2024windows应急流程及实战演练.docx

windows应急流程及实战演练手册2024目录windows应急流程及实战演练4常见的应急响应事件分类：40x01入侵排查思路4一、检查系统账号安全41、查看服务器是否有弱口令，远程管理端口是否对公网开放。42、查看服务器是否存在可疑账号、新增账号。43、查看服务器是否存在隐藏账号、克隆账号。54、结合日志，查看管理员登录时间、用户名是否存在异常。5二、检查异常端口、进程51、检查端口连接情况，是否有远程连接、可疑连接。52、进程63、小技巧：6三'检查启动项、计划任务、服务71、检查服务器是否有异常的启动项。72、检查计划任务83、服务自启动8四、检查系统相关信息81、查看系统版本以及补丁信息82、查找可疑目录及文件9五、自动化查杀9六、日志分析10a、找到中间件的Web日志，打包到本地方便进行分析。10b、推荐工具：100x02工具篇病毒分析：PCHunter：10病毒查杀：11病毒动态：11在线病毒扫描网站：12webshell查杀：120x03应急响应实战之FTP暴力破解13应急场景13日志分析13登录类型8:网络明文(NetworkCIeartext)141关闭外网FTP端口映射162、删除本地服务器FTP测试16处理措施170x04应急响应实战之蠕虫病毒17应急场景17事件分析17预防处理措施201、安装杀毒软件，定期全盘扫描202、不使用来历不明的软件，不随意接入未经查杀的U盘203、定期对WindoWS系统漏洞进行修复，不给病毒可乘之机204、做好重要文件的备份，备份，备份。200x05应急响应实战之勒索病毒20应急场景20事件分析20360安全卫士勒索病毒专题:22防范措施220x06应急响应实战之挖矿病毒22应急场景22事件分析23TIPS：24临时防护方案251、根据实际环境路径，删除Web1.OgiC程序下列War包及目录252、重启Web1.ogiC或系统后，确认以下链接访问是否为40425防范措施251、安装安全软件并升级病毒库，定期全盘扫描，保持实时防护262、及时更新WindOWS安全补丁，开启防火墙临时关闭端口263、及时更新Web漏洞补丁，升级Web组件26windows应急流程及实战演练当企业发生入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。常见的应急响应事件分类：Web入侵：网页挂马、主页篡改、Webshell系统入侵：病毒木马、勒索软件、远控后门网络攻击：DDoS攻击、DNS劫持、ARP欺骗针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Window服务器入侵排查的思路。0x01入侵排查思路一、检查系统账号安全1、查看服务器是否有弱口令,远程管理端口是否对公网开放。检查方法：据实际情况咨询相关服务器管理员。2'查看服务器是否存在可疑账号、新增账号。检查方法：打开cmd窗口，输入Iusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的(AdminiStratOrS)里的新增账户，如有，请立即禁用或删除掉。3、查看服务器是否存在隐藏账号、克隆账号。检查方法：a、打开注册表，查看管理员对应键值。b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。Ia领据库后门追查?数据库降权0克隆联号检则夜里监控3s池监控©湍口查看目送程查看。样本解IDI帐号I全名I痛述ID盾一检剜说明登汨t«st$危险I克隆了【管理除号】03EE带$<*号（一锻用于原蒙秣号）1F4Administrator管理计算机"给的内置噌理帐号×1F5Guest供来宾访问计算机或访.3E8IiJSRjnR2008-NEInternet来宾集户用于箧名访问Interne4、结合日志，查看管理员登录时间、用户名是否存在异常。检查方法：a、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。b、导出WindOWS日志-安全，利用1.OgParSer进行分析。C：ErogramFiles<×86>1.ogParser2.2>1.ogParser.e×e-i三liUI"Sfc1.tCIIIneGeneraas1.oginTine,EXTRACT-TOKEN<St*ings,5,>asusernameFROMc：Ml.eut×wherentID=4624o1.oginTimeuse*nane2018-06-1718:26:24Adninistikator2018-06-172018-06-182018-06-1818:54:3701:21:3001:21:39SVSTEMAdninistatoikAdninist*atoStatistics：Elementsprocessed：9936Elementsoutput：4Executiontime:0.17seconds二、检查异常端口、进程1、检查端口连接情况，是否有远程连接、可疑连接。检查方法：a、netstat-ano查看目前的网络连接，定位可疑的ESTAB1.ISHEDb、根据netstat定位出的Pid,再通过tasklist命令进行进程定位tasklistIfindstr''PID,z|一管理员CWindov%y%t32ca<iexMEC：Use*sMdminist*ato>netstat-ano活动连接协议本地地址外部地址状态PIDTCP0.0.0.0:800.0.0.0:01.ISTENING4TCP0.0.0.0:1350.0.0.0:01.ISTENING656JCP也也0:445。