Windows 應急流程及實戰演練

來自：信安之路（微信號：xazlsec）

本文作者：bypass（信安之路作者團隊成員 & 個人公眾號 bypass）

當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時，急需第一時間進行處理，使企業的網絡信息系統在最短時間內恢復正常工作，進一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防範措施，為企業輓回或減少經濟損失。  

常見的應急響應事件分類：

web 入侵：網頁掛馬、主頁篡改、Webshell

系統入侵：病毒木馬、勒索軟體、遠控後門

網絡攻擊：DDOS 攻擊、DNS 劫持、ARP 欺騙

針對常見的攻擊事件，結合工作中應急響應事件分析和解決的方法，總結了一些 Window 服務器入侵排查的思路。

0x01 入侵排查思路

一、檢查系統賬號安全

1、查看服務器是否有弱口令，遠程管理端口是否對公網開放。

檢查方法：

據實際情況咨詢相關服務器管理員。

2、查看服務器是否存在可疑賬號、新增賬號。

檢查方法：

打開 cmd 視窗，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，請立即禁用或刪除掉。

3、查看服務器是否存在隱藏賬號、克隆賬號。

檢查方法：

a、打開註冊表 ，查看管理員對應鍵值。

b、使用 D 盾 _web 查殺工具，集成了對克隆賬號檢測的功能。

4、結合日誌，查看管理員登錄時間、用戶名是否存在異常。

檢查方法：

a、Win+R 打開運行，輸入“eventvwr.msc”，回車運行，打開“事件查看器”。

b、匯出 Windows 日誌–安全，利用 Log Parser 進行分析。

二、檢查異常端口、行程

1、檢查端口連接情況，是否有遠程連接、可疑連接。

檢查方法：

a、netstat -ano 查看目前的網絡連接，定位可疑的 ESTABLISHED

b、根據 netstat 定位出的 pid，再通過 tasklist 命令進行行程定位 tasklist  | findstr “PID”

2、行程

檢查方法：

a、開始–運行–輸入 msinfo32，依次點擊“軟體環境→正在運行任務”就可以查看到行程的詳細信息，比如行程路徑、行程 ID、檔案創建日期、啟動時間等。

b、打開 D 盾 _web 查殺工具，行程查看，關註沒有簽名信息的行程。

c、通過微軟官方提供的 Process Explorer 等工具進行排查 。

d、查看可疑的行程及其子行程。可以通過觀察以下內容：

沒有簽名驗證信息的行程

沒有描述信息的行程

行程的屬主

行程的路徑是否合法

CPU 或記憶體資源占用長時間過高的行程

3、小技巧：

a、查看端口對應的 PID： netstat -ano | findstr “port”

b、查看行程對應的 PID：任務管理器–查看–選擇列–PID 或者 tasklist  | findstr “PID”

c、查看行程對應的程式位置：

任務管理器–選擇對應行程–右鍵打開檔案位置

運行輸入 wmic，cmd界面 輸入  process

d、tasklist /svc   行程– PID –服務

e、查看 Windows 服務所對應的端口：

%system%/system32/drivers/etc/services（一般 %system%就是 C:Windows）

三、檢查啟動項、計劃任務、服務

1、檢查服務器是否有異常的啟動項。

檢查方法：

a、登錄服務器，單擊【開始】>【所有程式】>【啟動】，預設情況下此目錄在是一個空目錄，確認是否有非業務程式在該目錄下。

b、單擊開始選單 >【運行】，輸入 msconfig，查看是否存在命名異常的啟動專案，是則取消勾選命名異常的啟動專案，併到命令中顯示的路徑刪除檔案。

c、單擊【開始】>【運行】，輸入 regedit，打開註冊表，查看開機啟動項是否正常，特別註意如下三個註冊表項：

HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion
un

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

檢查右側是否有啟動異常的專案，如有請刪除，並建議安裝殺毒軟體進行病毒查殺，清除殘留病毒或木馬。

d、利用安全軟體查看啟動項、開機時間管理等。

e、組策略，運行 gpedit.msc。

2、檢查計劃任務

檢查方法：

a、單擊【開始】>【設置】>【控制面板】>【任務計劃】，查看計劃任務屬性，便可以發現木馬檔案的路徑。

b、單擊【開始】>【運行】；輸入 cmd，然後輸入at，檢查計算機與網絡上的其它計算機之間的會話或計劃任務，如有，則確認是否為正常連接。

3、服務自啟動

檢查方法：

單擊【開始】>【運行】，輸入 services.msc，註意服務狀態和啟動型別，檢查是否有異常服務。

四、檢查系統相關信息

1、查看系統版本以及補丁信息

檢查方法：

單擊【開始】>【運行】，輸入 systeminfo，查看系統信息

2、查找可疑目錄及檔案

檢查方法：

a、 查看用戶目錄，新建賬號會在這個目錄生成一個用戶目錄，查看是否有新建用戶目錄。

Window 2003 :

