應急響應-感染Neshta病毒

病毒確定：

根據感染現象確定為Virus/Win32.Neshta家族病毒

病毒表現：

該病毒為感染式病毒。該病毒會在系統%SystemRoot%目錄下釋放svchost.com文件，并通過添加注冊表的方式確保每個exe文件執行的時候都會先執行這個文件。該病毒還會收集系統信息發送到遠程服務器上，如當前安裝的軟件列表，當前運行的軟件列表，以及SMTP郵件賬號等。

解決問題：打不開exe文件

對于exe打開方式被木馬或病毒修改，無法打開任何可執行文件的解決辦法。
方案一：
? ? 先將regedit.exe改名為regedit.com或regedit.scr。

運行regedit.com，找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command鍵值，將默認值改為"%1" %* 數值如下圖所示：

重啟，再將regedit.com改回regedit.exe即可。
方案二：
? ?將下面的內容存為exefile.reg，雙擊導入注冊表；或在純dos下運行regedit exefile.reg，導入注冊表即可。（注意：REGEDIT4后面留一空行）
REGEDIT4 [HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command] @="\\"%1\\" %*"
?
方案三（只適用于Win2000/XP）：
1、將cmd.exe改名為cmd.com或cmd.scr。
2、運行cmd.com
3、運行下面兩個命令：
? ?ftype exefile="%1" %*
? ?assoc .exe=exefile

4、將cmd.com改回cmd.exe

解決問題：通過殺毒軟件進行查收

首先打開移除信任區文件，全盤，徹底查殺。該重啟重啟，多殺幾次。

直到沒有病毒報錯

解決問題：隱藏后門文件，賬號等

入侵排查思路

1.1 檢查系統賬號安全

1、查看服務器是否有弱口令，遠程管理端口是否對公網開放。

檢查方法：據實際情況咨詢相關服務器管理員。

2、查看服務器是否存在可疑賬號、新增賬號。

檢查方法：

a、打開 cmd 窗口，輸入 lusrmgr.msc 命令，查看是否有新增/可疑的賬號 b、查看注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
c、輸入net user命令查看系統用戶 3、查看服務器是否存在隱藏賬號、克隆賬號。

檢查方法：

a、打開注冊表，查看管理員對應鍵值。 b、使用D盾_web查殺工具，集成了對克隆賬號檢測的功能。?

?4、結合日志，查看管理員登錄時間、用戶名是否存在異常。

檢查方法：

a、Win+R 打開運行，輸入"eventvwr.msc"，回車運行，打開“事件查看器”。 b、導出 Windows 日志 -- 安全，利用微軟官方工具?Log Parser?進行分析。?

1.2 檢查異常端口、進程

1、檢查端口連接情況，是否有遠程連接、可疑連接。

檢查方法：

a、使用netstat -ano 命令查看目前的網絡連接，定位可疑的 ESTABLISHED b、根據 netstat 命令定位出的 PID 編號，再通過 tasklist 命令進行進程定位 tasklist | findstr "PID"?

?2、進程

檢查方法：

a、開始 -- 運行 -- 輸入 msinfo32 命令，依次點擊 "軟件環境 -- 正在運行任務" 就可以查看到進程的詳細信息，比如進程路徑、進程ID、文件創建日期以及啟動時間等。 b、打開D盾_web查殺工具，進程查看，關注沒有簽名信息的進程。 c、通過微軟官方提供的 Process Explorer 等工具進行排查。 d、查看可疑的進程及其子進程。可以通過觀察以下內容：

沒有簽名驗證信息的進程   
沒有描述信息的進程   
進程的屬主   
進程的路徑是否合法   
CPU 或內存資源占用長時間過高的進程

3、小技巧： a、查看端口對應的 PID：netstat -ano | findstr "port" b、查看進程對應的 PID：任務管理器 -- 查看 -- 選擇列 -- PID 或者 tasklist | findstr "PID" c、查看進程對應的程序位置：任務管理器 -- 選擇對應進程 -- 右鍵打開文件位置運行輸入 wmic，cmd 界面輸入 process d、tasklist /svc 進程 -- PID -- 服務 e、查看Windows服務所對應的端口： %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路徑）

