前言
在如今的數字化時代,Windows系統面對著越來越復雜的網絡威脅和安全挑戰。本文將深入探討在Windows環境下的實戰應急響應策略。我們將重點關注實際應急響應流程、關鍵工具的應用,以及如何快速準確地識別和應對安全事件。通過分享實際案例分析,旨在幫助網絡安全從業者提升應急響應能力,有效保護關鍵資產和數據的安全。
應急響應流程
Windows系統的應急響應是指在發生安全事件或者懷疑系統遭受攻擊時,采取的快速響應和處置措施,以最大限度地減少損失并恢復系統的安全性和可用性。
以下是一般情況下的Windows應急響應詳細步驟:
1. 確認安全事件
監控系統日志: 檢查Windows事件日志(Event Viewer),尋找異常事件、錯誤消息或警告,特別關注安全事件、登錄異常等。
2. 切斷系統與網絡連接
物理隔離: 如果發現安全威脅,立即考慮物理隔離系統,斷開與網絡的連接,防止攻擊擴散或數據泄露。
3. 收集證據和分析
鏡像磁盤: 制作系統的磁盤鏡像,以便后續離線分析和取證,確保原始數據不被篡改。
4. 隔離受影響系統
隔離系統: 將受影響的系統從生產環境隔離,防止繼續影響其他系統或網絡。
5. 安全漏洞修復和系統清理
修補漏洞: 安裝系統和應用程序的最新補丁和安全更新,修復已知的安全漏洞。
6. 恢復系統和監控
系統恢復: 在清理和修復后,恢復系統的正常運行狀態,并確保所有必要的服務和應用程序正常工作。
7. 事后總結和改進
事件總結: 對安全事件進行總結和分析,了解攻擊的方式和入侵路徑,制定改進措施。
在進行應急響應時,最重要的是快速反應、有效隔離和詳細記錄,以確保最小化損失和快速恢復系統的安全狀態。
Windows基礎應急命令
一、系統排查
1、系統詳細信息
簡單了解系統信息
systeminfo
GUI顯示的系統信息
msinfo32
2、網絡連接
netstat 是一個用于顯示網絡連接、路由表和網絡接口信息的命令行工具
| -a | 顯示所有連接(包括監聽連接)。 |
|---|---|
| -t | 顯示TCP協議的連接。 |
| -u | 顯示UDP協議的連接。 |
| -n | 顯示數字格式的地址和端口號(不解析域名和服務名)。 |
| -o | 顯示建立連接的進程標識(PID)。 |
| -p | 顯示建立連接的程序名稱和PID。 |
| -e | 顯示詳細的網絡統計信息,包括以太網幀和TCP/UDP數據包。 |
| -s | 顯示協議統計信息。 |
| -r | 顯示路由表信息。 |
| -c | 持續顯示網絡狀態信息,類似于UNIX系統的top命令。 |
| -l | 僅顯示監聽狀態的連接。 |
| -x | 顯示UNIX域套接字的連接。 |
| -f | 顯示FQDN(Fully Qualified Domain Names)格式的域名。 |
| -y | 顯示TCP連接的TCP數據包信息。 |
| -v | 顯示netstat命令的版本信息。 |
| -h 或 --help | 顯示netstat命令的幫助信息。 |
netstat -ano
網絡連接各狀態含義
| 狀態 | 含義 |
|---|---|
| LISTENING | 正在等待傳入的連接請求。 |
| ESTABLISHED | 連接已經建立,數據可以在兩個端點之間傳輸。 |
| TIME_WAIT | 連接已經關閉,等待足夠的時間以確保對方已收到連接關閉請求。 |
| CLOSE_WAIT | 本地端已經關閉連接,但是遠程端仍保持連接打開狀態。 |
| FIN_WAIT_1 | 已經發送連接關閉請求,正在等待遠程端確認。 |
| FIN_WAIT_2 | 已經收到遠程端的連接關閉請求,正在等待確認。 |
| CLOSED | 沒有活動的連接或監聽。 |
| SYN_SENT | 正在發送連接請求。 |
| SYN_RECEIVED | 已經收到對方的連接請求,并發送了確認。 |
| LAST_ACK | 已經發送連接關閉請求,并收到對方的確認,正在等待最終關閉。 |
| RESET | 連接被遠程端重置。通常是由于對方在本地端嘗試建立連接之前關閉。 |
在網絡安全應急響應中,對于處于 ESTABLISHED 狀態的網絡連接進行重點排查是非常重要的。這是因為