C:Documents and Settings

Window 2008R2 :

C:Users

b、單擊【開始】>【運行】，輸入 %UserProfile%Recent，分析最近打開分析可疑檔案。

c、在服務器各個目錄，可根據檔案夾內檔案串列時間進行排序，查找可疑檔案。

五、自動化查殺

病毒查殺

檢查方法：

下載安全軟體，更新最新病毒庫，進行全盤掃描。

webshell 查殺

檢查方法：

選擇具體站點路徑進行 webshell 查殺，建議使用兩款 webshell 查殺工具同時查殺，可相互補充規則庫的不足。

六、日誌分析

系統日誌

分析方法：

a、前提：開啟審核策略，若日後系統出現故障、安全事故則可以查看系統的日誌檔案，排除故障，追查入侵者的信息等。

b、Win+R 打開運行，輸入“eventvwr.msc”，回車運行，打開“事件查看器”。

C、匯出應用程式日誌、安全日誌、系統日誌，利用 Log Parser 進行分析。

WEB 訪問日誌

分析方法：

a、找到中間件的 web 日誌，打包到本地方便進行分析。

b、推薦工具：

Window 下，推薦用 EmEditor 進行日誌分析，支持大文本，搜索效率還不錯。

Linux 下，使用 Shell 命令組合查詢分析

0x02 工具篇

病毒分析 ：

PCHunter：

http://www.xuetr.com

火絨劍：

https://www.huorong.cn

Process Explorer：

https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：

https://processhacker.sourceforge.io/downloads.php

autoruns：

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：

https://www.bleepingcomputer.com/download/otl/

病毒查殺：

卡巴斯基（推薦理由：綠色版、最新病毒庫）：

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe  

大蜘蛛（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）：

http://free.drweb.ru/download+cureit+free

火絨安全軟體：

https://www.huorong.cn

360殺毒：

http://sd.360.cn/download_center.html

病毒動態：

CVERC-國家計算機病毒應急處理中心：

http://www.cverc.org.cn

微步在線威脅情報社區：

https://x.threatbook.cn

火絨安全論壇：

http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區：

http://bbs.duba.net

騰訊電腦管家：

http://bbs.guanjia.qq.com/forum-2-1.html

在線病毒掃描網站：

多引擎在線病毒掃描網 v1.02，當前支持 41 款殺毒引擎:

http://www.virscan.org        

騰訊哈勃分析系統:

https://habo.qq.com          

Jotti 惡意軟體掃描系統:

https://virusscan.jotti.org      

針對計算機病毒、手機病毒、可疑檔案等進行檢測分析:

http://www.scanvir.com        

webshell 查殺：

D盾_Web查殺：

http://www.d99net.net/index.asp

河馬 webshell 查殺：

http://www.shellpub.com

深信服 Webshell 網站後門檢測工具：

http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：

http://www.uusec.com/webshell.zip

0x03 應急響應實戰之 FTP 暴力破解

FTP 是一個檔案傳輸協議，用戶通過 FTP 可從客戶機程式向遠程主機上傳或下載檔案，常用於網站代碼維護、日常原始碼備份等。如果攻擊者通過 FTP 匿名訪問或者弱口令獲取FTP權限，可直接上傳 webshell，進一步滲透提權，直至控制整個網站服務器。

應急場景

從昨天開始，網站響應速度變得緩慢，網站服務器登錄上去非常卡，重啟服務器就能保證一段時間的正常訪問，網站響應狀態時而飛快時而緩慢，多數時間是緩慢的。針對網站服務器異常，系統日誌和網站日誌，是我們排查處理的重點。查看 Window 安全日誌，發現大量的登錄失敗記錄：

日誌分析

安全日誌分析：

安全日誌記錄著事件審計信息，包括用戶驗證（登錄、遠程訪問等）和特定用戶在認證後對系統做了什麼。

打開安全日誌，在右邊點擊篩選當前日誌， 在事件 ID 填入 4625，查詢到事件 ID4625，事件數 177007，從這個資料可以看出，服務器正則遭受暴力破解：

