Windows 應急流程及實戰演練

來自：信安之路（微訊號：xazlsec）

本文作者：bypass（信安之路作者團隊成員 & 個人公眾號 bypass）

當企業發生駭客入侵、系統崩潰或其它影響業務正常執行的安全事件時，急需第一時間進行處理，使企業的網路資訊系統在最短時間內恢復正常工作，進一步查詢入侵來源，還原入侵事故過程，同時給出解決方案與防範措施，為企業輓回或減少經濟損失。  

常見的應急響應事件分類：

web 入侵：網頁掛馬、主頁篡改、Webshell

系統入侵：病毒木馬、勒索軟體、遠控後門

網路攻擊：DDOS 攻擊、DNS 劫持、ARP 欺騙

針對常見的攻擊事件，結合工作中應急響應事件分析和解決的方法，總結了一些 Window 伺服器入侵排查的思路。

0x01 入侵排查思路

一、檢查系統賬號安全

1、檢視伺服器是否有弱口令，遠端管理埠是否對公網開放。

檢查方法：

據實際情況諮詢相關伺服器管理員。

2、檢視伺服器是否存在可疑賬號、新增賬號。

檢查方法：

開啟 cmd 視窗，輸入lusrmgr.msc命令，檢視是否有新增/可疑的賬號，如有管理員群組的（Administrators）裡的新增賬戶，如有，請立即禁用或刪除掉。

3、檢視伺服器是否存在隱藏賬號、克隆賬號。

檢查方法：

a、開啟登錄檔 ，檢視管理員對應鍵值。

b、使用 D 盾 _web 查殺工具，集成了對克隆賬號檢測的功能。

4、結合日誌，檢視管理員登入時間、使用者名稱是否存在異常。

檢查方法：

a、Win+R 開啟執行，輸入“eventvwr.msc”，回車執行，開啟“事件檢視器”。

b、匯出 Windows 日誌–安全，利用 Log Parser 進行分析。

二、檢查異常埠、行程

1、檢查埠連線情況，是否有遠端連線、可疑連線。

檢查方法：

a、netstat -ano 檢視目前的網路連線，定位可疑的 ESTABLISHED

b、根據 netstat 定位出的 pid，再透過 tasklist 命令進行行程定位 tasklist  | findstr “PID”

2、行程

檢查方法：

a、開始–執行–輸入 msinfo32，依次點選“軟體環境→正在執行任務”就可以檢視到行程的詳細資訊，比如行程路徑、行程 ID、檔案建立日期、啟動時間等。

b、開啟 D 盾 _web 查殺工具，行程檢視，關註沒有簽名資訊的行程。

c、透過微軟官方提供的 Process Explorer 等工具進行排查 。

d、檢視可疑的行程及其子行程。可以透過觀察以下內容：

沒有簽名驗證資訊的行程

沒有描述資訊的行程

行程的屬主

行程的路徑是否合法

CPU 或記憶體資源佔用長時間過高的行程

3、小技巧：

a、檢視埠對應的 PID： netstat -ano | findstr “port”

b、檢視行程對應的 PID：任務管理器–檢視–選擇列–PID 或者 tasklist  | findstr “PID”

c、檢視行程對應的程式位置：

任務管理器–選擇對應行程–右鍵開啟檔案位置

執行輸入 wmic，cmd介面 輸入  process

d、tasklist /svc   行程– PID –服務

e、檢視 Windows 服務所對應的埠：

%system%/system32/drivers/etc/services（一般 %system%就是 C:Windows）

三、檢查啟動項、計劃任務、服務

1、檢查伺服器是否有異常的啟動項。

檢查方法：

a、登入伺服器，單擊【開始】>【所有程式】>【啟動】，預設情況下此目錄在是一個空目錄，確認是否有非業務程式在該目錄下。

b、單擊開始選單 >【執行】，輸入 msconfig，檢視是否存在命名異常的啟動專案，是則取消勾選命名異常的啟動專案，併到命令中顯示的路徑刪除檔案。

c、單擊【開始】>【執行】，輸入 regedit，開啟登錄檔，檢視開機啟動項是否正常，特別註意如下三個登錄檔項：

HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion
un

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

檢查右側是否有啟動異常的專案，如有請刪除，並建議安裝防毒軟體進行病毒查殺，清除殘留病毒或木馬。

d、利用安全軟體檢視啟動項、開機時間管理等。

e、組策略，執行 gpedit.msc。

2、檢查計劃任務

檢查方法：

a、單擊【開始】>【設定】>【控制面板】>【任務計劃】，檢視計劃任務屬性，便可以發現木馬檔案的路徑。

b、單擊【開始】>【執行】；輸入 cmd，然後輸入at，檢查計算機與網路上的其它計算機之間的會話或計劃任務，如有，則確認是否為正常連線。

3、服務自啟動

檢查方法：

單擊【開始】>【執行】，輸入 services.msc，註意服務狀態和啟動型別，檢查是否有異常服務。

四、檢查系統相關資訊

1、檢視系統版本以及補丁資訊

檢查方法：

單擊【開始】>【執行】，輸入 systeminfo，檢視系統資訊

2、查詢可疑目錄及檔案

檢查方法：

a、 檢視使用者目錄，新建賬號會在這個目錄生成一個使用者目錄，檢視是否有新建使用者目錄。

Window 2003 :