- 持久性連接:ESTABLISHED連接通常是持久性的,數據可以在兩個端點之間自由傳輸。這種連接可能會被惡意軟件或攻擊者利用來持續地傳輸數據、執行命令或者竊取信息。
- C&C通道:惡意軟件常常使用ESTABLISHED連接作為命令和控制(C&C)通道,使得攻擊者可以遠程控制受感染系統,執行各種攻擊活動。
- 數據泄露:正常情況下,ESTABLISHED連接用于合法的數據傳輸。但是,如果系統遭到入侵或者惡意軟件感染,這些連接可能用于非授權的數據泄露,如竊取敏感信息、文件傳輸等。
- 橫向擴展:攻擊者可以利用已建立的ESTABLISHED連接從一個受感染的主機向其他內部系統橫向擴展攻擊,從而擴大其攻擊面。
ESTABLISHED 狀態表示連接已經成功建立并且正在活躍地傳輸數據。在安全的角度來看,我們關注 ESTABLISHED 連接的主要原因包括:因此,網絡安全人員在進行安全響應時,需要仔細檢查和分析所有處于ESTABLISHED狀態的連接,確保這些連接是合法的,不會對系統安全造成威脅。通過檢查ESTABLISHED連接,可以及時發現并應對可能的安全威脅和攻擊。
根據PID定位進程
重點關注 ESTABLISHED pid
查看進程 tasklist
tasklist | findstr "4020"
快速定位端口對應的進程
netstat -anb
根據進程定位應用程序
任務管理器-進程-選中進程名-右擊打開文件位置
3、進程排查
1、打開任務管理器查看進程
2、tasklist命令
tasklist /svc 查看每個進程和服務對應的情況
根據PID定位進程
tasklist | findstr "4020"
4、排查檢測賬號
1、查看當前系統在線用戶
query user
2、查看系統隱藏用戶
net user
賬號后面加上$在命令終端是查看不到
訪問注冊表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names對比數量是否一致,不一致則說明有隱藏用戶
需要在計算機管理 本地用戶和組查看 也可以運行-lusrmgr.msc
3、賬號克隆
創建隱藏用戶并將其權限(F值)修改為與管理員相同的做法,可能導致嚴重的安全漏洞。這種操作可能使未經授權的用戶獲得管理員權限,并可能被用作系統的后門。為了發現潛在的克隆賬號,建議檢查注冊表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中是否存在帶有$符號的隱藏用戶。如果發現這樣的用戶,請仔細檢查其權限設置,確保不與管理員賬號相同。一旦發現異常,應立即采取措施防止進一步的安全風險。
訪問注冊表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 權限不夠可以設置可讀權限
若打開SAM后內無文件夾,右鍵選擇權限 - 給指定用戶配置讀取權限
wmic方法查詢用戶信息
wmic useraccount get name,Sid
如果兩個賬號有相同的 SID,則可能是克隆的賬號
可以用D盾去檢測用戶是否被克隆
5、利用系統啟動項執行后門
系統中的啟動目錄
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
等于
運行-shell:startup
系統配置msconfig
運行 - msconfig
注冊表啟動
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
msinfo32.exe命令
6、計劃任務
運行-taskschd.msc
打開計劃任務-查看屬性(檢測是否存在、可疑的任務)
也可以在終端里schtasks命令查看
7、注冊表
運行-regedit
8、服務
運行-msconfig
或者
Windows 任務管理器-服務
或者
計算機管理-服務和應用程序-服務
或者
cmd命令msinfo32.exe(支持搜索)
9、組策略
運行-gpedit.msc
二、日志排查
1、windows 系統安全日志分析