/2上2.0;0_1.ISTENING4TCP0.0.0.0:14330.0.0.0:01.ISTENING2112ICP-B11111O113B3-H.M.If.Mill-1.ISTENING-I35ZTCP0.0.0.0:33890.0.0.0:01.ISTENING2608TCP0.0.0.0:80800.0.0.0:01.ISTENING“2284TCP0.0.0.0:470010i0i0i004丁管理员C：findovssyst<eB32cBd.exe-llC：MJsersMdninisti*ator>tasklistIfindstr”21.1.2"sqlserui*.e×e2112Services097,1561K2、进程检查方法：a、开始-运行-输入ITisinfo32,依次点击“软件环境T正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。c、通过微软官方提供的ProcessExplorer等工具进行排查。d、查看可疑的进程及其子进程。可以通过观察以下内容： 没有签名验证信息的进程 没有描述信息的进程 进程的属主 进程的路径是否合法CPU或内存资源占用长时间过高的进程3、小技巧：a、查看端口对应的PID：netstat-ano|findstr''portb、查看进程对应的PID：任务管理器一查看-选择列一PID或者tasklistIfindstr''P工Dc、查看进程对应的程序位置：任务管理器-选择对应进程-右键打开文件位置运行输入wmic,Cmd界面输入processd、tasklist/svc进程-PID-服务e、查看WindoWS服务所对应的端口：%system%/system32/drivers/etc/services（一般system%就是C:Windows）三、检查启动项、计划任务、服务1、检查服务器是否有异常的启动项。检查方法：a、登录服务器，单击【开始】>所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。b、单击开始菜单>【运行】，输入msconfig,查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。c、单击【开始】>运行，输入regedit,打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：HKEY_CURRENT_USERsoftwaremicorsoftWindowsXcurrentversionrunHKEY_1.OCA1._MACHINESoftwareMicrosoftWindowsXCurrentVersionRunHKEY_1.OCA1._MACHINESoftwareMicrosoftWindowsXCurrentVersionRunonce检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。d、利用安全软件查看启动项、开机时间管理等。e组策略，运行gpedit.msco2、检查计划任务检查方法：a、单击【开始】【设置】【控制面板】【任务计划】，查看计划任务属性,便可以发现木马文件的路径。b、单击【开始】【运行】；输入cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。3、服务自启动检查方法：单击【开始】【运行】，输入services,msc,注意服务状态和启动类型，检查是否有异常服务。四、检查系统相关信息1、查看系统版本以及补丁信息检查方法：单击【开始】>运行，输入systeminfo,查看系统信息2、查找可疑目录及文件检查方法：a、查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。Window2003:C:DocumentsandSettingsWindow2008R2:CUsersb、单击【开始】>运行，输入%UserProfile%Recent,分析最近打开分析可疑文件。c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。五、自动化查杀病毒查杀检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。webshell查杀检查方法：选择具体站点路径进行webshell查杀，建议使用两款WebSheIl查杀工具同时查杀，可相互补充规则库的不足.六、日志分析系统日志分析方法：a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。b、Win+R打开运行，''eventvwr.mscz,回车运行，打开“事件查看器”。C、导出应用程序日志、安全日志、系统日志，利用1.OgParSer进行分析。WEB访问日志分析方法：a、找到中间件的web日志，打包到本地方便进行分析。b、推荐工具：Window下，推荐用EmECIitOr进行日志分析，支持大文本，搜索效率还不错。