在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

Windows主機入侵痕跡排查辦法

Android編程精選 ? 來源:Freebuf ? 作者:白衣不再少年 ? 2022-03-18 09:24 ? 次閱讀

一、排查思路

在攻防演練保障期間,一線工程師在實施主機入侵痕跡排查服務時可能面臨時間緊、任務急、需要排查的主機數量眾多情況。為了確保實施人員在有限的時間范圍內,可以高效且保證質量的前提下完成主機入侵痕跡排查工作,本人總結了自己的一些經驗,下面的內容特此分享主機入侵痕跡排查服務中重點、關鍵的排查項,僅作為參考使用。

1.1初步篩選排查資產

一般情況下,客戶資產都比較多,想要對所有的資產主機進行入侵痕跡排查基本不太現實,等你全部都排查完了,攻擊者該做的事早就做完了,想要的目的也早就達到了。那么針對客戶資產量大的情況,我們應該怎么處理? 首先,在排查前,作為項目經理,應該與客戶溝通好,取得授權,確認排查范圍和排查方案和辦法,客戶若是沒有授意或者同意,那么下面的操作都是違規操作,甚至有的還違法。 取得客戶同意后,我們再從資產面臨的風險等級、資產的重要程度、攻擊者的攻擊思路、手法及目標選擇傾向幾個方面去初步篩選出排查資產。這里建議從以下資產范圍選取: ①曾失陷資產:在以前的紅藍對抗、攻防演練、或者真實的黑客攻擊事件中被攻陷的主機,曾失陷資產應作為排查的重點對象。 ②互聯網暴露脆弱資產:從互聯網暴露資產中篩選出使用了高危漏洞頻發的組件/應用(組件如Weblogic、JBoss、Fastjson、Shiro、Struts2等)。還有一個點需要注意,就是客戶是否具有有效的資產管理,是否能夠清晰明確識別出哪些資產用了什么組件,如果不能的話,只能通過之前的滲透測試結果來篩選出脆弱資產。 ③關鍵資產:如域控等可以導致大量主機失陷的集權類資產。

1.2確定排查資產

主機入侵痕跡排查工作建議在一周內對數量控制在20臺以內的主機進行排查。經過初步篩選的資產數量如果遠遠大于20臺主機,需要從資產里面進行二次篩選,如果存在曾失陷資產,排查主機范圍可以定為曾失陷資產;如果不存在曾失陷資產,排查主機范圍可以定為脆弱資產,具體可以根據客戶自身實際情況調整。 需要注意是,如果排查資產中包含曾失陷資產的話,需要向客戶索要歷史攻防演練/應急等報告,在排查時需結合歷史報告和指導手冊內容一起進行排查,需要特別留意歷史報告中攻擊者的入侵痕跡是否已經完全清理。

1.3入侵痕跡排查

在實際情況下,攻擊者在進行攻擊時使用的攻擊手法、攻擊思路、行為等各有差異,無論是考慮實現成本還是效率問題,都難以通過很精細很全面的排查項去實施主機入侵痕跡排查,但是我們可以從攻擊中可能會產生的一些比較共性的行為特征、關鍵的項進行排查。 對于主機的入侵痕跡排查,主要從網絡連接、進程信息、后門賬號、計劃任務、登錄日志、自啟動項、文件等方面進行排查。比如,如果存在存活后門,主機可能會向C2發起網絡連接,因此可以從網絡連接排查入手,如果存在異常的網絡連接,則必然說明存在惡意的進程正在運行,則可以通過網絡連接定位到對應進程,再根據進程定位到惡意文件。如果攻擊者企圖維持主機控制權限的話,則可能會通過添加后門賬號、修改自啟動項,或者添加計劃任務等方式來維持權限,對應的我們可以通過排查賬號、自啟動項、計劃任務來發現相應的入侵痕跡。