進一步使用 Log Parser 對日誌提取資料分析，發現攻擊者使用了大量的用戶名進行爆破，例如用戶名：fxxx，共計進行了 17826 次口令嘗試，攻擊者基於“fxxx”這樣一個域名信息，構造了一系列的用戶名字典進行有針對性進行爆破，如下圖：

這裡我們留意到登錄型別為 8，來瞭解一下登錄型別8是什麼意思呢？

登錄型別 8：網絡明文（NetworkCleartext）  

這種登錄表明這是一個像型別3一樣的網絡登錄，但是這種登錄的密碼在網絡上是通過明文傳輸的，WindowsServer 服務是不允許通過明文驗證連接到共享檔案夾或印表機的，據我所知只有當從一個使用 Advapi 的 ASP 腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄型別。“登錄過程”欄都將列出 Advapi。  

我們推測可能是 FTP 服務，通過查看端口服務及管理員訪談，確認服務器確實對公網開放了 FTP 服務。

另外，日誌並未記錄暴力破解的 IP 地址，我們可以使用 Wireshark 對捕獲到的流量進行分析，獲取到正在進行爆破的 IP：

通過對近段時間的管理員登錄日誌進行分析，如下：

管理員登錄正常，並未發現異常登錄時間和異常登錄 ip，這裡的登錄型別 10，代表遠程管理桌面登錄。

另外，通過查看 FTP 站點，發現只有一個測試檔案，與站點目錄並不在同一個目錄下麵，進一步驗證了 FTP 暴力破解並未成功。

應急處理措施：

1、關閉外網FTP端口映射          

2、刪除本地服務器FTP測試

處理措施

FTP 暴力破解依然十分普遍，如何保護服務器不受暴力破解攻擊，總結了幾種措施：

1、禁止使用FTP傳輸檔案，若必須開放應限定管理IP地址並加強口令安全審計（口令長度不低於8位，由數字、大小寫字母、特殊字符等至少兩種以上組合構成）。

2、更改服務器 FTP 預設端口。

3、部署入侵檢測設備，增強安全防護。

0x04 應急響應實戰之蠕蟲病毒

蠕蟲病毒是一種十分古老的計算機病毒，它是一種自包含的程式（或是一套程式），通常通過網絡途徑傳播，每入侵到一臺新的計算機，它就在這台計算機上複製自己，並自動執行它自身的程式。

常見的蠕蟲病毒：熊貓燒香病毒 、衝擊波/震蕩波病毒、conficker 病毒等。

應急場景

某天早上，管理員在出口防火牆發現內網服務器不斷向境外IP發起主動連接，內網環境，無法連通外網，無圖腦補。

事件分析

在出口防火牆看到的服務器內網 IP，首先將中病毒的主機從內網斷開，然後登錄該服務器，打開 D 盾_web 查殺查看端口連接情況，可以發現本地向外網 IP 發起大量的主動連接：

通過端口異常，跟蹤行程 ID，可以找到該異常由 svchost.exe windows 服務主行程引起，svchost.exe 向大量遠程 IP 的 445 端口發送請求：

這裡我們推測可以系統行程被病毒感染，使用卡巴斯基病毒查殺工具，對全盤檔案進行查殺，發現 c:windowssystem32qntofmhz.dll 異常：

使用多引擎在線病毒掃描對該檔案進行掃描:

http://www.virscan.org/

確認服務器感染 conficker 蠕蟲病毒，下載 conficker 蠕蟲專殺工具對服務器進行清查，成功清楚病毒。

大致的處理流程如下:

1、發現異常：出口防火牆、本地端口連接情況，主動向外網發起大量連接

2、病毒查殺：卡巴斯基全盤掃描，發現異常檔案

3、確認病毒：使用多引擎在線病毒對該檔案掃描，確認服務器感染 conficker 蠕蟲病毒。

4、病毒處理：使用 conficker 蠕蟲專殺工具對服務器進行清查，成功清除病毒。

預防處理措施

在政府、醫院內網，依然存在著一些很古老的感染性病毒，如何保護電腦不受病毒感染，總結了幾種預防措施：

1、安裝殺毒軟體，定期全盤掃描

2、不使用來歷不明的軟體，不隨意接入未經查殺的 U 盤

3、定期對 windows 系統漏洞進行修複，不給病毒可乘之機

4、做好重要檔案的備份，備份，備份。

0x05 應急響應實戰之勒索病毒

勒索病毒，是一種新型電腦病毒，主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密演算法對檔案進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。自 WannaCry 勒索病毒在全球爆發之後，各種變種及新型勒索病毒層出不窮。