主要記錄系統的安全信息,包括成功的登錄、退出,不成功的登錄,系統文件的創建、刪除、更改,需要指明的是安全日志只有系統管理員才可以訪問,這也體現了在大型系統中安全的重要性。
| 事件類型 | 注釋 |
|---|---|
| 信息(Information) | 指應用程序、驅動程序或服務的成功操作事件 |
| 警告(Warning) | 系統發現了一個可能會導致問題的情況,但尚未產生錯誤。例如,磁盤空間不足、某些服務未能及時啟動等 |
| 錯誤(Error) | 系統或應用程序發生了一個問題或失敗,可能導致系統功能的部分或完全受到影響。例如,應用程序崩潰、服務停止等 |
| 審核成功(Success Audit) | 審核成功事件記錄了成功的審核活動,例如成功的用戶登錄、文件或對象訪問成功等。這些事件有助于審計和跟蹤系統訪問和活動 |
| 審核失敗(Failure Audit) | 審核失敗事件記錄了審核嘗試但未成功的活動,例如無效的登錄嘗試、拒絕的訪問嘗試等。這些事件有助于檢測潛在的安全威脅或攻擊行為 |
Windows安全事件最常用的事件ID:
| 事件ID | 說明 | 備注 |
|---|---|---|
| 1074 | 計算機開機、關機、重啟的時間、原因、注釋 | 查看異常關機情況 |
| 1102 | 清理審計日志 | 發現篡改事件日志的用戶 |
| 4624 | 登錄成功 | 檢測異常的未經授權的登錄 |
| 4625 | 登陸失敗 | 檢測可能的暴力密碼攻擊 |
| 4632 | 成員已添加到啟用安全性的本地組 | 檢測濫用授權用戶行為 |
| 4634 | 注銷用戶 | |
| 4648 | 試圖使用顯式憑據登錄 | |
| 4657 | 注冊表值被修改 | |
| 4663 | 嘗試訪問對象 | 檢測未經授權訪問文件和文件夾的行為。 |
| 4672 | administrator超級管理員登錄(被賦予特權) | |
| 4698 | 計劃任務已創建 | |
| 4699 | 計劃任務已刪除 | |
| 4700 | 啟用計劃任務 | |
| 4701 | 禁用計劃任務 | |
| 4702 | 更新計劃任務 | |
| 4720 | 創建用戶 | |
| 4726 | 刪除用戶 | |
| 4728 | 成員已添加到啟用安全性的全局組 | 確保添加安全組成員的資格信息 |
| 4740 | 鎖定用戶賬戶 | 檢測可能的暴力密碼攻擊 |
| 4756 | 成員已添加到啟用安全性的通用組 | |
| 6005 | 表示日志服務已經啟動(表明系統正常啟動了) | 查看系統啟動情況 |
事件查看器
事件查看器
或者
運行-eventvwr或eventvwr.msc
在事件點擊安全 點擊 篩選當前日志 輸入id進行 篩選
定期審查安全事件日志,特別是事件ID 4720,以便及時發現任何未經授權的帳戶創建。
篩選 4625 找到大量的失敗的登錄日志 有可能被暴力破解。
2、web日志分析
從Web應用日志中,可以分析攻擊者在什么時間、使用哪個IP,訪問了哪個網站。
根據使用不同的中間件,log日志位置也不同,百度搜即可。
1、Nginx
2、Apache
3、Tomcat
三、文件痕跡排查
1、查看用戶最近的打開的文件
運行-%UserProfile%\Recent 查看用戶最近的打開的文件 對可疑的文件進行分析 文件可疑上傳到 病毒庫平臺分析。
2、查看臨時目錄
運行-%tmp%
四、webshell&木馬病毒 - 查殺
1、webshell
河馬:https://www.shellpub.com/
D盾(iis):https://www.d99net.net/
2、木馬病毒
360殺毒:https://sd.360.cn/
360安全大腦:https://sc.360.net/
火絨:https://www.huorong.cn/
微步在線云沙箱:https://s.threatbook.com/
騰訊哈勃分析系統:https://habo.qq.com/
Jotti惡意軟件掃描系統:https://virusscan.jotti.org/
ScanVir:http://www.scanvir.com/
)
】:模板與泛型編程詳細總結與分析)
)
)
——抽象工廠模式)
 、折射率(ior))