二、排查內容

2.1windows主機

攻擊者一般使用 attrib <程序> +s +h 命令隱藏惡意程序,故在排查痕跡前需打開“工具—文件夾選項—查看”。按照下圖中的設置,即可顯示所有文件。

cc8fe8e8-a5a2-11ec-952b-dac502259ad0.jpg

cca38fd8-a5a2-11ec-952b-dac502259ad0.jpg

2.1.1網絡連接排查步驟: 在CMD中執行 netstat -ano 查看目前的網絡連接。

ccb89b62-a5a2-11ec-952b-dac502259ad0.jpg

這種情況一般都比較正常,只有80和443端口,一般都是正常業務開放端口。分析方法:如果網絡連接出現以下情況,則當前主機可能已經失陷: 1、主機存在對內網網段大量主機的某些端口(常見如22,445,3389,6379等端口)或者全端口發起網絡連接嘗試,這種情況一般是當前主機被攻擊者當作跳板機對內網實施端口掃描或者口令暴力破解等攻擊。

cccd5aac-a5a2-11ec-952b-dac502259ad0.jpg

2、主機和外網IP已經建立連接(ESTABLISHED狀態)或者嘗試建立連接(SYN_SENT狀態),可以先查詢IP所屬地,如果IP為國外IP或者歸屬各種云廠商,則需要重點關注。進一步可以通過威脅情報(https://x.threatbook.cn/等)查詢IP是否已經被標注為惡意IP。

cce0fd6e-a5a2-11ec-952b-dac502259ad0.jpg

3、如果無法直接從網絡連接情況判斷是否為異常連接,可以根據網絡連接找到對應的進程ID,判斷進程是否異常。如果不能從進程判斷,可以進一步找到進程對應文件,將對應文件上傳至virustotal(https://www.virustotal.com)進行檢測。如上面截圖中對內網掃描的進程ID是2144,在任務管理器中發現對應的文件是svchost.exe。

ccf7c2c4-a5a2-11ec-952b-dac502259ad0.jpg

上傳至virustotal檢測的結果為惡意文件。

cd0b7436-a5a2-11ec-952b-dac502259ad0.jpg

若在排查網絡連接中,任務管理器只能看到有命令行工具(如powershell、cmd)powershell進程與外聯IP建立會話,無法看到進程對應的運行參數。此時可借助Process Explorer進一步觀察powershell的運行參數。如下在Process Explorer中發現powershell執行了cobalt strike腳本的痕跡。

cd22c85c-a5a2-11ec-952b-dac502259ad0.jpg

2.1.2敏感目錄排查步驟:查看攻擊方常喜歡上傳的目錄是否有可疑文件。分析方法:1、各個盤符下的臨時目錄,如C:TEMP、C:WindowsTemp等。

cd3dc94a-a5a2-11ec-952b-dac502259ad0.jpg

2、%APPDATA%,在文件夾窗口地址欄輸入%APPDATA%,回車即可打開當前用戶的appdata目錄。

cd504516-a5a2-11ec-952b-dac502259ad0.jpg

Administrator用戶對應的%APPDATA%目錄C:UsersAdministratorAppDataRoaming。可以按照修改日期排序篩選出比較臨近時間有變更的文件。

cd61c886-a5a2-11ec-952b-dac502259ad0.jpg

3、瀏覽器的下載目錄

cd6f88cc-a5a2-11ec-952b-dac502259ad0.jpg

4、用戶最近文件%UserProfile%Recent,如Administrator對應的目錄為C:UsersAdministratorRecent

cd8cc3e2-a5a2-11ec-952b-dac502259ad0.jpg

5、回收站,如C盤下回收站C:$Recycle.Bin 對于腳本文件可直接查看內容判定是否為惡意,若是遇到exe可執行文件,可將對應文件上傳至virustotal(https://www.virustotal.com)進行檢測。

cd9cf226-a5a2-11ec-952b-dac502259ad0.jpg

2.1.3后門文件排查步驟:

