WINDOWS-还原攻击路径
溯源的概念
通过对受害者资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,根据已有的线索(IP、id追踪等)反查攻击者身份或是组织
溯源分析的意义
-
为警民联动奠定基础
-
对攻击者造成威慑
-
提升安全实战化防护水平
溯源的应用场景
蓝队 护网攻防演练蓝队
监控组 研判组 处置组 溯源组 反制组 负责实时汇报监控平台的告警 负责实施研究判断监控组反馈的告警是否为误报 负责应急处置研判组反馈的真实告警事件 负责溯源攻击者告警事件已经攻击者相关信息 负责反制钓鱼邮件网站或者通过社工的方法反制
溯源应用的场景(溯源需要溯源的信息)姓名(ID)
攻击IP
地理位置
QQ
IP地址所属公司
IP地址关联域名
邮箱
手机号
微信/微博/src/id证明
人物照片
跳板机
关联攻击事件
HW蓝队加分项
| 描述 | 加分规则 |
|---|---|
| 完整还原攻击链条,溯源到黑客的虚拟身份、真实身份,溯源到攻击队员,反控攻击方主机,根据程度阶梯给分 | 描述详细/思路清晰,提交确凿证据报告,根据溯源攻击者虚拟身份、真实身份的程度,500-3000分,反控攻击方主机,再增加500分/次 |
应急溯源
服务器受到黑客的攻击,需要进行攻击事件的溯源
-
信息收集
-
漏洞扫描
-
渗透测试
-
提权
-
后渗透
-
持续控制
Windows排查
日志分析
| 日志 | 日志分类 |
|---|---|
| 日志记录一个服务或应用程序在运行过程中所发生的事件 | WEB日志、系统日志 |
| 日志分析 | 存放路径 |
|---|---|
| WEB日志 | Windows默认路径:在安装目录的log文件夹下 |
| apache日志、nginx日志、IIS日志 | access_log和error_log |
| tomcat日志 | catalina.out、localhost、manager、**localhost_access_log |
WEB日志分析工具:
https://tilipa.zlsam.com/#/tool?id=199&name=%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90%E5%B7%A5%E5%85%B7背景:真实环境日志条数会很多,并且很多重复的日志,所以需要用脚本挥或着工具去做过滤
Windows系统日志
Windows系统日志包含系统日志、安全日志、应用日志等
敏感事件id:4624 登录成功4625 登录失败4720 创建用户4634 注销成功4647 用户启动的注销4672 使用超级用户/管理员用户进行登录
系统日志分析工具-Log Parser
LogParser安装:大家可以在微软官网下载、安装。安装过程很简单,一步到位。下载链接:http://www.microsoft.com/en-us/download/details.aspx?id=24659
LogParser使用方法:
LogParser使用过程其实很简单,格式如下:
LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”工具使用参考文章(本工具使用文章非本公众号原创):
https://blog.csdn.net/weixin_41073877/article/details/112917207
Log Parser分析日志命令
(一)查询登录成功的事件
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM D:Security.evtx where EventID=4624"指定登录时间范围的事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM D:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"(二)提取登录成功的用户名和IP
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM D:Security.evtx where EventID=4624"(三)查询登录失败的事件
登录失败的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM D:lock.evtx where EventID=4625"提取登录失败用户名进行聚合统计
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Strings,13,'|') as EventType,EXTRACT_TOKEN(Strings,19,'|') as user,count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,39,'|') as Loginip FROM D:lock.evtx where EventID=4625 GROUP BY Strings"(四)系统历史开关机记录
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"(五)查询哪些账号登陆失败的原因
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Strings,5,'|') as User ,EXTRACT_TOKEN(Strings,19,'|') as LoginIp,EXTRACT_TOKEN(Strings,8,'|') as Reason FROM D:lock.evtx where User='test' and EventID=4625 GROUP BY Strings "
常见事件ID
说明1102 清理审计日志4624 账号成功登陆4625 账号登陆失败4768 kerberos身份认证(TGT请求)4769 kerberos服务票证请求4776 NTLM身份验证4672 授予特殊权限4720 创建用户4726 删除用户4728 将成员添加到启用安全的全局组中4729 将成员从安全的全局组中移除4732 将成员添加到启用安全的本地组中4733 将成员从安全的本地组中移除4756 将成员添加到启用安全的通用组中4757 将成员从安全的通用组中移除4719 系统审计策略修改
文件排查
文件排查思路
各个盘下的temp相关目录%temp%(一般路径都统一)
开机启动文件(启动菜单、注册表等,一般木马都会绑定在这)
浏览器的历史记录
Recent文件(最近运行的快捷方式)
攻击日期内新增的文件
forfiles /m *.exe /d 2022/10/2 /s /c "cmd / echo @path @fdate @ftime"使用工具D盾、HwsKill、WebshellKill等(可能木马会有免杀,所以可以用多个杀软尝试)
临时文件排查
%temp% 临时文件,通过在线病毒检测平台进行检测
recent 查看近期文件(通过时间、大小等信息判断,确定时间后可以去分析对应时间段日志)
攻击日期内新增的文件
cmd命令:
forfiles /m *.exe /d 2022/10/2 /s /c "cmd / echo @path @fdate @ftime"eg:
forfiles /m *.exe /d 2022/11/7 /s /c "cmd / echo @path @fdate @ftime"具体使用:(工具为Windows内置)https://blog.csdn.net/Ruishine/article/details/122432324
进程排查(流程及命令)
查看端口得到PID
netstat -nao | findstr 端口根据PID查看进程对应的程序
tasklist /V | findstr PIDwmic process list brief | findstr PID
得到程序全路径名
wmic process where processid=PID get prosessid,executablepath,name杀掉进程
taskkill /PID 3876 /Fwmic process where name="mysqld.exe" deletewmic process where processsid=3876 call terminate
进程中如何去找到后门木马?
可以关闭正常的联网程序后,通过排查网络连接程序减小排查范围,因为一般后门木马都是远控,需要进行连接
cmd命令查看网络连接:
tasklist //查看所有进程netstat -a //查看网络连接进程程序netstat -ano //增加-ano参数可查看进程对应PID
基于windows的进程排查工具(GUI)
Process Explorer
下载地址:
https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer#download新增、隐藏账号排查
-
通过命令:
net user查看 -
通过“计算机管理”查看
lusrmge.msc -
通过windows安全日志进行排查 eventvwr
-
通过查看注册表文件排查 regedit
-
通过Windows管理工具排查
-
cmd命令:
wmic useraccount get name,SID
注册表排查
HKEY_CLASSES_ROOT (HKCR) //HKEY_CURRENT_USER (HKCU) //登录用户的配置信息HKEY_LOCAL_MACHINE (HKLM) //操作系统等硬件信息HKEY_USERS (HKU) //所有用户配置的配置信息、可视化的信息
隐藏账号、用户:
regedit
启动项在SAM目录下,但是因为权限不足会没有显示SAM下级目录
赋予SAM权限
点击编辑>权限
SYSTEM完全控制
启动项(自启动):
路径1:计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun路径2:计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce路径3:计算机HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
计划任务:
cmd命令: schtasks.exe
Windows排查工具整合:
病毒分析:PCHunter:http://www.xuetr.com火绒剑:https://www.huorong.cn微步云沙箱:https://s.threatbook.comProcess Explorer:https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer#downloadProcesshacker:https://processhacker.sourceforge.io/downloads.php病毒查杀:卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe大蜘蛛:http://ferr.drweb.ru/download+cureit+free
END
原文始发于微信公众号(朱厌安全团队):WINDOWS-还原攻击路径
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论