C:Documents and Settings

Window 2008R2 :

C:Users

b、單擊【開始】>【執行】，輸入 %UserProfile%Recent，分析最近開啟分析可疑檔案。

c、在伺服器各個目錄，可根據檔案夾內檔案串列時間進行排序，查詢可疑檔案。

五、自動化查殺

病毒查殺

檢查方法：

下載安全軟體，更新最新病毒庫，進行全盤掃描。

webshell 查殺

檢查方法：

選擇具體站點路徑進行 webshell 查殺，建議使用兩款 webshell 查殺工具同時查殺，可相互補充規則庫的不足。

六、日誌分析

系統日誌

分析方法：

a、前提：開啟審核策略，若日後系統出現故障、安全事故則可以檢視系統的日誌檔案，排除故障，追查入侵者的資訊等。

b、Win+R 開啟執行，輸入“eventvwr.msc”，回車執行，開啟“事件檢視器”。

C、匯出應用程式日誌、安全日誌、系統日誌，利用 Log Parser 進行分析。

WEB 訪問日誌

分析方法：

a、找到中介軟體的 web 日誌，打包到本地方便進行分析。

b、推薦工具：

Window 下，推薦用 EmEditor 進行日誌分析，支援大文字，搜尋效率還不錯。

Linux 下，使用 Shell 命令組合查詢分析

0x02 工具篇

病毒分析 ：

PCHunter：

http://www.xuetr.com

火絨劍：

https://www.huorong.cn

Process Explorer：

https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：

https://processhacker.sourceforge.io/downloads.php

autoruns：

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：

https://www.bleepingcomputer.com/download/otl/

病毒查殺：

卡巴斯基（推薦理由：綠色版、最新病毒庫）：

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe  

大蜘蛛（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）：

http://free.drweb.ru/download+cureit+free

火絨安全軟體：

https://www.huorong.cn

360防毒：

http://sd.360.cn/download_center.html

病毒動態：

CVERC-國家計算機病毒應急處理中心：

http://www.cverc.org.cn

微步線上威脅情報社群：

https://x.threatbook.cn

火絨安全論壇：

http://bbs.huorong.cn/forum-59-1.html

愛毒霸社群：

http://bbs.duba.net

騰訊電腦管家：

http://bbs.guanjia.qq.com/forum-2-1.html

線上病毒掃描網站：

多引擎線上病毒掃描網 v1.02，當前支援 41 款防毒引擎:

http://www.virscan.org        

騰訊哈勃分析系統:

https://habo.qq.com          

Jotti 惡意軟體掃描系統:

https://virusscan.jotti.org      

針對計算機病毒、手機病毒、可疑檔案等進行檢測分析:

http://www.scanvir.com        

webshell 查殺：

D盾_Web查殺：

http://www.d99net.net/index.asp

河馬 webshell 查殺：

http://www.shellpub.com

深信服 Webshell 網站後門檢測工具：

http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：

http://www.uusec.com/webshell.zip

0x03 應急響應實戰之 FTP 暴力破解

FTP 是一個檔案傳輸協議，使用者透過 FTP 可從客戶機程式向遠端主機上傳或下載檔案，常用於網站程式碼維護、日常原始碼備份等。如果攻擊者透過 FTP 匿名訪問或者弱口令獲取FTP許可權，可直接上傳 webshell，進一步滲透提權，直至控制整個網站伺服器。

應急場景

從昨天開始，網站響應速度變得緩慢，網站伺服器登入上去非常卡，重啟伺服器就能保證一段時間的正常訪問，網站響應狀態時而飛快時而緩慢，多數時間是緩慢的。針對網站伺服器異常，系統日誌和網站日誌，是我們排查處理的重點。檢視 Window 安全日誌，發現大量的登入失敗記錄：

日誌分析

安全日誌分析：

安全日誌記錄著事件審計資訊，包括使用者驗證（登入、遠端訪問等）和特定使用者在認證後對系統做了什麼。

開啟安全日誌，在右邊點選篩選當前日誌， 在事件 ID 填入 4625，查詢到事件 ID4625，事件數 177007，從這個資料可以看出，伺服器正則遭受暴力破解：