查看粘滯鍵exe; 查看注冊表中映像的鍵值。

分析方法:1、查看粘滯鍵exe 查看C:WindowsSystem32下的sethc.exe文件的創建、修改時間是否正常,如下圖,一般情況下,系統文件的創建時間與修改時間應相同,sethc的創建時間與修改時間不同,可確定sethc已被替換成后門文件。由于攻擊者可修改文件時間,上述簡單粗暴的判斷方式可能不靠譜,可將sethc拷貝出來、上傳至VT檢測危害。

cdb24928-a5a2-11ec-952b-dac502259ad0.jpg

2、查看注冊表中映像的鍵值 檢查注冊表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”下所有exe項中是否有debugger鍵,若有debugger鍵,將其鍵值對應的程序上傳至VT檢測。如下圖,攻擊者利用該映像劫持的攻擊者方式,在sethc.exe項中新建debugger鍵值指向artifact.exe,攻擊效果為當連續按5下shift鍵后,不會執行sethc.exe,而是轉而執行劫持后的artifact.exe文件。于是在排查中發現有debugger鍵值,均可認為指定的文件為后門文件,待上傳VT后確認其危害。

cdccc726-a5a2-11ec-952b-dac502259ad0.jpg

cde9eaf4-a5a2-11ec-952b-dac502259ad0.jpg

cdfe840a-a5a2-11ec-952b-dac502259ad0.jpg

這里沒有debugger鍵,下面的圖是有的:

ce11c0ce-a5a2-11ec-952b-dac502259ad0.jpg

2.1.4后門賬號排查步驟:

打開regedit查看注冊表中的賬號; 查看administrators組中是否存在賦權異常的賬號。

分析方法:查看注冊表中HKLMSAMSAMDomainsAccountUsersNames中是否有多余的賬號(可詢問客戶運維人員以確定賬號存在的必要性)。正常情況下,上述路徑的SAM權限僅system用戶可查看,需要給administrator用戶授權才能打開完整路徑。對SAM右鍵、給administator用戶添加完全控制權限(下圖的權限操作方法適用于win7及以上操作系統):

ce248164-a5a2-11ec-952b-dac502259ad0.jpg

win2003、XP等低版本系統的操作方法請使用下圖的流程給administrators組添加權限。

ce3ae8aa-a5a2-11ec-952b-dac502259ad0.jpg

帶有$符號的賬號特指隱藏賬號(如aaaa$),正常業務中不需要創建隱藏賬號,可判斷帶有$符號的均為后門賬號。然后在客戶運維的協助下排查其他的異常賬號。 如下圖中,除了aaaa$可直接判斷外,root賬號為高度關注對象。(注:aaaa$中的鍵值0x3ea表示該賬號與Users表中相應數值的表相對應,在刪除賬號時需一起刪除)

ce50b95a-a5a2-11ec-952b-dac502259ad0.jpg

注:異常賬號刪除后需要將之前授權的administrator移除SAM權限。 查看administrators組中是否存在賦權異常的賬號。比如正常情況下guest用戶處于禁用狀態、普通應用賬戶(weblogic、apache、mysql)不需要在administrators組中。如下圖,執行命令net user guest查看guest賬號的信息,如果guest賬號被啟用,且在管理員組成員中有guest用戶,需要詢問客戶運維人員該guest賬戶啟用的必要性以及加入管理組是否有必要,否則可認為攻擊者將系統自帶用戶guest啟用并提權至管理員組后作為后門賬號使用。

ce65fc8e-a5a2-11ec-952b-dac502259ad0.jpg

執行net localgroup Administrators關注管理員組別是否存在異常賬號:

ce7707b8-a5a2-11ec-952b-dac502259ad0.jpg

2.1.5自啟動項排查步驟:

使用Autoruns工具查看自啟動項 查看組策略中的腳本 查看注冊表中的腳本、程序等 查看各賬號自啟目錄下的腳本、程序等 查看Windows服務中的可執行文件路徑

