:

a、找到中間件的 web 日誌,打包到本地方便進行分析。

b、推薦工具:

Window 下,推薦用 EmEditor 進行日誌分析,支持大文本,搜索效率還不錯。

Linux 下,使用 Shell 命令組合查詢分析

0x02 工具篇

病毒分析 :

PCHunter:

http://www.xuetr.com

火絨劍:

https://www.huorong.cn

Process Explorer:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker:

https://processhacker.sourceforge.io/downloads.php

autoruns:

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL:

https://www.bleepingcomputer.com/download/otl/

病毒查殺:

卡巴斯基(推薦理由:綠色版、最新病毒庫):

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe  

大蜘蛛(推薦理由:掃描快、一次下載只能用1周,更新病毒庫):

http://free.drweb.ru/download+cureit+free

火絨安全軟體:

https://www.huorong.cn

360殺毒:

http://sd.360.cn/download_center.html

病毒動態:

CVERC-國家計算機病毒應急處理中心:

http://www.cverc.org.cn

微步在線威脅情報社區:

https://x.threatbook.cn

火絨安全論壇:

http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區:

http://bbs.duba.net

騰訊電腦管家:

http://bbs.guanjia.qq.com/forum-2-1.html

在線病毒掃描網站:

多引擎在線病毒掃描網 v1.02,當前支持 41 款殺毒引擎:

http://www.virscan.org        

騰訊哈勃分析系統:

https://habo.qq.com          

Jotti 惡意軟體掃描系統:

https://virusscan.jotti.org      

針對計算機病毒、手機病毒、可疑檔案等進行檢測分析:

http://www.scanvir.com        

webshell 查殺:

D盾_Web查殺:

http://www.d99net.net/index.asp

河馬 webshell 查殺:

http://www.shellpub.com

深信服 Webshell 網站後門檢測工具:

http://edr.sangfor.com.cn/backdoor_detection.html

Safe3:

http://www.uusec.com/webshell.zip

0x03 應急響應實戰之 FTP 暴力破解

FTP 是一個檔案傳輸協議,用戶通過 FTP 可從客戶機程式向遠程主機上傳或下載檔案,常用於網站代碼維護、日常原始碼備份等。如果攻擊者通過 FTP 匿名訪問或者弱口令獲取FTP權限,可直接上傳 webshell,進一步滲透提權,直至控制整個網站服務器。

應急場景

從昨天開始,網站響應速度變得緩慢,網站服務器登錄上去非常卡,重啟服務器就能保證一段時間的正常訪問,網站響應狀態時而飛快時而緩慢,多數時間是緩慢的。針對網站服務器異常,系統日誌和網站日誌,是我們排查處理的重點。查看 Window 安全日誌,發現大量的登錄失敗記錄:

日誌分析

安全日誌分析:

安全日誌記錄著事件審計信息,包括用戶驗證(登錄、遠程訪問等)和特定用戶在認證後對系統做了什麼。

打開安全日誌,在右邊點擊篩選當前日誌, 在事件 ID 填入 4625,查詢到事件 ID4625,事件數 177007,從這個資料可以看出,服務器正則遭受暴力破解:

進一步使用 Log Parser 對日誌提取資料分析,發現攻擊者使用了大量的用戶名進行爆破,例如用戶名:fxxx,共計進行了 17826 次口令嘗試,攻擊者基於“fxxx”這樣一個域名信息,構造了一系列的用戶名字典進行有針對性進行爆破,如下圖:

這裡我們留意到登錄型別為 8,來瞭解一下登錄型別8是什麼意思呢?