進一步使用 Log Parser 對日誌提取資料分析，發現攻擊者使用了大量的使用者名稱進行爆破，例如使用者名稱：fxxx，共計進行了 17826 次口令嘗試，攻擊者基於“fxxx”這樣一個域名資訊，構造了一系列的使用者名稱字典進行有針對性進行爆破，如下圖：

這裡我們留意到登入型別為 8，來瞭解一下登入型別8是什麼意思呢？

登入型別 8：網路明文（NetworkCleartext）  

這種登入表明這是一個像型別3一樣的網路登入，但是這種登入的密碼在網路上是透過明文傳輸的，WindowsServer 服務是不允許透過明文驗證連線到共享檔案夾或印表機的，據我所知只有當從一個使用 Advapi 的 ASP 指令碼登入或者一個使用者使用基本驗證方式登入IIS才會是這種登入型別。“登入過程”欄都將列出 Advapi。  

我們推測可能是 FTP 服務，透過檢視埠服務及管理員訪談，確認伺服器確實對公網開放了 FTP 服務。

另外，日誌並未記錄暴力破解的 IP 地址，我們可以使用 Wireshark 對捕獲到的流量進行分析，獲取到正在進行爆破的 IP：

透過對近段時間的管理員登入日誌進行分析，如下：

管理員登入正常，並未發現異常登入時間和異常登入 ip，這裡的登入型別 10，代表遠端管理桌面登入。

另外，透過檢視 FTP 站點，發現只有一個測試檔案，與站點目錄並不在同一個目錄下麵，進一步驗證了 FTP 暴力破解並未成功。

應急處理措施：

1、關閉外網FTP埠對映          

2、刪除本地伺服器FTP測試

處理措施

FTP 暴力破解依然十分普遍，如何保護伺服器不受暴力破解攻擊，總結了幾種措施：

1、禁止使用FTP傳輸檔案，若必須開放應限定管理IP地址並加強口令安全審計（口令長度不低於8位，由數字、大小寫字母、特殊字元等至少兩種以上組合構成）。

2、更改伺服器 FTP 預設埠。

3、部署入侵檢測裝置，增強安全防護。

0x04 應急響應實戰之蠕蟲病毒

蠕蟲病毒是一種十分古老的計算機病毒，它是一種自包含的程式（或是一套程式），通常透過網路途徑傳播，每入侵到一臺新的計算機，它就在這臺計算機上複製自己，並自動執行它自身的程式。

常見的蠕蟲病毒：熊貓燒香病毒 、衝擊波/震蕩波病毒、conficker 病毒等。

應急場景

某天早上，管理員在出口防火牆發現內網伺服器不斷向境外IP發起主動連線，內網環境，無法連通外網，無圖腦補。

事件分析

在出口防火牆看到的伺服器內網 IP，首先將中病毒的主機從內網斷開，然後登入該伺服器，開啟 D 盾_web 查殺檢視埠連線情況，可以發現本地向外網 IP 發起大量的主動連線：

透過埠異常，跟蹤行程 ID，可以找到該異常由 svchost.exe windows 服務主行程引起，svchost.exe 向大量遠端 IP 的 445 埠傳送請求：

這裡我們推測可以系統行程被病毒感染，使用卡巴斯基病毒查殺工具，對全盤檔案進行查殺，發現 c:windowssystem32qntofmhz.dll 異常：

使用多引擎線上病毒掃描對該檔案進行掃描:

http://www.virscan.org/

確認伺服器感染 conficker 蠕蟲病毒，下載 conficker 蠕蟲專殺工具對伺服器進行清查，成功清楚病毒。

大致的處理流程如下:

1、發現異常：出口防火牆、本地埠連線情況，主動向外網發起大量連線

2、病毒查殺：卡巴斯基全盤掃描，發現異常檔案

3、確認病毒：使用多引擎線上病毒對該檔案掃描，確認伺服器感染 conficker 蠕蟲病毒。

4、病毒處理：使用 conficker 蠕蟲專殺工具對伺服器進行清查，成功清除病毒。

預防處理措施

在政府、醫院內網，依然存在著一些很古老的感染性病毒，如何保護電腦不受病毒感染，總結了幾種預防措施：

1、安裝防毒軟體，定期全盤掃描

2、不使用來歷不明的軟體，不隨意接入未經查殺的 U 盤

3、定期對 windows 系統漏洞進行修複，不給病毒可乘之機

4、做好重要檔案的備份，備份，備份。

0x05 應急響應實戰之勒索病毒

勒索病毒，是一種新型電腦病毒，主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給使用者帶來無法估量的損失。這種病毒利用各種加密演演算法對檔案進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。自 WannaCry 勒索病毒在全球爆發之後，各種變種及新型勒索病毒層出不窮。