1.inuxF,使用Shell命令组合查询分析0x02工具篇病毒分析：PCHunter：火绒剑：ProcessExplorer：https:/docs,microsof.com/zh-cn/SysinternalsZdownloads/process-explorerprocesshacker：https:/processhacker,sourceforge,io/downloads.phpautoruns：https:/www.bI病毒查杀：卡巴斯基（推荐理由：绿色版、最新病毒库）：http:/devbuilds.kaspersky-labs,com/devbuilds/KVRTZlatest/full/KVRT.exe大蜘蛛（推荐理由：扫描快、次下载只能用1周，更新病毒库）：http:/free.drweb.rudownload+cureit+free火绒安全软件：360杀毒：病毒动态：CVERC-国家计算机病毒应急处理中心：微步在线威胁情报社区：https:/x.threatbook,cn火绒安全论坛：爱毒霸社区：腾讯电脑管家：在线病毒扫描网站：多引擎在线病毒扫描网V1.02,当前支持41款杀毒引擎:http:/WWW.virscan.org腾讯哈勃分析系统：Jotti恶意软件扫描系统：https:/virusscan,jotti.org针对计算机病毒、手机病毒、可疑文件等进行检测分析：webshell查杀:D盾Web查杀：河马webshell查杀：深信服Webshell网站后门检测工具：Safe3：0x03应急响应实战之FTP暴力破解FTP是一个文件传输协议，用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限，可直接上传webshell,进一步渗透提权，直至控制整个网站服务器。应急场景从昨天开始，网站响应速度变得缓慢，网站服务器登录上去非常卡，重启服务器就能保证一段时间的正常访问，网站响应状态时而飞快时而缓慢，多数时间是缓慢的。针对网站服务器异常，系统日志和网站日志，是我们排查处理的重点。查看Window安全日志，发现大量的登录失败记录：文件（n作S）l«（v）*N>ooI£危1丽%事件宣BCtMJ）-7自定义祖Vndvt日走安全事件数357.00。）可用的新事件IKT¾3I.打开保存8汩£维自定义校历口幢发事件S：应用程序和躯片日志.保存的日志订商审核知;朝笫嫩茸核实政审区失败审核失败事假知?I审帙台lA*审卷关!茸核关W!座核实敦审好做审核涉市格关政审区Mfc201WIT11"0020ieT17111?00201WT/17111700201B711H11002018T1111110020187i71111002OI8TI7111782018T11HIT002018/7/1711178201T1111!T00201Ti7HIT002018/7/171111002016T111117002018T1711170020ie711H11002O18TiT1117002018/T/ITHH00Hcrleri>crlcrIteroBcr三crl,IicroIieroIicrolcrIieroicr«icr。Iierolicr证应证证证筋证似录rlri录lr'KWS制9优2wt凭S凭IM北受凭堂(T(376g1162112Eg74676M导入定义则YSiiSN防日志回Kti典1»U竹所有事件另才为将任例R博旭日Z*C（MIQ«»日志分析安全日志分析：安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么。打开安全日志，在右边点击筛选当前日志，在事件ID填入4625,查询到事件ID4625,事件数177007,从这个数据可以看出，服务器正则遭受暴力破解：U!*4t*3C(均)自窿义檄B-ViMm(日志ElEE用程序11S9口碑*ft应用健序IOIW日志i1WMB三KiT科进一步使用1.ogParSer对日志提取数据分析，发现攻击者使用了大量的用户名进行爆破，例如用户名：仅XX,共计进行了17826次口令尝试，攻击者基于以xx”这样一个域名信息，构造了一系列的用户名字典进行有针对性进行爆破，如下图：CxxFrovrAAFiles<x>1.o*Parser2.2>1.o*Parsr.eei：FUT'*SF1.ECTEXTRACTTOIEN<Nss913*>asEuntTyp.EXTVMCT_TOB(EMqNg.19.',>atur.count<EX1NICT.T0KEN<N*a9.19,>>sTiR.EXTRACT.TOKEN<N*A9v30>as1.OgirHPHOflcxScurity.vtxwhereEvntlD42SGROUPBYN“g”EventTypuserTIms1.ofInipBr三172-Bl.9ou.cc2747-Bf*ovcn1532-Bwww.f1.fovcn9842-BY12313S-Br三811S-Br三(61IS-Brl1234IlSS-Bf.-ovcn153-Bf',ovcn1S2-Prky.EvntTypusrTIms1.otInipB9。UCo20-BWWW-dt2-BadninPf.*ovcn3822-B，W.*.90vcn2592-BAdMinistrator93-B.fovcnISK-BMNwstrf.lvcn3(MM-B.fft.vovcnISM-这里我们留意到登录类型为8,来了解一下登录类型8是什么意思呢？登录类型8:网络明文(NetworkCIeartext)这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IlS才会是这种登录类型。“登录过程”栏都将列出Advapio我们推测可能是FTP服务，通过查看端口服务及管理员访谈，确认服务器确实对公网开放了FTP服务。