应急响应流程
Windows系统的应急响应是指在发生安全事件或者怀疑系统遭受攻击时,采取的快速响应和处置措施,以最大限度地减少损失并恢复系统的安全性和可用性。以下是一般情况下的Windows应急响应详细步骤:
1. 确认安全事件
监控系统日志: 检查Windows事件日志(Event Viewer),寻找异常事件、错误消息或警告,特别关注安全事件、登录异常等。
2. 切断系统与网络连接
物理隔离: 如果发现安全威胁,立即考虑物理隔离系统,断开与网络的连接,防止攻击扩散或数据泄露。
3. 收集证据和分析
镜像磁盘: 制作系统的磁盘镜像,以便后续离线分析和取证,确保原始数据不被篡改。
4. 隔离受影响系统
隔离系统: 将受影响的系统从生产环境隔离,防止继续影响其他系统或网络。
5. 安全漏洞修复和系统清理
修补漏洞: 安装系统和应用程序的最新补丁和安全更新,修复已知的安全漏洞。
6. 恢复系统和监控
系统恢复: 在清理和修复后,恢复系统的正常运行状态,并确保所有必要的服务和应用程序正常工作。
7. 事后总结和改进
事件总结: 对安全事件进行总结和溯源,了解攻击的方式和入侵路径,制定改进措施。
在进行应急响应时,最重要的是快速反应、有效隔离和详细记录,以确保最小化损失和快速恢复系统的安全状态。
Windows基础应急命令
一、系统排查
1.系统详细信息
systeminfo 命令行查看系统信息
msinfo32 图形化显示系统信息
2. 网络连接
netstat 显示网络连接、路由表和网络接口信息
nststat -ano 显示所有连接数字格式显示地址和端口号显示建立连接的进程pid
PID显示的状态
在应急响应中对ESTABLISHED状态的网络进行重点排查非常重要
1). 持久性连接:ESTABLISHED连接通常是持久性的,数据可以在两个端点之间自由传输。这种连接可能会被恶意软件或攻击者利用来持续地传输数据、执行命令或者窃取信息。
2). C&C通道:恶意软件常常使用ESTABLISHED连接作为命令和控制(C&C)通道,使得攻击者可以远程控制受感染系统,执行各种攻击活动。
3). 数据泄露:正常情况下,ESTABLISHED连接用于合法的数据传输。但是,如果系统遭到入侵或者恶意软件感染,这些连接可能用于非授权的数据泄露,如窃取敏感信息、文件传输等。
4). 横向扩展:攻击者可以利用已建立的ESTABLISHED连接从一个受感染的主机向其他内部系统横向扩展攻击,从而扩大其攻击面。
ESTABLISHED 状态表示连接已经成功建立并且正在活跃地传输数据。
根据PID定位进程 重点关注 ESTABLISHED pid
netstat 查看网络连接;tasklist 查看进程;taskkill 停止进程;findstr 查找;联动
先查看网络进程
看到有ESTABLISHED查看进程因为tasklist会查看所有的进程太多了所以要加个过滤PID4316
如果是可疑的后门就可以用taskkill直接命令结束,如果不是可以tasklist查看所有在进行的程序,是否有可疑的文件
快速定位端口的进程
nststat -anb 显示所有连接以数字显示地址和端口号显示每个连接的端口对应程序
3. 进程排查
打开任务管理器查看进程
快捷键:ctrl+shift+esc
选择程序右击打开文件位置,用来找可疑文件位置
4. 账号排查
1). query user 查看当前用户
2). net user 查看当前计算机的所有用户
如果账号后面有$号命令行是查不到的,属于是隐藏用户了,但是可以在注册表里面和资源管理器里面看用户文件
3). 账号克隆
创建隐藏用户并将其权限(F值)修改为与管理员相同的做法,可能导致严重的安全漏洞。这种操作可能使未经授权的用户获得管理员权限,并可能被用作系统的后门。如果发现这样的用户,请仔细检查其权限设置,确保不与管理员账号相同。
wmic useraccount get name,Sid 显示用户的sid(两个账号的 SID相同,则存在克隆账号)
5. 系统自启动执行后门
系统中的启动目录
|
msconfig 系统配置
6. 计划任务
taskschd.msc 计划任务
7. 组策略
gpedit.msc 打开组策略
二、日志排查
1. Windows系统日志分析
主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。
Windows安全事件最常用的事件ID:
事件查看器
定期审查安全事件日志,特别关注事件ID 4720,可以帮助及时发现未经授权的账户删除操作,从而有效防范可能存在的安全风险
我的没有创建用户所以是空白的
通过筛选事件ID 4625,发现如果有大量的登录失败记录,这可能表明系统正在遭受暴力破解的尝试
2. web日志分析
使用不同的中间件或服务,Web应用的日志位置和格式可能会有所不同,可以通过搜索引擎查找来获取具体的信息。这些日志可以帮助分析攻击者的访问时间、使用的IP地址以及他们尝试访问的具体网页或功能。
1). Nginx
访问日志记录了所有请求到达 Nginx 并得到响应的详细信息,包括客户端 IP 地址、请求时间、请求方法、请求的 URL、响应状态码等。在Nginx 的配置文件中,通常通过 access_log 指令指定访问日志的路径和格式。
默认路径:logs/access.log
访问日志记录了所有到达 Apache 服务器并得到响应的请求详细信息,包括客户端 IP 地址、请求时间、请求方法、请求的URL、响应状态码等。在 Apache 的配置文件中,通过 CustomLog 指令指定访问日志的路径和格式
默认路径:logs/access.log
2. 查看临时目录
Windows临时目录在安全应急响应中用于分析和检测潜在的恶意文件和活动
%tmp% 查看当前用户的临时文件夹内容。
四、病毒程序分析(我自己喜欢用的两个)
1. webshell
D盾(iis):https://www.d99net.net/
2. 木马病毒
微步在线云沙箱:https://s.threatbook.com/
原文始发于微信公众号(网络安全与取证研究):应急响应 - Windows基础篇
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论