九维团队-青队（处置）| 记一次模拟应急

应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。应急响应是信息安全防护的最后一道防线，能尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。

• 确认事件情况：勒索病毒、网页挂马、内网横向等；

• 熟悉客户网络架构；

• 确认客户是否有安全设备；

• 确认是否已出现横向渗透情况；

• 确认操作系统版本、中间件Tomcat/Weblogic/iis/Nginx/Apache等、CMS使用情况、后台地址等信息；

• 确认数据库、rdp、管理端口是否公网开放；

• 确认系统被攻击后运维人员是否对系统进行操作，如未对系统进行操作可对系统进行快照处理；

• 切断服务器与内网其它系统通讯；

• 确定系统时间（有时服务器系统时间与真实时间不符）。

最近打开文件

运行-recent：

查看隐藏帐号：

1、咨询运维人员是否存在弱口令。

2、查询数据库应用系统是否存在弱口令。

3、计算机管理-本地用户和组-用户查看是否存在隐藏帐号。

克隆帐号：

创建隐藏账户-运行-regedit-进入HEKY_LOCAL_MACHINESAMSAM(首次进入需设置完全控制权限)-000001F4为超级管理员权限-复制F内容。

进入Names找到刚刚创建的隐藏帐号，查看类型为0x3ec确定Users中000003EC为隐藏帐号。

将000001F4-F内容复制到000003EC-F中，导出000003EC、隐藏账户admin1$注册表。

删除隐藏账户：

此时计算机管理-本地用户和组、net user都无法找到克隆帐号。

应急方法：

查找HEKY_LOCAL_MACHINESAMSAM中是否有与000001F4-F值相同的帐号，或查看HEKY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames中是否有隐藏账户标识。

系统日志

事件ID      说明1102      清除审计日志4624      帐号成功登陆4625      帐号登陆失败4768      已请求Kerberos身份验证票证（TGT）4771      Kerberos预身份验证失败4772      Kerberos身份验证票证请求失败4776      已请求Kerberos服务票证4776      域控制器尝试验证账户的凭据4698      创建计划任务4699      删除计划任务4700      已启用计划任务4701      计划任务被禁用4788      创建新进程4702      更新计划任务4720      创建用户4726      删除用户4672      分配给新登陆的特殊权限

*左右滑动查看更多

应重点关注4624、4625、4720、4726、4700、1102等日志。

事件查看器-Windows日志-安全-查看是否有敏感用户在异常时间登陆。

可从常规处查看登陆用户、登陆IP地址等信息。

事件查看器-Windows日志-安全-查看是否在异常时间创建用户。

暴力破解

事件查看器-Windows日志-安全-查看是否有短时间内批量4625事件id账户登陆失败情况。

组策略脚本维持

运行-gpedit.msc-计算机配置-Windows设置-脚本(启动/关机)-启动-添加启动exe即可。

应急方法：运行-gpedit.msc-计算机配置-Windows设置-脚本(启动/关机)-启动内容是否存在异常exe。

异常端口、进程链接

终端 netstat-ano ，定位ESTABLISHED：

运行-msinfo32-软件环境-正在运行任务-重点关注exe开始运行时间。

结合D盾进程查看模块关注无公司信息、说明的进程：

定位exe后丢到VirusTotal分析可疑文件：

https://www.virustotal.com/gui/file/c852fbad33d9d0c29ea4fa0194ce13c51ae1bf5dcef29030decc0735fef6f289/detection

*左右滑动查看更多

计划任务、服务自启动

使用 TCPView 工具查看网络连接，重点关注红色部分。

注：

红色表示该条目对应的应用没有数字签名、签名不匹配或者没有发行商信息（可疑程序一般都是粉色）。
黄色表示该启动条目对应的文件已经不存在了（可疑程序也可能是黄色）。
绿色表示与之前保存的启动项配置比较，对比出来的差异将以绿色高亮进行显示。

运行-服务-查看启动类型为自动的服务，观看可执行文件路径是否异常。

运行-计划任务程序-计划任务程序库-查看可疑任务，在操作处可查看具体执行程序。

Webshell查杀

Webshell定位

dir /b /s /od *.jsp  //按最新更改顺序定位jsp文件

Windows常见Webshell隐藏维持方法

Attrib +s +a +h +r [文件名] //这样操作后Windows打开隐藏文件选项也看不到隐藏文件

dir也无法找到隐藏文件:

Web页却可访问该shell:

Attrib指令用于修改文件的属性。文件的常见属性有：只读、存档、隐藏和系统.

Attrib常见格式及参数ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]+ 设置属性。- 清除属性。R 只读文件属性。A 存档文件属性。S 系统文件属性。H 隐藏文件属性。I 无内容索引文件属性。[drive:][path][filename]指定要处理的文件属性。/S 处理当前文件夹及其子文件夹中的匹配文件。/D 处理文件夹。/L 处理符号链接和符号链接目标的属性。

 *左右滑动查看更多

应急查找方法

方法一：

D盾扫描应用系统文件，缺点shell免杀此方法无效。

方法二：

attrib命令批量处理文件夹显示：

attrib D:* -s -h -a -r /s /d  //D:为要显示盘符

3.1 GetInfo

快速搜集windows相关信息。

https://github.com/ra66itmachine/GetInfo

*左右滑动查看更多

3.2 D盾

D盾防火墙专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下，越少的功能，服务器越安全的理念而设计！限制了常见的入侵方法，让服务器更安全。

https://www.d99net.net/

3.3 Process Hacker

ProcessHacker是一款针对高级用户的安全分析工具，它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外，它还可以检测恶意进程，并告知我们这些恶意进程想要实现的功能。

https://processhacker.sourceforge.io/downloads.php

*左右滑动查看更多

3.4 河马

webshell查杀。拥有海量webshell样本和自主查杀技术，采用传统特征+深度检测+机器学习+云端大数据多引擎检测技术。查杀精度高、误报低。

https://www.shellpub.com