Xl因管理员C11ndovsystB32cd.xeC：UsersM)dministato>netstat-ano活动连接协议本地地址外部地址状态PIDTCP0.0.0.0:210.0.0.0：01.ISTENING1068TCP0.0.0.0:1350.0.0.0：e1.ISTENING660TCP0.0.0.0:4450.0.0.0：01.ISTENING4TCP0.0.0.0:14330.0：01.ISTENING1640TCP0.0.0.0:2383B.0.0.0：01.ISTENING1708TCP0.0.0.0:2809e.e.0.0：01.ISTENING2924TCP0.0.0.0:33890.0.0.0：01.ISTENING1740TCP0.0.8.0:8880e.e.：01.ISTENING2924TCP0.0.0.0:9043e.e.0.0：01.ISTENING2924TCP0.0.0.0:90600.0.0.e：01.ISTENING2924TCP0.0.0.0:90600.0.0.01.ISTENING2924TCP0.0.0.0:91000.0.0.0：01.ISTENING2924TCP0.0.0.0:94020.0.0：01.ISTENING2924TCP0.0.0.0:94030.e.0.0：01.ISTENING2924TCP0.0.0.0:94430.0.0.0：01.ISTENING2924TCP0.0.0.0:470010.0.0.0：01.ISTENING4TCP0.0.0.0:491520.0.0：01.ISTENING380TCP0.0.0.0:491530.0.0.0：01.ISTENING740TCP0.0.0.0:491540.0.0.0：01.ISTENING484TCP0.0.0.0:491550.0.8.0：01.istehing784TCP0.0.0.0:49156e.e.0.0：01.ISTENING476TCP0.0.0.0:491570.0.0.0：01.ISTENING1816TCP127.0.0.1:14340.0.0.0：01.ISTENING1640TCP127.0.0.1:9633.e.e.：01.ISTENING2924另外，日志并未记录暴力破解的IP地址，我们可以使用WireShark对捕获到的流量进行分析，获取到正在进行爆破的IP:<r-4Sw*MtMltn.21l4192.1“77.2U777H2.1M.7.2114.IM>.M15IMJM2冰2»192.1“M.25524192.1M.7.M114.IMM.D11M192.1M.72114.IM125.JHJlt1M.M2X.2A192.IU127.>7M5H2.1U.7.S2114.IM1½.42S4MX14.1M.22S.2M192.16IM.433M)192.1.7.S2114.IHltt.SS77t114.IM197.61MW114.1<.a2.2M192.IWIW.X427192.U.7.12114.104”7.65779114.1M.2Z.23192皿2t»g977192.1M.7.52114.IM2”.7319R192.m114.IH2B.76%92W.2X.2A192.122M.771S4192.1M.7.S2114.IM244.W2SB114.1M.226.2»192.IM245.N73Mm.lM.7.M114.14<307.222.2N7322.2M7M2M.2N7.W22.2N2X2A7.W2-7.a22.2M2M.2N7.W2M.2M7.U2"2A:-Si三二三1.三il三三ii2三丁X三三<u5elM2w2Jeuu1l33t2A4Mm2AmM3)l22ut:it:t:MI:Wwt:田t:t:w:t:J三三三三三三一jRwuA)792MAnsB77in3Mx3M81.mW三WWW茂通过对近段时间的管理员登录日志进行分析，如下：CzPogranFiles<×86>1.ogParser2.2>1.ogParser.e×e-i：EUT,SE1.ECTEXTRACT_TOK：M<Hessage,13,'*>asEuentTvpe,TimeGeneratedas1.ogin!ine,EXTRACT_TOKEN<Strings5,>asUsernane,EXTRACT-TOKEN<Message,38,'as1.oginipFROMc：Security.ev×whereEUentlD=4624andEXTRACT.T0KEN<Message,13,>-*10*,EuentType1.oginTimeUsername1.oginip102018-07-0507:26:00admin192.168.6.5102018-07-0507:34:40admin192.168.6.5102018-07-0507:35:0?admin192.168.6.5102018-07-0507:48:52admin192.168.6.5102018-07-0508:29:02admin192.168.6.5102018-07-0508:35:21admin192.168.6.5102018-07-0509:55:24adnin192.168.6.5102018-07-0510:53:36admin192.168.6.5102018-07-0510:58:20admin192.168.6.5102018-07-0515:07:451admin192.168.6.5Pressakey.EventType1.oginTineUsernane1.oginip102018-07-0515:18:33admin192.168.6.5Statistics：F10ECCrC_CCaCd:_QGGaG?