分析方法:1、使用Autoruns: 使用工具能較全面地查看系統中的自啟動項。在得到客戶授權,能夠在可能失陷的主機上傳排查工具時,可使用Autoruns工具進行詳細的自啟動項排查。排查中主要關注粉色條目,建議與客戶運維人員一同查看,以及時排除業務所需的正常自啟項。如下圖,在Everything欄中,查看粉色的條目中發現常見的sethc被劫持為cmd,Command Processor鍵值(默認為空)關聯到名為windowsupdate.exe(效果為啟動cmd時,被關聯的程序會靜默運行)。sethc的劫持可確認為入侵痕跡,Command Processor鍵值的關聯程序需要找客戶進一步確認是否業務所需,或將windowsupdate.exe上傳VT檢測。

ce99b57e-a5a2-11ec-952b-dac502259ad0.jpg

另外,這個工具很好用 ,特別小,可以直接上傳文件到VT進行檢測。 2、查看組策略: 在無法使用工具、只能手工排查的情況下,可查看常見的自啟項是否有異常文件。打開gpedit.msc—計算機配置/用戶配置—Windows設置—腳本,在此處可設置服務器啟動/關機或者用戶登錄/注銷時執行的腳本。下圖1、2兩處的腳本均需要查看是否添加有腳本。

ceb3dd00-a5a2-11ec-952b-dac502259ad0.jpg

我這里沒有腳本。2.1.6日志工程師基本都會看日志,windows日志也就那些內容,比較簡單,我就不細述,主要寫一下幾個比較重要的點,基本上就可以排查出是否有異常登錄了。排查步驟:

查看登錄日志中暴力破解痕跡; 查看賬號管理日志中賬號的新增、修改痕跡; 查看遠程桌面登錄日志中的登錄痕跡。

三、總結一下

技能都是需要動手的,然后思路需要清晰,操作要細致,跟客戶要保持溝通,切記不能悶著擅自操作! 作者:白衣不再少年,文章來源:FreeBuf

-End-

審核編輯 :李倩

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • WINDOWS
    +關注

    關注

    3

    文章

    3545

    瀏覽量

    88707
  • 程序
    +關注

    關注

    117

    文章

    3787

    瀏覽量

    81050

原文標題:Windows主機入侵痕跡排查辦法

文章出處:【微信號:AndroidPush,微信公眾號:Android編程精選】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    使用TAS5630B做PBTL輸出,調試無輸出怎么解決?

    一個功放板,使用TAS5630B做PBTL輸出,目前調試無輸出。SD,OTW引腳均輸出高電平,沒有報錯。但是空載情況下測試outA,B,C,D引腳無輸出,沒有方波振蕩波形。而測試輸入信號input A ,B引腳能測試到輸入信號。 請問這可能是哪里出現問題?有什么排查辦法
    發表于 10-25 07:36

    局域網入侵

    填入你入侵主機IP。 3.使用"DameWare迷你中文版 4.5",安裝后點"DameWare Mini Remote Control",在"幫助
    發表于 07-01 14:58

    IPC$漏洞入侵

    Process Connection的縮寫,IPC$是共享"命名管道"的資源,它對于程序間的通信很重要。在遠程管理和查看計算機的共享資源時使用。利用IPC$入侵者可以與目標主機建立一個空
    發表于 07-01 15:02

    分布式入侵檢測系統的設計

    基于部件的入侵檢測系統,具有良好的分布性能和可擴展性。它將網絡和主機入侵檢測系統有機地結合在一起,提供了集成化的檢測、報告和響應功能。關 鍵 詞 入侵檢測; 通用模型; 模式匹配;
    發表于 03-10 09:55

    【assingle原創】試論網絡入侵、攻擊與防范技術

    主機設置在監聽模式下從網上截獲各種信息。 網絡監聽需要進入到目標主機所在的局域網內部,選擇一臺主機實施,監聽效果最好的地方是在網關、路由器、防火墻上,能捕獲更多的信息。2防范網絡入侵
    發表于 02-26 16:56

    聯動防火墻的主機入侵檢測系統的研究

    聯動防火墻的主機入侵檢測系統可以實時監測主機的各種狀態,辨別可能發生的入侵行為或非法操作,在入侵行為發生時聯動防火墻進行自動阻斷和報警,實時
    發表于 06-17 10:14 ?14次下載

    查看Windows 2003系統日志的簡單辦法

    查看Windows 2003系統日志的簡單辦法 Windows日志文件記錄著Windows系統運行的每一個細節,它對Windows的穩定運
    發表于 01-29 11:52 ?461次閱讀