應急場景

某天早上，網站管理員打開 OA 系統，首頁訪問異常，顯示亂碼：

事件分析

登錄網站服務器進行排查，在站點目錄下發現所有的腳本檔案及附件都被加密為 .sage 結尾的檔案，每個檔案夾下都有一個 !HELP_SOS.hta 檔案，打包了部分樣本：

打開 !HELP_SOS.hta 檔案，顯示如下：

到這裡，基本可以確認是服務器中了勒索病毒，上傳樣本到 360 勒索病毒網站進行分析：

http://lesuobingdu.360.cn

確認 web 服務器中了 sage 勒索病毒，目前暫時無法解密。

絕大多數勒索病毒，是無法解密的，一旦被加密，即使支付也不一定能夠獲得解密密鑰。在平時運維中應積極做好備份工作，資料庫與原始碼分離（類似 OA 系統附件資源也很重要，也要備份）。

遇到了，別急，試一試勒索病毒解密工具：

“拒絕勒索軟體”網站:

https://www.nomoreransom.org/zh/index.html

360 安全衛士勒索病毒專題:

http://lesuobingdu.360.cn

防範措施

一旦中了勒索病毒，檔案會被鎖死，沒有辦法正常訪問了，這時候，會給你帶來極大的困惱。為了防範這樣的事情出現，我們電腦上要先做好一些措施：

1、安裝殺毒軟體，保持監控開啟，定期全盤掃描

2、及時更新 Windows 安全補丁，開啟防火牆臨時關閉端口，如 445、135、137、138、139、3389 等端口

3、及時更新 web 漏洞補丁，升級 web 組件

4、備份。重要的資料一定要備份，謹防資料丟失

5、強化網絡安全意識，陌生鏈接不點擊，陌生檔案不要下載，陌生郵件不要打開

0x06 應急響應實戰之挖礦病毒

隨著虛擬貨幣的瘋狂炒作，挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦，具體現象為電腦 CPU 占用率高，C 盤可使用空間驟降，電腦溫度升高，風扇噪聲增大等問題。

應急場景

某天上午重啟服務器的時候，發現程式啟動很慢，打開任務管理器，發現 cpu 被占用接近 100%，服務器資源占用嚴重。

事件分析

登錄網站服務器進行排查，發現多個異常行程：

分析行程引數：

wmic process get caption,commandline /value >> tmp.txt

TIPS:

在 windows 下查看某個運行程式（或行程）的命令列引數

使用下麵的命令：

wmic process get caption,commandline /value

如果想查詢某一個行程的命令列引數，使用下列方式：

wmic process where caption=”svchost.exe” get caption,commandline /value

這樣就可以得到行程的可執行檔案位置等信息。

訪問該鏈接：

Temp 目錄下發現 Carbon、run.bat 挖礦程式:

具體技術分析細節詳見 《利用WebLogic漏洞挖礦事件分析》：

https://www.anquanke.com/post/id/92223

清除挖礦病毒：關閉異常行程、刪除c盤temp目錄下挖礦程式 。

臨時防護方案

1、根據實際環境路徑，刪除 WebLogic 程式下列 war 包及目錄

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

2、重啟 WebLogic 或系統後，確認以下鏈接訪問是否為 404

http://x.x.x.x:7001/wls-wsat

防範措施

新的挖礦攻擊展現出了類似蠕蟲的行為，並結合了高級攻擊技術，以增加對標的服務器感染的成功率。通過利用永恆之藍（EternalBlue）、web 攻擊多種漏洞，如 Tomcat 弱口令攻擊、Weblogic WLS 組件漏洞、Jboss 反序列化漏洞，Struts2 遠程命令執行等，導致大量服務器被感染挖礦程式的現象 。總結了幾種預防措施：

1、安裝安全軟體並升級病毒庫，定期全盤掃描，保持實時防護

2、及時更新 Windows 安全補丁，開啟防火牆臨時關閉端口

3、及時更新 web 漏洞補丁，升級 web 組件

參考鏈接：

https://cloud.tencent.com/document/product/296/9605

https://www.cnblogs.com/shellr00t/p/6943796.html

https://www.exehack.net/5106.html

---

●編號718，輸入編號直達本文

●輸入m獲取文章目錄

推薦↓↓↓

 

Linux學習

更多推薦《18個技術類微信公眾號》

涵蓋：程式人生、演算法與資料結構、黑客技術與網絡安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。