『杂项』一篇 Windows 应急响应的详细笔记

日期：2023-02-23

作者：pbfochk

介绍：Windows系统的应急响应笔记（一）。

0x00 前言

不同系统的应急响应都有一个通用的方法，在知晓被入侵的攻击类型后，站在攻击者的角度去验证自己的攻击路径猜想，会让应急响应事半功倍。

相关阅读【『杂项』一篇 Linux 应急响应的详细笔记】

0x01 Windows 系统安全排查

1.1 查询特权账号

1.lusrmgr.msc查询系统是否存在多余的特权、隐藏账户。

也可用D盾等查杀工具检测：

2.注册表排查影子账户

regedit进入注册表，找到路径HEKY_LOCAL_MACHINESAMSAMDomainsAccountUser，排查可疑账户。

1.2 检查系统自启动

1.检查系统自启动文件夹

shell:startup直接跳转到自启动文件夹：

2.检查系统启动项

任务管理器-启动

1.3 进程注入排查

进程注入通常不会被杀毒软件发现，此处可以用火绒剑、TCPview、Process monitor等进程监测工具排查，这里以火绒剑为例：

火绒可以查杀未免杀的木马程序，却不可以动态查杀进程注入等木马的存在，所以需要打开火绒剑的进程监控，可以看到被注入的进程会有规律的外连一个地址，且这个规律取决于攻击者设置的回连时间间隔。

可以看到火绒剑监测到PID为5980的系统进程短时间内出现大量的外连请求。

1.4 可疑端口排查

netstat -ano查看系统端口占用情况。

发现可疑外连情况后，使用命令tasklist ｜ findstr "PID"或根据最后一列PID号，从任务管理器中查看本地文件等详细信息。

1.5 木马查杀

使用D盾、河马Webshell查杀等webshell专杀工具查杀，此处以D盾为例。

并根据创建时间等排查恶意脚本内容。

1.6 检查隐藏文件

更改设置，点击组织-文件夹和搜索选项。

可查看隐藏文件：

1.7 日志审计

eventvwr打开系统日志。

Windows大多数版本默认不开启登录失败日志记录，建议手动检查日志审核是否开启，并适当增加日志存储容量与日志记录时间。

控制面板-管理工具-本地安全策略

1.系统日志

系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

系统日志存储位置：

%SystemRoot%System32WinevtLogsSystem.evtx

2.应用程序日志

应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。

应用程序日志存储位置：

%SystemRoot%System32WinevtLogsApplication.evtx

3.安全日志

安全日志记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

安全日志存储位置：

%SystemRoot%System32WinevtLogsSecurity.evtx

开启全部审核后，可以发现进程注入的木马程序在不停发送数据包。

1.8 日志 ID 标识

除了修改设置保留全部审核日志外，还应该知道常用的日志类型所对应的ID号。

这里列举一部分应急响应出现频率较高的ID：

4608 ----- Windows正在启动4609 ----- Windows正在关闭4624 ----- 帐户已成功登录4625 ----- 帐户无法登录4626 ----- 用户/设备声明信息4627 ----- 集团会员信息。4634 ----- 帐户已注销4698 ----- 已创建计划任务4699 ----- 计划任务已删除4700 ----- 已启用计划任务4701 ----- 计划任务已禁用4702 ----- 计划任务已更新4720 ----- 已创建用户帐户4722 ----- 用户帐户已启用4723 ----- 尝试更改帐户的密码4724 ----- 尝试重置帐户密码4725 ----- 用户帐户已被禁用4726 ----- 用户帐户已删除4738 ----- 用户帐户已更改4739 ----- 域策略已更改4740 ----- 用户帐户已被锁定4741 ----- 已创建计算机帐户4742 ----- 计算机帐户已更改4743 ----- 计算机帐户已删除4768 ----- 请求了Kerberos身份验证票证（TGT）4769 ----- 请求了Kerberos服务票证4770 ----- 更新了Kerberos服务票证4771 ----- Kerberos预身份验证失败4772 ----- Kerberos身份验证票证请求失败4773 ----- Kerberos服务票证请求失败4944 ----- Windows防火墙启动时，以下策略处于活动状态4945 ----- Windows防火墙启动时列出了规则4946 ----- 已对Windows防火墙例外列表进行了更改。增加了一条规则4947 ----- 已对Windows防火墙例外列表进行了更改。规则被修改了4948 ----- 已对Windows防火墙例外列表进行了更改。规则已删除4949 ----- Windows防火墙设置已恢复为默认值4950 ----- Windows防火墙设置已更改5024 ----- Windows防火墙服务已成功启动5025 ----- Windows防火墙服务已停止

0x02 总结

本文记录了一些常用的恶意程序脚本的排查方法与应急响应中日志的类型与作用，相关针对Windows日志的一些批量筛选与监测工具将在第二篇文章中统一整理。