登錄型別 8:網絡明文(NetworkCleartext)  

這種登錄表明這是一個像型別3一樣的網絡登錄,但是這種登錄的密碼在網絡上是通過明文傳輸的,WindowsServer 服務是不允許通過明文驗證連接到共享檔案夾或印表機的,據我所知只有當從一個使用 Advapi 的 ASP 腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄型別。“登錄過程”欄都將列出 Advapi。  

我們推測可能是 FTP 服務,通過查看端口服務及管理員訪談,確認服務器確實對公網開放了 FTP 服務。

另外,日誌並未記錄暴力破解的 IP 地址,我們可以使用 Wireshark 對捕獲到的流量進行分析,獲取到正在進行爆破的 IP:

通過對近段時間的管理員登錄日誌進行分析,如下:

管理員登錄正常,並未發現異常登錄時間和異常登錄 ip,這裡的登錄型別 10,代表遠程管理桌面登錄。

另外,通過查看 FTP 站點,發現只有一個測試檔案,與站點目錄並不在同一個目錄下麵,進一步驗證了 FTP 暴力破解並未成功。

應急處理措施:

1、關閉外網FTP端口映射          

2、刪除本地服務器FTP測試

處理措施

FTP 暴力破解依然十分普遍,如何保護服務器不受暴力破解攻擊,總結了幾種措施:

1、禁止使用FTP傳輸檔案,若必須開放應限定管理IP地址並加強口令安全審計(口令長度不低於8位,由數字、大小寫字母、特殊字符等至少兩種以上組合構成)。

2、更改服務器 FTP 預設端口。

3、部署入侵檢測設備,增強安全防護。

0x04 應急響應實戰之蠕蟲病毒

蠕蟲病毒是一種十分古老的計算機病毒,它是一種自包含的程式(或是一套程式),通常通過網絡途徑傳播,每入侵到一臺新的計算機,它就在這台計算機上複製自己,並自動執行它自身的程式。

常見的蠕蟲病毒:熊貓燒香病毒 、衝擊波/震蕩波病毒、conficker 病毒等。

應急場景

某天早上,管理員在出口防火牆發現內網服務器不斷向境外IP發起主動連接,內網環境,無法連通外網,無圖腦補。

事件分析

在出口防火牆看到的服務器內網 IP,首先將中病毒的主機從內網斷開,然後登錄該服務器,打開 D 盾_web 查殺查看端口連接情況,可以發現本地向外網 IP 發起大量的主動連接:

通過端口異常,跟蹤行程 ID,可以找到該異常由 svchost.exe windows 服務主行程引起,svchost.exe 向大量遠程 IP 的 445 端口發送請求:

這裡我們推測可以系統行程被病毒感染,使用卡巴斯基病毒查殺工具,對全盤檔案進行查殺,發現 c:windowssystem32qntofmhz.dll 異常:

使用多引擎在線病毒掃描對該檔案進行掃描:

http://www.virscan.org/

確認服務器感染 conficker 蠕蟲病毒,下載 conficker 蠕蟲專殺工具對服務器進行清查,成功清楚病毒。

大致的處理流程如下:

1、發現異常:出口防火牆、本地端口連接情況,主動向外網發起大量連接

2、病毒查殺:卡巴斯基全盤掃描,發現異常檔案

3、確認病毒:使用多引擎在線病毒對該檔案掃描,確認服務器感染 conficker 蠕蟲病毒。

4、病毒處理:使用 conficker 蠕蟲專殺工具對服務器進行清查,成功清除病毒。

預防處理措施

在政府、醫院內網,依然存在著一些很古老的感染性病毒,如何保護電腦不受病毒感染,總結了幾種預防措施:

1、安裝殺毒軟體,定期全盤掃描

2、不使用來歷不明的軟體,不隨意接入未經查殺的 U 盤

3、定期對 windows 系統漏洞進行修複,不給病毒可乘之機

4、做好重要檔案的備份,備份,備份。

0x05 應急響應實戰之勒索病毒

勒索病毒,是一種新型電腦病毒,主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密演算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。自 WannaCry 勒索病毒在全球爆發之後,各種變種及新型勒索病毒層出不窮。

應急場景

某天早上,網站管理員打開 OA 系統,首頁訪問異常,顯示亂碼:

事件分析

登錄網站服務器進行排查,在站點目錄下發現所有的腳本檔案及附件都被加密為 .sage 結尾的檔案,每個檔案夾下都有一個 !HELP_SOS.hta 檔案,打包了部分樣本:

打開 !HELP_SOS.hta 檔案,顯示如下:

到這裡,基本可以確認是服務器中了勒索病毒,上傳樣本到 360 勒索病毒網站進行分析:

http://lesuobingdu.360.cn

確認 web 服務器中了 sage 勒索病毒,目前暫時無法解密。

絕大多數勒索病毒,是無法解密的,一旦被加密,即使支付也不一定能夠獲得解密密鑰。在平時運維中應積極做好備份工作,資料庫與原始碼分離(類似 OA 系統附件資源也很重要,也要備份)。

遇到了,別急,試一試勒索病毒解密工具:

“拒絕勒索軟體”網站:

https://www.nomoreransom.org/zh/index.html

360 安全衛士勒索病毒專題:

http://lesuobingdu.360.cn

防範措施

一旦中了勒索病毒,檔案會被鎖死,沒有辦法正常訪問了,這時候,會給你帶來極大的困惱。為了防範這樣的事情出現,我們電腦上要先做好一些措施:

1、安裝殺毒軟體,保持監控開啟,定期全盤掃描

2、及時更新 Windows 安全補丁,開啟防火牆臨時關閉端口,如 445、135、137、138、139、3389 等端口

3、及時更新 web 漏洞補丁,升級 web 組件

4、備份。重要的資料一定要備份,謹防資料丟失

5、強化網絡安全意識,陌生鏈接不點擊,陌生檔案不要下載,陌生郵件不要打開

0x06 應急響應實戰之挖礦病毒

隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦,具體現象為電腦 CPU 占用率高,C 盤可使用空間驟降,電腦溫度升高,風扇噪聲增大等問題。

應急場景

某天上午重啟服務器的時候,發現程式啟動很慢,打開任務管理器,發現 cpu 被占用接近 100%,服務器資源占用嚴重。

事件分析

登錄網站服務器進行排查,發現多個異常行程:

分析行程引數:

wmic process get caption,commandline /value >> tmp.txt

TIPS:

在 windows 下查看某個運行程式(或行程)的命令列引數

使用下麵的命令:

wmic process get caption,commandline /value

如果想查詢某一個行程的命令列引數,使用下列方式:

wmic process where caption=”svchost.exe” get caption,commandline /value

這樣就可以得到行程的可執行檔案位置等信息。

訪問該鏈接:

Temp 目錄下發現 Carbon、run.bat 挖礦程式:

具體技術分析細節詳見 《利用WebLogic漏洞挖礦事件分析》:

https://www.anquanke.com/post/id/92223

清除挖礦病毒:關閉異常行程、刪除c盤temp目錄下挖礦程式 。

臨時防護方案

1、根據實際環境路徑,刪除 WebLogic 程式下列 war 包及目錄

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

2、重啟 WebLogic 或系統後,確認以下鏈接訪問是否為 404

http://x.x.x.x:7001/wls-wsat

防範措施

新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高級攻擊技術,以增加對標的服務器感染的成功率。通過利用永恆之藍(EternalBlue)、web 攻擊多種漏洞,如 Tomcat 弱口令攻擊、Weblogic WLS 組件漏洞、Jboss 反序列化漏洞,Struts2 遠程命令執行等,導致大量服務器被感染挖礦程式的現象 。總結了幾種預防措施:

1、安裝安全軟體並升級病毒庫,定期全盤掃描,保持實時防護

2、及時更新 Windows 安全補丁,開啟防火牆臨時關閉端口

3、及時更新 web 漏洞補丁,升級 web 組件

參考鏈接:

https://cloud.tencent.com/document/product/296/9605

https://www.cnblogs.com/shellr00t/p/6943796.html

https://www.exehack.net/5106.html


●編號718,輸入編號直達本文

●輸入m獲取文章目錄

推薦↓↓↓

 

Linux學習

更多推薦18個技術類微信公眾號

涵蓋:程式人生、演算法與資料結構、黑客技術與網絡安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

赞(0)

分享創造快樂