應急場景

某天早上，網站管理員開啟 OA 系統，首頁訪問異常，顯示亂碼：

事件分析

登入網站伺服器進行排查，在站點目錄下發現所有的指令碼檔案及附件都被加密為 .sage 結尾的檔案，每個檔案夾下都有一個 !HELP_SOS.hta 檔案，打包了部分樣本：

開啟 !HELP_SOS.hta 檔案，顯示如下：

到這裡，基本可以確認是伺服器中了勒索病毒，上傳樣本到 360 勒索病毒網站進行分析：

http://lesuobingdu.360.cn

確認 web 伺服器中了 sage 勒索病毒，目前暫時無法解密。

絕大多數勒索病毒，是無法解密的，一旦被加密，即使支付也不一定能夠獲得解密金鑰。在平時運維中應積極做好備份工作，資料庫與原始碼分離（類似 OA 系統附件資源也很重要，也要備份）。

遇到了，別急，試一試勒索病毒解密工具：

“拒絕勒索軟體”網站:

https://www.nomoreransom.org/zh/index.html

360 安全衛士勒索病毒專題:

http://lesuobingdu.360.cn

防範措施

一旦中了勒索病毒，檔案會被鎖死，沒有辦法正常訪問了，這時候，會給你帶來極大的困惱。為了防範這樣的事情出現，我們電腦上要先做好一些措施：

1、安裝防毒軟體，保持監控開啟，定期全盤掃描

2、及時更新 Windows 安全補丁，開啟防火牆臨時關閉埠，如 445、135、137、138、139、3389 等埠

3、及時更新 web 漏洞補丁，升級 web 元件

4、備份。重要的資料一定要備份，謹防資料丟失

5、強化網路安全意識，陌生連結不點選，陌生檔案不要下載，陌生郵件不要開啟

0x06 應急響應實戰之挖礦病毒

隨著虛擬貨幣的瘋狂炒作，挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或伺服器進行挖礦，具體現象為電腦 CPU 佔用率高，C 盤可使用空間驟降，電腦溫度升高，風扇噪聲增大等問題。

應急場景

某天上午重啟伺服器的時候，發現程式啟動很慢，開啟任務管理器，發現 cpu 被佔用接近 100%，伺服器資源佔用嚴重。

事件分析

登入網站伺服器進行排查，發現多個異常行程：

分析行程引數：

wmic process get caption,commandline /value >> tmp.txt

TIPS:

在 windows 下檢視某個執行程式（或行程）的命令列引數

使用下麵的命令：

wmic process get caption,commandline /value

如果想查詢某一個行程的命令列引數，使用下列方式：

wmic process where caption=”svchost.exe” get caption,commandline /value

這樣就可以得到行程的可執行檔案位置等資訊。

訪問該連結：

Temp 目錄下發現 Carbon、run.bat 挖礦程式:

具體技術分析細節詳見 《利用WebLogic漏洞挖礦事件分析》：

https://www.anquanke.com/post/id/92223

清除挖礦病毒：關閉異常行程、刪除c盤temp目錄下挖礦程式 。

臨時防護方案

1、根據實際環境路徑，刪除 WebLogic 程式下列 war 包及目錄

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

2、重啟 WebLogic 或系統後，確認以下連結訪問是否為 404

http://x.x.x.x:7001/wls-wsat

防範措施

新的挖礦攻擊展現出了類似蠕蟲的行為，並結合了高階攻擊技術，以增加對標的伺服器感染的成功率。透過利用永恆之藍（EternalBlue）、web 攻擊多種漏洞，如 Tomcat 弱口令攻擊、Weblogic WLS 元件漏洞、Jboss 反序列化漏洞，Struts2 遠端命令執行等，導致大量伺服器被感染挖礦程式的現象 。總結了幾種預防措施：

1、安裝安全軟體並升級病毒庫，定期全盤掃描，保持實時防護

2、及時更新 Windows 安全補丁，開啟防火牆臨時關閉埠

3、及時更新 web 漏洞補丁，升級 web 元件

參考連結：

https://cloud.tencent.com/document/product/296/9605

https://www.cnblogs.com/shellr00t/p/6943796.html

https://www.exehack.net/5106.html

---

●編號718，輸入編號直達本文

●輸入m獲取文章目錄

推薦↓↓↓

 

Linux學習

更多推薦《18個技術類微信公眾號》

涵蓋：程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。