Windows的进程排查比较复杂,所以放在前面来先讲。
正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率):
图片内容不重要,重要的是那么多进程,如何排查出可疑进程呢?下图是我开了冰蝎随便执行几个命令后的进程截图,这个工具是Process Explorer,推荐大家看看,windows查进程很方便。我环境出了点问题,本来想拿c2套个壳来调用别的进程进行隐藏的,但逻辑差不多,可以看到
配合cmd命令 :
tasklist /m
分析dll调用,排查免杀、dll劫持这种情况,主体的一个逻辑就是查看是否有可疑文件调用了windows敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考:
C:Windowssystem.ini
C:windowssystem32driversetchosts
C:boot.ini //查看系统版本
C:WindowsSystem32inetsrvMetaBase.xml //IIS配置文件
C:Windowsrepairsam //存储系统初次安装的密码
C:Program Filesmysqlmy.ini //Mysql配置
C:Program Filesmysqldatamysqluser.MYD //Mysql root
C:Windowsphp.ini //php配置信息
C:Windowsmy.ini //Mysql配置信息
-
端口排查
端口是通信的一环,排查进程绕不开端口排查,直接netstat:
netstat -ano | findstr EST
命令的意思是查询端口并匹配出正在使用中的端口,截图因为这是up的个人电脑,端口乱点很正常,但是正经来说服务器端口一定是经过整理、收束,不会随便开来使用,通过监测异常开放的端口和异常连接的端口就可以分析出是否存在反弹shell(这个后面一篇讲Linux会讲到)、木马外联等,这里也附上常见木马使用端口:
https://blog.csdn.net/netuser1937/article/details/53609608?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171747152216800225583680%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=171747152216800225583680&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-53609608-null-null.142^v100^pc_search_result_base5&utm_term=%E5%B8%B8%E8%A7%81%E6%9C%A8%E9%A9%AC%E7%AB%AF%E5%8F%A3&spm=1018.2226.3001.4187
大家自行前往。
-
挖矿病毒排查
单独把挖矿放出来讲是因为up见的实在太多了,之前做狗网管(安全运维管理)的时候,经常在后台爆出xxx领导中了挖矿病毒,全是去网上下载盗版软件、小说,乱点不明广告网页的时候中的招,这类特别好排查,因为挖矿病毒显著的特征就是启用时会使机器高负载运行,极其占用资源,很容易就被态感或者其他安全设备捕获到流量,屡见不鲜,所以遇到占用高的不明进程优先排查挖矿。
其次由于挖矿的需求,攻击者多为大范围撒播挖矿木马,对外联ip进行威胁情报查询时看tag一看一个准的,时至今日很小概率会有人突然拿出一台清清白白的服务器进行挖矿,太低智了;又由于是大范围攻击,用的手段可能是比较偏向钓鱼、引诱等,中招的大部分是自己不小心,真打进了再中上挖矿木马的也一定有别的痕迹,排查难度中等吧。
总结:
以上路数主要从免杀角度去分析攻击者伪装,事实上到了内网渗透下马子这个环节市面上百分之90以上的红队不可能做得到毫无痕迹,不可能隐藏得完全和系统融为一体,意义上不大,拿了分不就行了哪有那么多完美主义,而那些游离于规则外的小毛贼更不可能了,小打小闹还免杀呢,真正有实力的大师傅咱也分析不起,啃下这99%的情况就好。附上window白进程供各位师傅参考:
actmovie.exe |
dap.exe |
agentsvr.exe |
DavCData.exe |
ASPNET_WP.exe |
dcfssvc.exe |
AcctMgr.exe |
ddcman.exe |
acrobat.exe |
defwatch.exe |
acrord32.exe |
delayrun.exe |
AcroTray.exe |
devenv.exe |
ACSd.exe |
devldr.exe |
ADGJDET.exe |
Dwm.exe |
AdobeUpdateManager.exe |
explorer.exe |
ADService.exe |
EnergyCut-EnergyCut.exe |
ADService.exe |
fast.exe |
agent.exe |
grpconv.exe |
agrsmmsg.exe |
grovel.exe |
AgtServ.exe |
hidserv.exe |
aim.exe |
iexplore.exe |
aim95.exe |
imapi.exe |
alogserv.exe |
inetinfo.exe |
anvshell.exe |
internat.exe |
AOLacsd.exe |
kernel32.exe |
AOLDial.exe |
launch32.exe |
aom.exe |
loadwc.exe |
apntex.exe |
Locator.exe |
asfagent.exe |
logonui.exe |
ashWebSv.exe |
lsass.exe |
astart.exe |
mad.exe |
ati2evxx.exe |
mapisp32.exe |
ATIevxx.exe |
msdtc.exe |
ATIPtaxx.exe |
msiexec.exe |
Atrack.exe |
msoobe.exe |
aupdate.exe |
mstask.exe |
autochk.exe |
mprexe.exe |
avconsol.exe |
msconfig.exe |
AVENGINE.EXE |
msgsrv32.exe |
avgserv.exe |
MSMMsg.exe |
avgw.exe |
mstinit.exe |
avpcc.exe |
mmc.exe |
avsynmgr.exe |
mmtask.tsk |
btwdins.exe |
System |
backweb-137903 |
ndisuio.sys |
backweb-8876480 |
netdde.exe |
bacstray.exe |
ntoskrnl.exe |
blackd.ex |
ntvdm.exe |
bpcpost.exe |
pchschd.exe |
BRMFRSMG.EXE |
pstores.exe |
brss01a.exe |
rasautou.exe |
bttnserv.exe |
rdpclip.exe |
ccmexec.exe |
regsvc.exe |
cidaemon.exe |
regsvr32.exe |
clisvcl.exe |
rnaapp.exe |
cmd.exe |
rpcss.exe |
Control.exe |
rsvp.exe |
csrss.exe |
rundll.exe |
conime.exe |
rundll32.exe |
ctfmon.exe |
runonce.exe |
ca.exe |
RegCertTool.exe |
calc.exe |
sapisvr.exe |
carpserv.exe |
savedump.exe |
CCAP.EXE |
scanregw.exe |
ccapp.exe |
scardsvr.exe |
ccevtmgr.exe |
services.exe |
ccproxy.exe |
smss.exe |
ccpxysvc.exe |
snmp.exe |
ccregvfy.exe |
spoolss.exe |
cdac11ba.exe |
spoolsv.exe |
cdantsrv.exe |
srvany.exe |
cfd.exe |
svchost.exe |
cfgwiz.exe |
systray.exe |
cftmon.exe |
tapisrv.exe |
charmap.exe |
taskmgr.exe |
cleanup.exe |
tlntsvr.exe |
cli.exe |
tcpsvcs.exe |
cmanager.exe |
Userinit.exe |
cmmpu.exe |
WinLogon.exe |
Companion.exe |
WMIADAP.EXE |
comsmd.exe |
Wmiexe.exe |
cpd.exe |
wmiprvse.exe |
crypserv.exe |
wscntfy.exe |
cthelper.exe |
wuaclt.exe |
ctnotify.exe |
WUAUBoot.exe |
ctsvccda.exe |
Wuauclt.exe |
cvpnd.exe |
wuaudt.exe |
ddhelp.exe |
WUCrtUpd.exe |
dfssvc.exe |
1xconfig.exe |
dllhost.exe |
3dm2.exe |
dos4gw.exe |
|
dotnetfx.exe |
|
dumprep.exe |
|
dadapp.exe |
|
dadtray.exe |
|
damon.exe |
原文始发于微信公众号(一己之见安全团队):应急响应篇——Windows进程排查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论