本文大部分都来自下面这个链接,里面写的很详细,我也只是跟着敲一下
https://www.saulgoodman.cn/2020/07/03/penetrationtest-blue-1/检查系统账号安全
攻击者面对windows系统会先从用户密码入手,首先是通过rdp服务对Administrator、Guest等默认账户的口令爆破,如果爆破没结果的话会固定密码,对用户账号进行爆破,再之后加入还是失败的话就是社工生成账号、密码字典,运气好那么就可以直接登录到管理员账号。在拿到系统权限后,权限维持则是必不可少的一步,创造一个新的管理账号方便后期登录查看就是一个不错的方法,当然为了增加隐蔽性该账号可以是影子账户。
根据这几方面,检查看系统账号时可以重点关注弱口令、可疑账号、影子账户。
排查服务器弱口令
检查方法
自己来进行测试,或者直接问管理员呗,使用super弱口令或者hydra
排查可以账号,新增账号
检查方法
1、打开cmd窗口,输入 lusrmgr.msc2、查看是否存在可疑账号,特别是管理员群组(Administrators)中的新增账号,如果存在需要立即删除或禁用
排查隐藏账号
一
打开注册表,查看管理员对应键值1、win+R,输入 regedit,打开注册表编辑器2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口3、选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定并关闭注册表编辑器4、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users5、在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户
二
通过D盾web查杀工具进行检测,其中集成了对克隆账号、隐藏账号检测的功能结合日志分析用户是否正常
一
1、win+R,输入 eventvwr.msc 命令2、打开时间查看器,分析用户登录日志
二
通过LogFusion查看日志记录Log Parser具体用法:https://www.cnblogs.com/pythonal/p/10127795.html
检查异常端口进程
在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。
排查可疑端口
检查方法1:
1、使用netstat命令查看当前网络连接netstat -ano2、根据PID编号通过tasklist对进程进行定位tasklist | findstr "PID"
检查方法2:
通过D盾web查杀工具进行端口查看排查可疑进程
检查方法1:
1、win+R,输入 msinfo32 命令2、依次点击 “软件环境 – 正在运行任务” 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等
检查方法2:
打开D盾_web查杀工具的进程查看,关注没有签名信息的进程检查方法3:
通过微软官方提供的 Process Explorer 等工具进行排查在查看可疑的进程及其子进程。可以重点观察以下内容
1、没有签名验证信息的进程2、没有描述信息的进程3、进程的属主4、进程的路径是否合法5、CPU 或内存资源占用长时间过高的进程
检查启动项,计划任务,服务
检查启动项
检查方法1:
单击 开始>所有程序>启动,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。检查方法2:
win+R,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
检查方法3:
win+R,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionrunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
检查方法4:
利用安全软件查看启动项、开机时间管理等。检查方法5:
win+R 输入 gpedit.msc 查看组策略
排查计划任务
检查方法1:
1、win+R 输入 control 打开控制面板2、在 系统与安全 中查看计划任务属性,便可以发现木马文件的路径。
检查方法2:
win+R),输入 cmd 打开命令行窗口2、检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接,其中计划任务在windows7及之前版本的操作系统中使用at命令进行调用,在从server 2016 下执行 schschtaskswindows 7 下执行 at
检查方法3:
利用安全软件查看计划任务。排查服务自启动
1、win+R 输入 services.msc2、注意服务状态和启动类型,检查是否有异常服务
检查系统相关信息
系统本身如果存在漏洞,那么结果往往是致命的,如果计算机存在永恒之蓝漏洞且未采取防护措施。那么攻击者就能直接通过MSF的漏洞利用程序获取目标windows系统的system权限。与此同时,攻击者在进入系统后往往也会留一些蛛丝马迹,如未将上传文件清除、浏览器浏览记录未删除、下载的文件未删除等。在检查系统相关信息时就需要重点关注系统本身存在的漏洞以及攻击者使用过的文件。
查看系统版本以及补丁信息
检查方法:
1、win+R 输入 systeminfo2、查看系统信息和补丁状态
查看可疑目录及文件
检查方法1:
查看用户目录,是否存在新建用户目录Window 2003版本 : C:Documents and SettingsWindow 2003以后版本 : C:Users
检查方法2:
1、win+R 输入 %UserProfile%Recent2、分析最近打开的可疑文件
检查方法3:
1、点击文件资源管理器,查找服务器内中的各个文件夹2、将文件夹文件按时间进行排序,查找可疑文件,其中修改时间在创建时间之前的为可疑文件,也可以在搜索中搜索某一时间修改的文件。重点关注windowssystem32的sethc.exe是否被替换为cmd程序
检查方法4:
针对回收站、浏览器下载目录以及历史记录进行排查查看隐藏文件
检查方法1:
点击 查看 后,点击隐藏的项目
检查方法2:
借助fileseek查看文件日志分析
主要查看系统日志和web日志,通过日志可以帮助我们验证对入侵过程的判断和发现其他入侵行为。但它的前提则是日志记录已开启的情况下才能获取。
1、win+R,输入 eventvwr.msc2、找到事件查看器,查看windows日志(包括应用程序、安全、Setup、系统、事件)
web日志
1、找到中间件、应用、WAF的日志(包括但不限于IIS、Nginx、宝塔、网站等)2、打包至本地进行分析,在编辑器中对关键字进行搜索
还有一些tips,之后另发一篇文章来水水文。
---------------------
---------------------
欢迎关注公众号:虚拟尽头
师傅们,聊天框发送"二维码",加我好友一起交流呀(加的时候请备注来自公众号)。
原文始发于微信公众号(虚拟尽头):windows应急响应基础知识学习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论