1.3 檢查啟動項、計劃任務、服務

1、檢查服務器是否有異常的啟動項。

檢查方法：

a、登錄服務器，單擊【開始】>【所有程序】>【啟動】，默認情況下此目錄在是一個空目錄，確認是否有非業務程序在該目錄下。 b、單擊開始菜單 >【運行】，輸入msconfig，查看是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，并到命令中顯示的路徑刪除文件。 c、單擊【開始】>【運行】，輸入regedit打開注冊表，查看開機啟動項是否正常，特別注意如下三個注冊表項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

檢查啟動項是否有啟動異常的項目，如有請刪除，并建議安裝殺毒軟件進行病毒查殺，清除殘留病毒或木馬。 d、利用安全軟件查看啟動項、開機時間管理等。 e、輸入命令查看啟動項wmic startup list full?

2、檢查計劃任務

檢查方法：

a、單擊【開始】>【設置】>【控制面板】>【任務計劃】，查看計劃任務屬性，便可以發現木馬文件的路徑 b、單擊【開始】>【運行】；輸入cmd，然后輸入at，檢查計算機與網絡上的其它計算機之間的會話或計劃任務，如有，則確認是否為正常連接。?

3、服務自啟動

檢查方法：單擊【開始】>【運行】，輸入services.msc，注意服務狀態和啟動類型，檢查是否有異常服務。

1.4 檢查系統相關信息

1、查看系統版本以及補丁信息

檢查方法：單擊【開始】>【運行】，輸入systeminfo，查看系統信息。

2、查找可疑目錄及文件

檢查方法：

a、查看用戶目錄，新建賬號會在這個目錄生成一個用戶目錄，查看是否有新建用戶目錄。

Window 2003版本 C:\Documents and Settings
Window 2008R2及以后版本 C:\Users\

b、單擊【開始】>【運行】，輸入%UserProfile%\Recent，分析最近打開分析可疑文件。 c、在服務器各個目錄，可根據文件夾內文件列表時間進行排序，查找可疑文件。 d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄 e、修改時間在創建時間之前的為可疑文件?

3、發現并得到 WebShell、遠控木馬的創建時間，如何找出同一時間范圍內創建的文件？ a、利用 Registry Workshop注冊表編輯器的搜索功能，可以找到最后寫入時間區間的文件。 b、利用計算機自帶文件搜索功能，指定修改時間進行搜索。

1.5 Windows日志分析

?1、Windows事件日志簡介?Windows系統日志是記錄系統中硬件、軟件和系統問題的信息，同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。 Windows主要有以下三類日志記錄系統事件：應用程序日志、系統日志和安全日志。?

系統日志?記錄操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日志中記錄的時間類型由Windows?NT/2000操作系統預先定義。默認位置： %SystemRoot%\System32\Winevt\Logs\System.evtx?

應用程序日志?包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況，那么我們可以從程序事件日志中找到相應的記錄，也許會有助于你解決問題。默認位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx?

安全日志?記錄系統的安全審計事件，包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。安全日志也是調查取證中最常用到的日志。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設置審核策略，以便當安全性日志滿后使系統停止響應。默認位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx 系統和應用程序日志存儲著故障排除信息，對于系統管理員更為有用。安全日志記錄著事件審計信息，包括用戶驗證（登錄、遠程訪問等）和特定用戶在認證后對系統做了什么，對于調查人員而言，更有幫助。?

2、審核策略與事件查看器?Windows Server 2008 R2 系統的審核功能在默認狀態下并沒有啟用，建議開啟審核策略，若日后系統出現故障、安全事故則可以查看系統的日志文件，排除故障，追查入侵者的信息等。 PS：默認狀態下，也會記錄一些簡單的日志，日志默認大小20M?設置1：開始 → 管理工具 → 本地安全策略 → 本地策略 → 審核策略?設置2：設置合理的日志屬性，即日志最大大小、事件覆蓋閥值等：?查看系統日志方法：

在“開始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”
按 "Window+R"，輸入 ”eventvwr.msc“ 也可以直接進入“事件查看器”

3、事件日志分析?對于Windows事件日志分析，不同的EVENT ID代表了不同的意義，摘錄一些常見的安全事件的說明：

事件ID	說明
4624	登錄成功
4625	登錄失敗
4634	注銷成功
4647	用戶啟動的注銷
4672	使用超級用戶（如管理員）進行登錄
4720	創建用戶

