应急响应 - Windows基础篇

admin 2024年12月4日22:21:57评论30 views字数 2766阅读9分13秒阅读模式

应急响应流程

应急响应 - Windows基础篇

Windows系统的应急响应是指在发生安全事件或者怀疑系统遭受攻击时,采取的快速响应和处置措施,以最大限度地减少损失并恢复系统的安全性和可用性。以下是一般情况下的Windows应急响应详细步骤:

1. 确认安全事件

监控系统日志: 检查Windows事件日志(Event Viewer),寻找异常事件、错误消息或警告,特别关注安全事件、登录异常等。

2. 切断系统与网络连接

物理隔离: 如果发现安全威胁,立即考虑物理隔离系统,断开与网络的连接,防止攻击扩散或数据泄露。

3. 收集证据和分析

镜像磁盘: 制作系统的磁盘镜像,以便后续离线分析和取证,确保原始数据不被篡改。

4. 隔离受影响系统

隔离系统: 将受影响的系统从生产环境隔离,防止继续影响其他系统或网络。

5. 安全漏洞修复和系统清理

修补漏洞: 安装系统和应用程序的最新补丁和安全更新,修复已知的安全漏洞。

6. 恢复系统和监控

系统恢复: 在清理和修复后,恢复系统的正常运行状态,并确保所有必要的服务和应用程序正常工作。

7. 事后总结和改进

事件总结: 对安全事件进行总结和溯源,了解攻击的方式和入侵路径,制定改进措施。

在进行应急响应时,最重要的是快速反应、有效隔离和详细记录,以确保最小化损失和快速恢复系统的安全状态。

Windows基础应急命令

一、系统排查

1.系统详细信息

systeminfo 命令行查看系统信息

应急响应 - Windows基础篇

msinfo32 图形化显示系统信息

应急响应 - Windows基础篇

2. 网络连接

netstat 显示网络连接、路由表和网络接口信息

应急响应 - Windows基础篇

nststat -ano 显示所有连接数字格式显示地址和端口号显示建立连接的进程pid

应急响应 - Windows基础篇

PID显示的状态

应急响应 - Windows基础篇

在应急响应中对ESTABLISHED状态的网络进行重点排查非常重要

1). 持久性连接:ESTABLISHED连接通常是持久性的,数据可以在两个端点之间自由传输。这种连接可能会被恶意软件或攻击者利用来持续地传输数据、执行命令或者窃取信息。

2). C&C通道:恶意软件常常使用ESTABLISHED连接作为命令和控制(C&C)通道,使得攻击者可以远程控制受感染系统,执行各种攻击活动。

3). 数据泄露:正常情况下,ESTABLISHED连接用于合法的数据传输。但是,如果系统遭到入侵或者恶意软件感染,这些连接可能用于非授权的数据泄露,如窃取敏感信息、文件传输等。

4). 横向扩展:攻击者可以利用已建立的ESTABLISHED连接从一个受感染的主机向其他内部系统横向扩展攻击,从而扩大其攻击面。

ESTABLISHED 状态表示连接已经成功建立并且正在活跃地传输数据。

根据PID定位进程 重点关注 ESTABLISHED pid

netstat 查看网络连接;tasklist  查看进程;taskkill  停止进程;findstr 查找;联动

先查看网络进程

应急响应 - Windows基础篇

看到有ESTABLISHED查看进程因为tasklist会查看所有的进程太多了所以要加个过滤PID4316

应急响应 - Windows基础篇

如果是可疑的后门就可以用taskkill直接命令结束,如果不是可以tasklist查看所有在进行的程序,是否有可疑的文件

应急响应 - Windows基础篇

快速定位端口的进程

nststat -anb 显示所有连接以数字显示地址和端口号显示每个连接的端口对应程序

应急响应 - Windows基础篇

3. 进程排查

打开任务管理器查看进程

快捷键:ctrl+shift+esc

应急响应 - Windows基础篇

选择程序右击打开文件位置,用来找可疑文件位置

应急响应 - Windows基础篇

4. 账号排查

1). query user 查看当前用户

应急响应 - Windows基础篇

2). net user 查看当前计算机的所有用户

应急响应 - Windows基础篇

如果账号后面有$号命令行是查不到的,属于是隐藏用户了,但是可以在注册表里面和资源管理器里面看用户文件

应急响应 - Windows基础篇

3). 账号克隆

创建隐藏用户并将其权限(F值)修改为与管理员相同的做法,可能导致严重的安全漏洞。这种操作可能使未经授权的用户获得管理员权限,并可能被用作系统的后门。如果发现这样的用户,请仔细检查其权限设置,确保不与管理员账号相同。

