window入侵排查

应急响应 2021年10月8日 · 0 Comment

一、文件的排查

1、开机启动有无异常文件启动

开始—运行--输入msconfig(cmd输入msconfig)

2、对系统敏感文件路径的查看

开始—运行--输入下面命令:
%WINDIR%
%WINDIR%\system32
%TEMP%
%LOCALAPPDATA%
%APPDATA%
主要查看有无异常文件以及最新生成的.bat .exe 的文件,还要根据入侵时间来判断。

3、查看Recent

Recent 是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件分析可疑文件。根据文件夹文件列表时间(已知入侵时间点、文件等)进行排序,查找可疑文件。
开始—运行--输入%UserProfile%\Recent

4、查看文件时间

查看文件创建时间、修改时间、访问时间,黑客通过Webshell连接工具改变的是修改时间,所以如果修改时间在创建时间之前明显是可疑文件。

二、进程、端口排查

检查端口连接情况,是否有远程连接、可疑连接

1、查看进程

使用netstat -ano 查看目前网络连接,定位可疑的ESTABLISHED
Netstat 显示网络连接、路由表和网络接口信息;
参数说明:
 -a 显示所有网络连接、路由表和网络接口信息;
 -n 以数字形式显示地址和端口号
 -o 显示与每个连接相关的所属进程ID
 -r 显示路由表
 -s 显示按协议统计信息、默认地、显示IP

  常见的状态说明
  LISTENING 侦听状态
  ESTABLISHED 建立连接
  CLOSE_WAIT  对方主动关闭连接或者网络异常导致连接终端

2、进程排查

方法一:
1、根据netstat 定位出的pid,在通过tasklist 命令进行进程定位
   netstat -ano | findstr ESTABLISHED
   tasklist | findstr 2528

2、然后根据wmic process 获取进程的全路径
   wmic process | findstr "OfficeIm.exe"

3、通过任务管理器定位进程路径
   a、任务管理器--选择对应进程--右键打开文件位置
   b、运行输入 wmic,cmd界面 输入 process

4、tasklist /svc 进程--PID--服务

5、查看Windows服务所对应的端口
   C:\Windows\System32\drivers\etc
   %system%/system32/drivers/etc/services(一般%system%就是C:\Windows)

方法二:
通过工具,查看可疑的进程及其子进程。可以通过观察以下内容:
   没有签名验证信息的进程
   没有描述信息的进程
   进程的属主
   进程的路径是否合法
   CPU或内存资源占用长时间过高的进程

1、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
2、打开D盾_web查杀工具或者火绒剑,进程查看,关注没有签名信息的进程。
3、通过微软官方提供的 Process Explorer 等工具进行排查 。

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项

a、进入C盘查看启动目录,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
b、【运行】CMD,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
c、【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: 
   HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
   检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
d、利用安全软件查看启动项、开机时间管理等。
e、组策略,运行gpedit.msc。查看启动项位置:用户配置 - 管理模板 - 系统 - 登录 - 在用户登录时运行这些程序

2、检查计划任务

a、【控制面板】>(管理工具)【任务计划程序】,查看计划任务属性,便可以发现木马文件的路径。
b、单击【开始】>【运行】;输入 cmd,然后输入at(schtasks),检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。

3、服务自启动

单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。

四、系统账号检查

1、查看服务器是否有弱口令,远程管理端口是否对公网开放。

检查方法:据实际情况咨询相关服务器管理员。

2、查看服务器是否存在可疑账号、新增账号。

检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。

3、查看安全标识符、SAM安全账户管理器

SID 永远都是唯一的。由计算机名,当前时间,当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性
检查方法:
a、打开cmd,然后输入 wmic useraccount get name,sid
b、regedit打开注册表,进入HKEY_LOCAL_MACHINE\SAM\SAM;HKEY_LOCAL_MACHINE\SECURITY,进行查看

4、查看服务器是否存在隐藏账号、克隆账号

检查方法:
a、打开注册表 ,查看管理员对应键值。
使用regedit打开注册表编辑器找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]
b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

5、结合日志,查看管理员登录时间、用户名是否存在异常。

a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
b、导出Windows日志--安全,利用Log Parser进行分析。

六、检查系统相关信息

1、查看系统版本以及补丁信息

检查方法:单击【开始】>【运行】,输入systeminfo,查看系统信息

2、查找可疑目录及文件

检查方法:
a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。
d、回收站、浏览器下载目录、浏览器历史记录
e、修改时间在创建时间之前的为可疑文件

七、相关工具

1、病毒分析

2、病毒查杀

3、病毒动态

4、在线病毒扫描网站

5、webshell查杀

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

© 2024 流浪的黑客 - WordPress Theme by WPEnjoy