    Magic Mouse在windows7下的滾輪驅動解決辦法

    Magic Mouse在windows7下的滾輪驅動解決辦法 很多麥友可能很垂青Magic Mouse,但是無奈Magic Mouse只能在Mac系統下工作,而在windows下無法實
    發表于 01-30 13:33 ?2.8w次閱讀

    基于規則的主機入侵防御系統的研究與實現_黃成榮

    基于規則的主機入侵防御系統的研究與實現_黃成榮
    發表于 03-16 14:59 ?1次下載

    主機windows+ubuntu虛擬機聯網傳輸實例

    主機windows+ubuntu虛擬機 文件傳輸用 主機與虛擬機傳輸文件告別命令行
    的頭像 發表于 07-27 16:12 ?3841次閱讀
    <b class='flag-5'>主機</b><b class='flag-5'>windows</b>+ubuntu虛擬機聯網傳輸實例

    這些示波器故障排查辦法您了解嗎?

    示波器對于很多工程師而言堪比眼睛,工程師每天與示波器相伴的時間甚至超過了與家人相處的時間。下面列舉了示波器在使用過程中可能出現的故障及排查方法。當您遇到這些故障時,請按照相應的步驟進行處理。 1.
    發表于 03-16 15:17 ?4039次閱讀
    這些示波器故障<b class='flag-5'>排查辦法</b>您了解嗎?

    無線通信中如何排查電磁波干擾?

    無線通信中有第三方無線電設備電磁波干擾排查辦法
    發表于 01-05 15:19 ?3238次閱讀
    無線通信中如何<b class='flag-5'>排查</b>電磁波干擾?

    Linux主機排查腳本介紹

    介紹 HScan,本腳本旨在為安全應急響應人員對Linux主機排查,日志分析等提供便利,定制化在主機中執行命令 獲取腳本 git clone?https://github.com/HZzz2
    的頭像 發表于 06-28 09:44 ?559次閱讀
    Linux<b class='flag-5'>主機</b><b class='flag-5'>排查</b>腳本介紹

    FireKylin網絡安全應急響應工具介紹

    FireKylin中文名稱叫:火麒麟,其功能是收集操作系統各項痕跡,支持Windows和Linux痕跡收集。其作用是為分析研判安全事件提供操作系統數據。其目的是讓任何有上機排查經驗和無
    的頭像 發表于 12-12 10:59 ?1121次閱讀
    FireKylin網絡安全應急響應工具介紹

    網絡報警主機AL-9480H周界入侵探測系統的應用解決方案

    隨著社會的不斷發展,安全問題越來越受到人們的關注。在周界安全領域,周界入侵探測系統發揮著至關重要的作用。本文將簡單介紹以維安達斯網絡報警主機AL-9480H為核心的周界入侵探測系統解決方案,包括系統
    的頭像 發表于 05-10 17:56 ?715次閱讀
    網絡報警<b class='flag-5'>主機</b>AL-9480H周界<b class='flag-5'>入侵</b>探測系統的應用解決方案
    主站蜘蛛池模板: 免费 视频| 天天好比| www色视频| 午夜特级毛片| 日本噜噜影院| 午夜影院7cdy| 欧美呜巴又大粗又长| 伊人网网站| 一区二区不卡免费视频| 日本级毛片免费观看| 亚洲香蕉久久| 日本www黄| 国产视频每日更新| 午夜视频免费在线观看| h网站在线看| 亚洲综合啪啪| 国产成人v爽在线免播放观看| 综合天天| 精品视频在线视频| 一区二区三区在线看| 亚洲欧美7777| 免费看一级视频| 999毛片免费观看| 国产破苞合集 magnet| 亚洲综合在线一区| 青草91| www.久色| 亚洲一区二区福利视频| 欧美成人精品| 午夜一区二区免费视频| 日本一区视频在线观看| 久久综合精品视频| 午夜啪| 国产做爰一区二区| 欧美一区二区高清| 日本欧美强乱视频在线| 亚洲free| 精品四虎免费观看国产高清| 天天摸夜夜添夜夜添国产| avtt亚洲一区中文字幕| 女人张开腿让男人桶免费网站|