wmic useraccount get name,Sid 显示用户的sid(两个账号的 SID相同,则存在克隆账号)

应急响应 - Windows基础篇

5. 系统自启动执行后门

系统中的启动目录

C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 开机自启动位置
或者 运行 - shell:startup
应急响应 - Windows基础篇
应急响应 - Windows基础篇

msconfig 系统配置

应急响应 - Windows基础篇
应急响应 - Windows基础篇

6. 计划任务

taskschd.msc 计划任务

应急响应 - Windows基础篇
应急响应 - Windows基础篇

7. 组策略

gpedit.msc 打开组策略

应急响应 - Windows基础篇
应急响应 - Windows基础篇

二、日志排查

1. Windows系统日志分析

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

应急响应 - Windows基础篇
应急响应 - Windows基础篇

Windows安全事件最常用的事件ID:

应急响应 - Windows基础篇
事件查看器
应急响应 - Windows基础篇
应急响应 - Windows基础篇

定期审查安全事件日志,特别关注事件ID 4720,可以帮助及时发现未经授权的账户删除操作,从而有效防范可能存在的安全风险

应急响应 - Windows基础篇

我的没有创建用户所以是空白的

应急响应 - Windows基础篇

通过筛选事件ID 4625,发现如果有大量的登录失败记录,这可能表明系统正在遭受暴力破解的尝试

应急响应 - Windows基础篇

2. web日志分析

使用不同的中间件或服务,Web应用的日志位置和格式可能会有所不同,可以通过搜索引擎查找来获取具体的信息。这些日志可以帮助分析攻击者的访问时间、使用的IP地址以及他们尝试访问的具体网页或功能。

1). Nginx

访问日志记录了所有请求到达 Nginx 并得到响应的详细信息,包括客户端 IP 地址、请求时间、请求方法、请求的 URL、响应状态码等。在Nginx 的配置文件中,通常通过 access_log 指令指定访问日志的路径和格式。

默认路径:logs/access.log

应急响应 - Windows基础篇
应急响应 - Windows基础篇
2). Apache

访问日志记录了所有到达 Apache 服务器并得到响应的请求详细信息,包括客户端 IP 地址、请求时间、请求方法、请求的URL、响应状态码等。在 Apache 的配置文件中,通过 CustomLog 指令指定访问日志的路径和格式

默认路径:logs/access.log

应急响应 - Windows基础篇
应急响应 - Windows基础篇
后面还有FTP,MySQL,Tomcat等等我就不一一说了大概都是这样的逻辑,遇到了一眼就能找到的
三、文件排查
1.查看用户最近使用过的文件
检查用户最近打开过的文件,并对可能可疑的文件进行详细分析。如果发现可疑文件,将其上传到病毒库平台进行进一步分析
%UserProfile%Recent 访问当前用户的“最近使用的文件”目录。
应急响应 - Windows基础篇
应急响应 - Windows基础篇

2. 查看临时目录

Windows临时目录在安全应急响应中用于分析和检测潜在的恶意文件和活动

%tmp% 查看当前用户的临时文件夹内容。

应急响应 - Windows基础篇
应急响应 - Windows基础篇

四、病毒程序分析(我自己喜欢用的两个)

1. webshell

D盾(iis):https://www.d99net.net/

2. 木马病毒

微步在线云沙箱:https://s.threatbook.com/

原文始发于微信公众号(网络安全与取证研究):应急响应 - Windows基础篇

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月4日22:21:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应 - Windows基础篇https://cn-sec.com/archives/3464933.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息