引
言
在项目实施过程中,难免会有些紧急应急情况就是遇到攻击者从入口攻入到整个系统获取了服务器权限,由于很多系统管理员及运维人员缺少安全应急排查手段,这个时候就需要我们安服仔去做排查,这篇文章针对Windows系统排查详细过程。
1. Windows应急响应指导书
1.1 准备工具包
在系统被入侵后,原有系统工具的输出结果都处于不可信状态,需要准备应急响应工具包,存储到可信介质中。建议工具包中包含以下程序:
|
工具名 |
用途 |
来源 |
|
cmd.exe |
Windows命令提示符 |
系统内置 |
|
arp.exe |
系统工具,查看arp表 |
系统内置 |
|
netstat.exe |
系统工具,显示所有监听端口和连接 |
系统内置 |
|
ipconfig.exe |
系统工具,显示IP地址信息 |
系统内置 |
|
nbtstat.exe |
系统工具,显示NETBIOS信息 |
系统内置 |
|
route.exe |
系统工具,显示路由表 |
系统内置 |
|
psloggedon |
显示本地和远程连接的所有用户 |
www.sysinternals.com |
|
psfile |
显示由远程打开的文件 |
www.sysinternals.com |
|
autoruns |
启动项查看工具 |
www.sysinternals.com |
|
sfind |
检测隐藏在NTFS文件流中的文件 |
www.sysinternals.com |
|
ntlast |
显示成功和失败的登陆信息 |
www.foundstone.com |
|
afind |
扫描指定时段访问过的文件 |
www.foundstone.com |
|
nc.exe(netcat) |
网络工具,“瑞士军刀” |
网络 |
|
ast tools loader |
恶意软件检测修复工具 |
www.dswlab.com |
|
IceSword |
rootkit检测工具 |
pjf.blogcn.com |
|
RootKit-Unhooker |
俄罗斯rootkit检测工具 |
rku.nm.ru |
|
Wireshark |
网络监听抓包工具 |
www.wireshark.org |
1.2 数据收集
1.2.1进程信息
进程信息的查看,考虑到可能有rootkit,可以使用ast tools loader 查看,标记为“安全”的项目为经过Windows数字签名的文件,未通过Windows数字签名的文件,需要引起注意。
此外,icesword,rootkit unhooker等工具也能查看隐藏进程。
除了可疑进程外,正常进程中加载的DLL文件也要引起重视,在ast tools loader中选择进程,在下面窗口中即可列出加载的DLL文件。
1.1.1服务信息
系统的服务信息同上,可以使用ast tools loader,icesword等工具查看。
1.1.1启动项信息
系统开机启动的程序推荐使用autoruns查看,着重检查没有经过签名和描述信息的项目。
1.1.1端口信息
ast tools loader除了能查看系统开放端口和关联进程外,还可以检测隐藏端口,在端口列表窗口中点右键,选择检测隐藏端口
此外,icesword也可以查看一些rootkit隐藏的端口
1.1.1帐户信息
点击开始菜单—运行—输入compmgmt.msc,进入计算机管理,选择“系统工具”—“本地用户和组”,即可查看计算机上所有帐户信息。
在命令提示符下输入net user用户名 可以查看指定用户信息。
除了正常的账户外,系统还有可能存在克隆账户,可以使用LP_Check.exe查看
1.1.1文件系统信息
使用dir命令可以列出所有文件的目录清单,记录文件的大小,访问时间(a),修改时间(w)及创建时间(c)。
|
命令 |
含义 |
|
dir /t:a /a /s /o:d c: |
显示C盘上所有访问时间的递归式目录清单 |
|
dir /t:w /a /s /o:d c: |
显示C盘上所有修改时间的递归式目录清单 |
|
dir /t:c /a /s /o:d c: |
显示C盘上所有创建时间的递归式目录清单 |
在应急响应过程中,我们可以根据入侵发生的时间段,搜索出可疑的文件。例如:用afind搜索C:windows下2008年1月1日8点至2008年1月2日12点之间访问过的文件。
对于利用NTFS文件流特性隐藏的文件,可以使用sfind或Streams工具查找。
1.1 日志信息
1.1.1系统日志
系统日志文件,它记录着Windows系统及其各种服务运行的每个细节,起着非常重要的作用,默认情况下,Window的系统日志存放在c:windowssystem32config,分别为AppEvent.Evt(应用程序日志),SecEvent.Evt(安全性日志),SysEvent.Evt(系统日志)。我们可以打开系统自带的时间查看器查看。
1.1.1计划任务日志
存放在c:windowsSchedLgU.Txt,可以使用文本编辑器打开查看。
1.1.2浏览器日志
历史记录存放在:C:Documents and Settings用户名Local SettingsHistory
临时文件存放在:C:Documents and Settings用户名Local SettingsTemporary Internet Files
Cookie文件存放在:C:Documents and Settings用户名CookiesIndex.dat文件存放在:(记录着曾经访问过的网站)C:Documents and Settings用户名Cookiesindex.dat
1.1.3IIS日志
IIS日志存放在c:windowssystem32logfilesW3SVCxexYYMMDD.log,可以使用文本编辑器打开查看。
1.1.4网络日志
大多数网络通信会在通过的路径上留下审核的踪迹,例如:路由器,防火墙,IDS的日志。可以帮助我们定位问题,查找问题原因。
1.1 数据分析
1.1.1系统日志分析
