Hvv前排查分析浅谈

admin
admin
admin
109443
文章
90
评论
2024年5月30日22:36:02评论5 views字数 2174阅读7分14秒阅读模式

临近HW了,许久没更新,遂出一篇应急响应的文章

0x00、入侵排查

1、账号排查

net user

Hvv前排查分析浅谈

在攻击方视角下的话,windows账户可以分为三种

  1. 正常用户 net user能看到

  2. 隐藏用户 net user看不到,但是在控制面板、lusrmgr.msc 、用户组中能看到(在用户名后面有一个美元$符号)

    net localgroup administrators
  3. 影子用户 只有注册表中能看到

那么windows有哪些自带的用户呢?

  • Administrator (管理员) :这是具有完全控制和访问权限的管理员账户。默认处于禁用状态。
  • DefaultAccount (默认账户) :这是Windows 10中的一个预配置账户,用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。
  • WDAGUtilityAccount:这是Windows Defender Application Guard (WDAG)实用程序账户。WDAG 是一-种安全功能,可在Microsoft Edge浏览器中隔离和保护来自不受信任来源的网站和文件。
  • Guest (访客) :该账户提供了-一个受限制的用户环境,允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下,默认情况下此账户处于禁用状态。

或者选择用D盾来查看可疑的用户也可以

Hvv前排查分析浅谈

2、注册表排查

win+R   regedit

默认SAM打不开,右键选择权限,加一下管理员账户 勾选上即可。

Hvv前排查分析浅谈

这里zhangsan$即为影子用户

Hvv前排查分析浅谈

3、口令排查

  1. 弱口令修改
  2. 第一时间禁掉发现的可以账号和新增账号,使用控制面版中的用户账户工具

Hvv前排查分析浅谈

查看是否有攻击、操作成功的事件ID,如下是其它的可以参考一些常见的事件ID

Hvv前排查分析浅谈

(系统自带的事件查看器才是最好用的工具。自带筛选功能,可以根据事件ID或者事件类型,事件发生的时间范围,等字段来进行筛选并整理日志,返回更加方便查看的结果) 选其中一个事件ID,如图所示。

Hvv前排查分析浅谈

0x01、网络排查

网络信息排查

1、非管理员终端下输入

netstat - -ano
当然你也可以这样netstat -ano | findstr "ESTABLISHED"

Hvv前排查分析浅谈

  • 本地地址:自己开了什么端口,谁可以连我

  • 外部地址:谁在连接我,或者我现在在连接谁

  • x.x.x.x:x 判断该IP是否有潜在危险,可以前往威胁情报平台查询(微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 (threatbook.com))
  • 0.0.0.0:0 没有人连我,同时我也没连别人

查看开放端口以及端口(例如901和903端口为不常见的开放端口,所以可以通过查看它的PID来进一步查询相对应的进程。)的连接情况,防止可疑连接。

比如:tasklist /svc | findstr "6932" #寻找pid=6932对应的程序

Hvv前排查分析浅谈

2、管理员终端下输入

可以看到某个进程具体是由哪个程序进行运行,进而寻找可疑进程

Hvv前排查分析浅谈

3、任务管理器

点击详细信息选项卡,根据pid寻找可疑进程详细信息,其实上面说的当然也可以实现这个。

4、小Tips

有时候**喜欢把木马放在Temp目录里面,因为这个文件夹允许任意文件上传下载并且不太容易引起注意----> C:/Windows/Temp

Hvv前排查分析浅谈

检查思路:因为该文件夹下面是有很高的权限对于登录用户,(写入文件等等),而我们检查的思路就是检查该文件夹下面是不是有异常的文件(exe,dll,sys)等等,或者是特别大的temp文件等。

Hvv前排查分析浅谈

0x02、进程排查(用火绒剑代替任务管理器会好一些,会显示详细信息)

Hvv前排查分析浅谈

Hvv前排查分析浅谈

Hvv前排查分析浅谈

1、重名进程处理方法

可以在任务管理器详细信息或者打开进程文件位置即可发现

2、相似进程名

在系统进程下的相同目录创建相似名字的进程文件

exampleapple.exe   ->    all1e.exe

0x03、注册表排查

注册表(Registry, 繁体中文版Windows操作系统称之为登录档案)是Microsoft Windows中的一一个重要的数据库,用于存储系统和应用程序的设置信息。
  • reg->register 注册表
  • edit ->editor 编辑器

1、用户自启动项

(开机自启动, 很多时候会把病毒文件设置开机自启)

HKEY CURRENT USERsoftwaremicorsoftwindowscurrentversionrunHKEY LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

或者通过msconfig查看启动项,win10系统的启动项转移到任务管理器中查看了

Hvv前排查分析浅谈

0x04、系统相关信息排查

1、计划任务

win+R      -->    taskschd.msc

Hvv前排查分析浅谈

1、服务

win+R      -->    services.msc

Hvv前排查分析浅谈

那么如何查找流氓服务呢

  • 看名字
  • 描述的一般没问题
  • 留意一些你不熟悉、不认识、怀疑的服务
  • system32目录里面的文件一般没问题,里面的文件最好不要删

可疑文件

%UserProfile%Recent

0x05、系统信息补丁查看与更新

Windows系统可以通过系统信息命令systeminfo查看系统的漏洞补丁信息编号,也可以在卸载软件中查看系统补丁和第三方软件的补丁情况。这些补丁可以修复系统漏洞,提升系统安全性。

Hvv前排查分析浅谈

自动化工具

这里推荐火绒剑等

Hvv前排查分析浅谈

原文始发于微信公众号(漏洞之星):Hvv前排查分析浅谈

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月30日22:36:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hvv前排查分析浅谈https://cn-sec.com/archives/2793560.html

发表评论

匿名网友 填写信息