每個成功登錄的事件都會標記一個登錄類型，不同登錄類型代表不同的方式：

登錄類型	描述	說明
2	交互式登錄（Interactive）	用戶在本地進行登錄。
3	網絡（Network）	最常見的情況就是連接到共享文件夾或共享打印機時。
4	批處理（Batch）	通常表明某計劃任務啟動。
5	服務（Service）	每種服務都被配置在某個特定的用戶賬號下運行。
7	解鎖（Unlock）	屏保解鎖。
8	網絡明文（NetworkCleartext）	登錄的密碼在網絡上是通過明文傳輸的，如FTP。
9	新憑證（NewCredentials）	使用帶/Netonly參數的RUNAS命令運行一個程序。
10	遠程交互，（RemoteInteractive）	通過終端服務、遠程桌面或遠程協助訪問計算機。
11	緩存交互（CachedInteractive）	以一個域用戶登錄而又沒有域控制器可用

關于更多EVENT ID，詳見微軟官方網站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的說明”。?

4、Windows日志分析工具?

（1）Log Parser?Log Parser（是微軟公司出品的日志分析工具，它功能強大，使用簡單，可以分析基于文本的日志文件、XML 文件、CSV（逗號分隔符）文件，以及操作系統的事件日志、注冊表、文件系統、Active Directory。它可以像使用 SQL 語句一樣查詢分析這些數據，甚至可以把分析結果以各種圖表的形式展現出來。

Log Parser 2.2下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 使用示例：Log Parser Rocks! More than 50 Examples! | LichtenBytes?

基本查詢結構?Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"?使用Log Parser分析日志?

1、查詢登錄成功的事件

登錄成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4624"指定登錄時間范圍的事件：
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"提取登錄成功的用戶名和IP：
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

2、查詢登錄失敗的事件

登錄失敗的所有事件：
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4625"提取登錄失敗用戶名進行聚合統計：
LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"

3、系統歷史開關機記錄：

LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

（2）LogParser Lizard?對于GUI環境的Log Parser Lizard，其特點是比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設置，寫好基本的SQL語句，就可以直觀的得到結果。下載地址：Log Parser Lizard: Advanced SQL Analysis for Log Files?依賴包：Microsoft .NET Framework 4 .5，下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=42642

（3）Event Log Explorer?Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看，監視和分析跟事件記錄，包括安全，系統，應用程序和其他微軟Windows 的記錄被記載的事件，其強大的過濾功能可以快速的過濾出有價值的信息。下載地址：https://event-log-explorer.en.softonic.com/?

1.4?自動化查殺

病毒查殺：

檢查方法：下載安全軟件，更新最新病毒庫，進行全盤掃描安全軟件下載地址：

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe   （推薦理由：綠色版、最新病毒庫） 
大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫） 
火絨安全軟件：https://www.huorong.cn 
360殺毒：http://sd.360.cn/download_center.html

Webshell查殺

檢查方法：選擇具體站點路徑進行Webshell查殺，建議使用兩款 WebShell 查殺工具同時查殺，可相互補充規則庫的不足。查殺工具下載地址

D盾_Web查殺：http://www.d99net.net/index.asp
河馬 WebShell 查殺：http://www.shellpub.com

?工具

2.1 病毒分析

PCHunter：http://www.xuetr.com?

火絨劍：https://www.huorong.cn?

Process Explorer：進程資源管理器 - Sysinternals | Microsoft Learn?

processhacker：System Informer?

autoruns：Autoruns - Sysinternals | Microsoft Learn?

OTL：https://www.bleepingcomputer.com/download/otl/?

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

2.2 病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe?? （推薦理由：綠色版、最新病毒庫）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）火絨安全軟件：https://www.huorong.cn?

360殺毒：360殺毒_下載中心

2.3 病毒動態

CVERC-國家計算機病毒應急處理中心：http://www.cverc.org.cn?

微步在線威脅情報社區：https://x.threatbook.cn?

火絨安全論壇：火絨安全軟件 - 火絨安全軟件?

愛毒霸社區：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

2.4 在線病毒掃描網站

Virustotal：https://www.virustotal.com?

Virscan：http://www.virscan.org?

騰訊哈勃分析系統：https://habo.qq.com?

Jotti 惡意軟件掃描系統：https://virusscan.jotti.org

2.5 webshell查殺

D盾_Web查殺：D盾防火墻?

河馬 WebShell 查殺：http://www.shellpub.com