管理员登录正常，并未发现异常登录时间和异常登录ip,这里的登录类型10,代表远程管理桌面登录。另外，通过查看FTP站点，发现只有一个测试文件，与站点目录并不在同一个目录下面，进一步验证了FTP暴力破解并未成功。应急必理措施：1、关闭外网FTP端口映射2、删除本地服务器FTP测试处理措施FTP暴力破解依然十分普遍，如何保护服务器不受暴力破解攻击，总结了几种措施：1、禁止使用FTP传输文件，若必须开放应限定管理IP地址并加强口令安全审计（口令长度不低于8位，由数字、大小写字母、特殊字符等至少两种以上组合构成）。2、更改服务器FTP默认端口。3、部署入侵检测设备，增强安全防护。0x04应急响应实战之蠕虫病毒蠕虫病毒是一种十分古老的计算机病毒，它是一种自包含的程序（或是一套程序）,通常通过网络途径传播，每入侵到一台新的计算机，它就在这台计算机上复制自己，并自动执行它自身的程序。常见的蠕虫病毒：熊猫烧香病毒、冲击波/震荡波病毒、CorlfiCker病毒等。应急场景某天早上，管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接，内网环境，无法连通外网，无图脑补。事件分析在出口防火墙看到的服务器内网IP,首先将中病毒的主机从内网断开，然后登录该服务器，打开D盾_web查杀查看端口连接情况，可以发现本地向外网IP发起大量的主动连接：TCP192841521928415219284152192415219284IS219284152192841521928415219284152192841521928415219284152192841S21928415219284152192841S21%84152192415219284152oe-通过端口异常544321312114036445发送状态1(X05403122874120445发法状态1040S44”2076163445发送状态10405443514242126445发送状恋10405443614884184113445发送状态10405443718U217123445发送状态1040S443837HT240M445发法状恋1040M439275420510445发送状态10405444022111322775445发送状奇104054441205368156445发送状态1040544421095721120445发法状态10405444370104421445发送状有1040S4444180T22239445发法状而10405444519312310543445发法状态104054446872017094445发法状态1040544473788469445发法状态104054448105345243445发法状恋10405444914349205IH445发送状态10405445012211816251445发法状态1040CC，,CQCftAC«A4A,跟踪进程ID,可以找到该异常由svchost.exewindows服务主口救搪库后i置”效握库置权通克除秣号检剜罐然控311s池雀控©瑞口查重区遇程置看。悻本解码O文件能进程引起，svchost.exe向大量远程IP的445端口发送请求：Djl摄层后im查。然据料和。初秣号检到JSBSSli311S池监控©濡口查田进程查。年本解码O文件监控名称I湃春IDICFUIjfifffJSI公)fl电I避明IjEitdlUQx00c:vn4vtytta32vnut.xBacrtftCorporationlindvi启动应用理I?Flrv>cx00cAvmdwsyta32srvcsxIicrosoftCorporation服务利。制3应用我序vinlofoi1.x00cvndovsyta32vnlocon.xIicrosoftCorporation1.ndBS受柔应用程序!三jl<*<00c:vind«vssyit«»32lstssxIicrosoftCorporation本地安全机恰）8程Inx00vind«vttyit«a32liaxicrao£QCrprtion本地会话置理着联务"vchotxc：vnd9vsytB32scost.xSicrosoftCorport>on胺分王进程-i回ivchoMex00cvadrsst<A32vehost.xIicrosoftCorporation1.ndowsAR务王进程回窗xc.v>n4vstysta32tvehstxBcriftCorporationAnd”*IS务主送程svchot”00c：vind«vsyta32svch0stxIicrosoftCrpr*tin1.MgX服务主进&Bsvchostxt1040cvand«vssyxt«»32svchost«x«IicrosoftCorporetioaImdows%衿王进程Sjtlivex105600：vndv>tytMb32tlscxB>crtoflCorporationBcr.oH软件慢权第务S11vchitx11000cvin4rsyt<a32chitxicr”OfQCorporation服号主进程vchoxt«x«116400c:vndcwsyttB32sckot.xIicrosoftCorp«r*tioa1.Mb*服疗主迸程jvhot