1.1.1.1 应用程序日志
应用程序日志记录由应用程序记录的事件。例如,数据库应用程序可能会将文件错误记录在应用程序日志中。
1.1.1.1 安全日志
安全日志记录着安全性事件,例如,对系统的登录尝试可能记录在安全日志中,安全日志记录的信息取决于审核策略的条目。我们可以在开始—运行—输入gpedit.msc,进入组策略编辑器修改策略。
下面是一些安全事件ID,未列出的请登陆Microsoft网站查询。
|
ID |
说明 |
ID |
说明 |
|
516 |
某些审核事件记录被丢弃 |
608 |
权限策略改变 |
|
517 |
审核日志被清除 |
610 |
新的信任域 |
|
528 |
登陆成功 |
612 |
审核策略改变 |
|
529 |
登陆失败 |
624 |
添加新帐户 |
|
531 |
登陆失败,被锁定 |
626 |
启用用户帐户 |
|
538 |
成功注销 |
630 |
用户帐户删除 |
|
576 |
权限分配和使用 |
636 |
账户组改变 |
|
578 |
特许服务使用 |
642 |
用户帐户改变 |
|
595 |
间接对象访问 |
643 |
域策略改变 |
1.1.1.1 系统日志
系统日志记录由 Windows 系统组件记录的事件。例如,启动时驱动程序或其他系统组件加载失败,该信息将记录在系统日志中。我们可以通过一些特定的日志来判断入侵者的行为。
1.通过Event服务的开启/关闭可以判断出系统启动和关闭的时间。
2.查看一些服务的开启/关闭过程。
3.查看网络断开,连接的过程。
4.补丁安装的时间。
1.1.1浏览器日志分析
浏览器的历史信息可以用Index.DAT File Viewer查看,得到某时段对网络访问的地址记录。
1.1.1 IIS日志分析
格式为:访问时间,服务器IP,方法,访问,目标,客户端IP,客户端系统返回状态,页面,端口和浏览器信息。
注意:IIS日志记录的时间是格林威治标准时间,北京处于东八区,格林威治时间比北京时间晚8小时。
1.1.1.1 信息收集
以下是CGI扫描器扫描的IIS日志信息
2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../.././winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
2019-01-22 16:30:29 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64
1.1.1.2 SQL注入
以下是入侵者尝试SQL注入的IIS日志信息
2006-01-15 16:49:39 192.168.1.5 GET /news/news.asp id=4%20and%20user>0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]将_nvarchar_值_'dbo'_转换为数据类型为_int_的列时发生语法错误。 80 - 192.168.1.18
1.1.1.3 网页木马
以下是入侵者使用网页木马操作的IIS日志信息
2019-01-22 17:16:58 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2019-01-22 17:17:00 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2019-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2019-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2019-01-22 17:17:03 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2019-01-22 17:17:03 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2019-01-22 17:17:06 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
1.1.1.4 缓冲区溢出
以下是入侵者进行缓冲区溢出的日志
2003-12-16 05:51:38 192.168.0.235 - 192.168.0.87 80 LOCK
/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
1.1.2 可疑文件分析
上述步骤中得到的可疑文件,可以拷贝到笔记本上使用杀毒软件进行扫描,杀毒软件无法检测的,可以上传到VirusTotal (多引擎扫描)http://www.virustotal.com/zh-cn/进行扫描,或者上报反病毒厂商。附:各反病毒厂商的病毒数据库
PANDA Encyclopedia
http://www.pandasecurity.com/homeusers/security-info/?sitepanda=particulares
Threat Explorer
http://www.symantec.com/norton/security_response/threatexplorer/index.jsp
Labs Threat Library
http://vil.nai.com/vil/default.aspx
Virus Encyclopedia Search
http://www.trendmicro.com/vinfo/virusencyclo/default.asp
往期精选
围观
丨更多
热文
丨更多
·end·
—如果喜欢,快分享给你的朋友们吧—
我们一起愉快的玩耍吧
原文始发于微信公众号(Rot5pider安全团队):网络安全应急响应详细步骤指南(Windows)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论