网络安全应急响应详细步骤指南(Windows)

admin 2023年2月16日11:19:15评论86 views字数 5228阅读17分25秒阅读模式
网络安全应急响应详细步骤指南(Windows)
点击上方蓝字  关注安全知识

网络安全应急响应详细步骤指南(Windows)

在项目实施过程中,难免会有些紧急应急情况就是遇到攻击者从入口攻入到整个系统获取了服务器权限,由于很多系统管理员及运维人员缺少安全应急排查手段,这个时候就需要我们安服仔去做排查,这篇文章针对Windows系统排查详细过程。


1. Windows应急响应指导书

1.1 准备工具包

在系统被入侵后,原有系统工具的输出结果都处于不可信状态,需要准备应急响应工具包,存储到可信介质中。建议工具包中包含以下程序:

工具名

用途

来源

cmd.exe

Windows命令提示符

系统内置

arp.exe

系统工具,查看arp

系统内置

netstat.exe

系统工具,显示所有监听端口和连接

系统内置

ipconfig.exe

系统工具,显示IP地址信息

系统内置

nbtstat.exe

系统工具,显示NETBIOS信息

系统内置

route.exe

系统工具,显示路由表

系统内置

psloggedon

显示本地和远程连接的所有用户

www.sysinternals.com

psfile

显示由远程打开的文件

www.sysinternals.com

autoruns

启动项查看工具

www.sysinternals.com

sfind

检测隐藏在NTFS文件流中的文件

www.sysinternals.com

ntlast

显示成功和失败的登陆信息

www.foundstone.com

afind

扫描指定时段访问过的文件

www.foundstone.com

nc.exe(netcat)

网络工具“瑞士军刀”

网络

ast tools loader

恶意软件检测修复工具

www.dswlab.com

IceSword

rootkit检测工具

pjf.blogcn.com

RootKit-Unhooker

俄罗斯rootkit检测工具

rku.nm.ru

Wireshark

网络监听抓包工具

www.wireshark.org

1.2 数据收集

1.2.1进程信息

进程信息的查看,考虑到可能有rootkit,可以使用ast tools loader 查看,标记为“安全”的项目为经过Windows数字签名的文件,未通过Windows数字签名的文件,需要引起注意。

 

网络安全应急响应详细步骤指南(Windows)


此外,iceswordrootkit unhooker等工具也能查看隐藏进程。


网络安全应急响应详细步骤指南(Windows)

除了可疑进程外,正常进程中加载的DLL文件也要引起重视,在ast tools loader中选择进程,在下面窗口中即可列出加载的DLL文件。

网络安全应急响应详细步骤指南(Windows)

1.1.1服务信息

系统的服务信息同上,可以使用ast tools loadericesword等工具查看。

网络安全应急响应详细步骤指南(Windows)

1.1.1启动项信息

系统开机启动的程序推荐使用autoruns查看,着重检查没有经过签名和描述信息的项目。

网络安全应急响应详细步骤指南(Windows)

1.1.1端口信息

ast tools loader除了能查看系统开放端口和关联进程外,还可以检测隐藏端口,在端口列表窗口中点右键,选择检测隐藏端口

网络安全应急响应详细步骤指南(Windows)

此外,icesword也可以查看一些rootkit隐藏的端口

网络安全应急响应详细步骤指南(Windows)

1.1.1帐户信息

点击开始菜单—运行—输入compmgmt.msc,进入计算机管理,选择“系统工具”—“本地用户和组”,即可查看计算机上所有帐户信息。

在命令提示符下输入net user用户名 可以查看指定用户信息。

除了正常的账户外,系统还有可能存在克隆账户,可以使用LP_Check.exe查看

网络安全应急响应详细步骤指南(Windows)

1.1.1文件系统信息

使用dir命令可以列出所有文件的目录清单,记录文件的大小,访问时间(a),修改时间(w)及创建时间(c)。

命令

含义

dir /t:a /a /s /o:d c:

显示C盘上所有访问时间的递归式目录清单

dir /t:w /a /s /o:d c:

显示C盘上所有修改时间的递归式目录清单

dir /t:c /a /s /o:d c:

显示C盘上所有创建时间的递归式目录清单

在应急响应过程中,我们可以根据入侵发生的时间段,搜索出可疑的文件。例如:用afind搜索C:windows2008118点至20081212点之间访问过的文件。

网络安全应急响应详细步骤指南(Windows)

对于利用NTFS文件流特性隐藏的文件,可以使用sfindStreams工具查找。


网络安全应急响应详细步骤指南(Windows)

1.1 日志信息

1.1.1系统日志

系统日志文件,它记录着Windows系统及其各种服务运行的每个细节,起着非常重要的作用,默认情况下,Window的系统日志存放在c:windowssystem32config,分别为AppEvent.Evt(应用程序日志),SecEvent.Evt(安全性日志),SysEvent.Evt(系统日志)。我们可以打开系统自带的时间查看器查看。

网络安全应急响应详细步骤指南(Windows)

1.1.1计划任务日志

存放在c:windowsSchedLgU.Txt,可以使用文本编辑器打开查看。

1.1.2浏览器日志

历史记录存放在:C:Documents and Settings用户名Local SettingsHistory

临时文件存放在:C:Documents and Settings用户名Local SettingsTemporary Internet Files

Cookie文件存放在:C:Documents and Settings用户名CookiesIndex.dat文件存放在:(记录着曾经访问过的网站)C:Documents and Settings用户名Cookiesindex.dat

