应急响应篇——Windows进程排查

admin 2024年6月9日00:31:47评论5 views字数 3782阅读12分36秒阅读模式

Windows的进程排查比较复杂,所以放在前面来先讲。

正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率):

应急响应篇——Windows进程排查

图片内容不重要,重要的是那么多进程,如何排查出可疑进程呢?下图是我开了冰蝎随便执行几个命令后的进程截图,这个工具是Process Explorer,推荐大家看看,windows查进程很方便。我环境出了点问题,本来想拿c2套个壳来调用别的进程进行隐藏的,但逻辑差不多,可以看到

应急响应篇——Windows进程排查

配合cmd命令

tasklist /m

应急响应篇——Windows进程排查

应急响应篇——Windows进程排查

分析dll调用,排查免杀、dll劫持这种情况,主体的一个逻辑就是查看是否有可疑文件调用了windows敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考:

C:Windowssystem.ini

C:windowssystem32driversetchosts

C:boot.ini //查看系统版本

C:WindowsSystem32inetsrvMetaBase.xml //IIS配置文件

C:Windowsrepairsam //存储系统初次安装的密码

C:Program Filesmysqlmy.ini //Mysql配置

C:Program Filesmysqldatamysqluser.MYD //Mysql root

C:Windowsphp.ini //php配置信息

C:Windowsmy.ini //Mysql配置信息

  • 端口排查

端口是通信的一环,排查进程绕不开端口排查,直接netstat:

netstat -ano | findstr EST

应急响应篇——Windows进程排查

命令的意思是查询端口并匹配出正在使用中的端口,截图因为这是up的个人电脑,端口乱点很正常,但是正经来说服务器端口一定是经过整理、收束,不会随便开来使用,通过监测异常开放的端口和异常连接的端口就可以分析出是否存在反弹shell(这个后面一篇讲Linux会讲到)、木马外联等,这里也附上常见木马使用端口:

https://blog.csdn.net/netuser1937/article/details/53609608?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171747152216800225583680%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=171747152216800225583680&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-53609608-null-null.142^v100^pc_search_result_base5&utm_term=%E5%B8%B8%E8%A7%81%E6%9C%A8%E9%A9%AC%E7%AB%AF%E5%8F%A3&spm=1018.2226.3001.4187

大家自行前往。

  • 挖矿病毒排查

单独把挖矿放出来讲是因为up见的实在太多了,之前做狗网管(安全运维管理)的时候,经常在后台爆出xxx领导中了挖矿病毒,全是去网上下载盗版软件、小说,乱点不明广告网页的时候中的招,这类特别好排查,因为挖矿病毒显著的特征就是启用时会使机器高负载运行,极其占用资源,很容易就被态感或者其他安全设备捕获到流量,屡见不鲜,所以遇到占用高的不明进程优先排查挖矿。

其次由于挖矿的需求,攻击者多为大范围撒播挖矿木马,对外联ip进行威胁情报查询时看tag一看一个准的,时至今日很小概率会有人突然拿出一台清清白白的服务器进行挖矿,太低智了;又由于是大范围攻击,用的手段可能是比较偏向钓鱼、引诱等,中招的大部分是自己不小心,真打进了再中上挖矿木马的也一定有别的痕迹,排查难度中等吧。

总结:

以上路数主要从免杀角度去分析攻击者伪装,事实上到了内网渗透下马子这个环节市面上百分之90以上的红队不可能做得到毫无痕迹,不可能隐藏得完全和系统融为一体,意义上不大,拿了分不就行了哪有那么多完美主义,而那些游离于规则外的小毛贼更不可能了,小打小闹还免杀呢,真正有实力的大师傅咱也分析不起,啃下这99%的情况就好。附上window白进程供各位师傅参考:

actmovie.exe

dap.exe

agentsvr.exe

DavCData.exe

ASPNET_WP.exe

dcfssvc.exe

AcctMgr.exe

ddcman.exe

acrobat.exe

defwatch.exe

acrord32.exe

delayrun.exe

AcroTray.exe

devenv.exe

ACSd.exe

devldr.exe

ADGJDET.exe

Dwm.exe

AdobeUpdateManager.exe

explorer.exe

ADService.exe

EnergyCut-EnergyCut.exe

ADService.exe

fast.exe

agent.exe

grpconv.exe

agrsmmsg.exe

grovel.exe

AgtServ.exe

hidserv.exe

aim.exe

iexplore.exe

aim95.exe

imapi.exe

alogserv.exe

inetinfo.exe

anvshell.exe

internat.exe

AOLacsd.exe

kernel32.exe

AOLDial.exe

launch32.exe

aom.exe

loadwc.exe

apntex.exe

Locator.exe

asfagent.exe

logonui.exe

ashWebSv.exe

lsass.exe

astart.exe

mad.exe

ati2evxx.exe

mapisp32.exe

ATIevxx.exe

msdtc.exe

ATIPtaxx.exe

msiexec.exe

Atrack.exe

msoobe.exe

aupdate.exe

mstask.exe

autochk.exe

mprexe.exe

avconsol.exe

msconfig.exe

AVENGINE.EXE

msgsrv32.exe

avgserv.exe

MSMMsg.exe

avgw.exe

mstinit.exe

avpcc.exe

mmc.exe

avsynmgr.exe

mmtask.tsk

btwdins.exe

System

backweb-137903

ndisuio.sys

backweb-8876480

netdde.exe

bacstray.exe

ntoskrnl.exe

blackd.ex

ntvdm.exe

bpcpost.exe

pchschd.exe

BRMFRSMG.EXE

pstores.exe

brss01a.exe

rasautou.exe

bttnserv.exe

rdpclip.exe

ccmexec.exe

regsvc.exe

cidaemon.exe

regsvr32.exe

clisvcl.exe

rnaapp.exe

cmd.exe

rpcss.exe

Control.exe

rsvp.exe

csrss.exe

rundll.exe

conime.exe

rundll32.exe

ctfmon.exe

runonce.exe

ca.exe

RegCertTool.exe

calc.exe

sapisvr.exe

carpserv.exe

savedump.exe

CCAP.EXE

scanregw.exe

ccapp.exe

scardsvr.exe

ccevtmgr.exe

services.exe

ccproxy.exe

smss.exe

ccpxysvc.exe

snmp.exe

ccregvfy.exe

spoolss.exe

cdac11ba.exe

spoolsv.exe

cdantsrv.exe

srvany.exe

cfd.exe

svchost.exe

cfgwiz.exe

systray.exe

cftmon.exe

tapisrv.exe

charmap.exe

taskmgr.exe

cleanup.exe

tlntsvr.exe

cli.exe

tcpsvcs.exe

cmanager.exe

Userinit.exe

cmmpu.exe

WinLogon.exe

Companion.exe

WMIADAP.EXE

comsmd.exe

Wmiexe.exe

cpd.exe

wmiprvse.exe

crypserv.exe

wscntfy.exe

cthelper.exe

wuaclt.exe

ctnotify.exe

WUAUBoot.exe

ctsvccda.exe

Wuauclt.exe

cvpnd.exe

wuaudt.exe

ddhelp.exe

WUCrtUpd.exe

dfssvc.exe

1xconfig.exe

dllhost.exe

3dm2.exe

dos4gw.exe

dotnetfx.exe

dumprep.exe

dadapp.exe

dadtray.exe

damon.exe

原文始发于微信公众号(一己之见安全团队):应急响应篇——Windows进程排查

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月9日00:31:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应篇——Windows进程排查https://cn-sec.com/archives/2813829.html

发表评论

匿名网友 填写信息