1.1.3IIS日志

IIS日志存放在c:windowssystem32logfilesW3SVCxexYYMMDD.log,可以使用文本编辑器打开查看。

1.1.4网络日志

大多数网络通信会在通过的路径上留下审核的踪迹,例如:路由器,防火墙,IDS的日志。可以帮助我们定位问题,查找问题原因。

1.1 数据分析

1.1.1系统日志分析

1.1.1.1 应用程序日志

应用程序日志记录由应用程序记录的事件。例如,数据库应用程序可能会将文件错误记录在应用程序日志中。

网络安全应急响应详细步骤指南(Windows)

1.1.1.1 安全日志

安全日志记录安全性事件,例如,对系统的登录尝试可能记录在安全日志中,安全日志记录的信息取决于审核策略的条目。我们可以在开始—运行—输入gpedit.msc,进入组策略编辑器修改策略。

网络安全应急响应详细步骤指南(Windows)

下面是一些安全事件ID,未列出的请登陆Microsoft网站查询。


ID

说明

ID

说明

516

某些审核事件记录被丢弃

608

权限策略改变

517

审核日志被清除

610

新的信任域

528

登陆成功

612

审核策略改变

529

登陆失败

624

添加新帐户

531

登陆失败,被锁定

626

启用用户帐户

538

成功注销

630

用户帐户删除

576

权限分配和使用

636

账户组改变

578

特许服务使用

642

用户帐户改变

595

间接对象访问

643

域策略改变

网络安全应急响应详细步骤指南(Windows)

1.1.1.1 系统日志

系统日志记录由 Windows 系统组件记录的事件。例如,启动时驱动程序或其他系统组件加载失败,该信息将记录在系统日志中。我们可以通过一些特定的日志来判断入侵者的行为。

1.通过Event服务的开启/关闭可以判断出系统启动和关闭的时间。

2.查看一些服务的开启/关闭过程。

3.查看网络断开,连接的过程。

4.补丁安装的时间。

网络安全应急响应详细步骤指南(Windows)

网络安全应急响应详细步骤指南(Windows)

1.1.1浏览器日志分析

浏览器的历史信息可以用Index.DAT File Viewer查看,得到某时段对网络访问的地址记录。

网络安全应急响应详细步骤指南(Windows)

1.1.1 IIS日志分析

格式为:访问时间,服务器IP,方法,访问,目标,客户端IP,客户端系统返回状态,页面,端口和浏览器信息。

注意:IIS日志记录的时间是格林威治标准时间,北京处于东八区,格林威治时间比北京时间晚8小时。

1.1.1.1 信息收集

以下是CGI扫描器扫描的IIS日志信息

2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64

2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64

2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../.././winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64

2019-01-22 16:30:28 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64

2019-01-22 16:30:29 192.168.111.1 HEAD /scripts/../../../../../../winnt/system32/cmd.exe /c+dir 80 - 192.168.111.2 - 404 0 64

1.1.1.2 SQL注入

以下是入侵者尝试SQL注入的IIS日志信息

2006-01-15 16:49:39 192.168.1.5 GET /news/news.asp id=4%20and%20user>0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]_nvarchar__'dbo'_转换为数据类型为_int_的列时发生语法错误。 80 - 192.168.1.18

1.1.1.3 网页木马

以下是入侵者使用网页木马操作的IIS日志信息

2019-01-22 17:16:58 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2019-01-22 17:17:00 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2019-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2019-01-22 17:17:00 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2
2019-01-22 17:17:03 192.168.111.1 POST /dbm6.asp - 80 - 192.168.111.2
2019-01-22 17:17:03 192.168.111.1 GET /dbm6.asp Action=MainMenu 80 - 192.168.111.2
2019-01-22 17:17:06 192.168.111.1 GET /dbm6.asp Action=ShowFile 80 - 192.168.111.2

1.1.1.4 缓冲区溢出

以下是入侵者进行缓冲区溢出的日志

2003-12-16 05:51:38 192.168.0.235 - 192.168.0.87 80 LOCK
/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

1.1.2 可疑文件分析

上述步骤中得到的可疑文件,可以拷贝到笔记本上使用杀毒软件进行扫描,杀毒软件无法检测的,可以上传到VirusTotal (多引擎扫描)http://www.virustotal.com/zh-cn/进行扫描,或者上报反病毒厂商。附:各反病毒厂商的病毒数据库

PANDA Encyclopedia

http://www.pandasecurity.com/homeusers/security-info/?sitepanda=particulares

Threat Explorer

http://www.symantec.com/norton/security_response/threatexplorer/index.jsp

Labs Threat Library

http://vil.nai.com/vil/default.aspx

Virus Encyclopedia Search

http://www.trendmicro.com/vinfo/virusencyclo/default.asp




往期精选



围观

PHP代码审计学习

丨更多

热文

浅谈应急响应

丨更多

·end·

—如果喜欢,快分享给你的朋友们吧—

我们一起愉快的玩耍吧





原文始发于微信公众号(Rot5pider安全团队):网络安全应急响应详细步骤指南(Windows)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月16日11:19:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全应急响应详细步骤指南(Windows)https://cn-sec.com/archives/1555294.html

发表评论

匿名网友 填写信息