0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Windows主机入侵痕迹排查办法

Android编程精选 来源:Freebuf 作者:白衣不再少年 2022-03-18 09:24 次阅读

一、排查思路

在攻防演练保障期间,一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众多情况。为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵痕迹排查工作,本人总结了自己的一些经验,下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项,仅作为参考使用。

1.1初步筛选排查资产

一般情况下,客户资产都比较多,想要对所有的资产主机进行入侵痕迹排查基本不太现实,等你全部都排查完了,攻击者该做的事早就做完了,想要的目的也早就达到了。那么针对客户资产量大的情况,我们应该怎么处理? 首先,在排查前,作为项目经理,应该与客户沟通好,取得授权,确认排查范围和排查方案和办法,客户若是没有授意或者同意,那么下面的操作都是违规操作,甚至有的还违法。 取得客户同意后,我们再从资产面临的风险等级、资产的重要程度、攻击者的攻击思路、手法及目标选择倾向几个方面去初步筛选出排查资产。这里建议从以下资产范围选取: ①曾失陷资产:在以前的红蓝对抗、攻防演练、或者真实的黑客攻击事件中被攻陷的主机,曾失陷资产应作为排查的重点对象。 ②互联网暴露脆弱资产:从互联网暴露资产中筛选出使用了高危漏洞频发的组件/应用(组件如Weblogic、JBoss、Fastjson、Shiro、Struts2等)。还有一个点需要注意,就是客户是否具有有效的资产管理,是否能够清晰明确识别出哪些资产用了什么组件,如果不能的话,只能通过之前的渗透测试结果来筛选出脆弱资产。 ③关键资产:如域控等可以导致大量主机失陷的集权类资产。

1.2确定排查资产

主机入侵痕迹排查工作建议在一周内对数量控制在20台以内的主机进行排查。经过初步筛选的资产数量如果远远大于20台主机,需要从资产里面进行二次筛选,如果存在曾失陷资产,排查主机范围可以定为曾失陷资产;如果不存在曾失陷资产,排查主机范围可以定为脆弱资产,具体可以根据客户自身实际情况调整。 需要注意是,如果排查资产中包含曾失陷资产的话,需要向客户索要历史攻防演练/应急等报告,在排查时需结合历史报告和指导手册内容一起进行排查,需要特别留意历史报告中攻击者的入侵痕迹是否已经完全清理。

1.3入侵痕迹排查

在实际情况下,攻击者在进行攻击时使用的攻击手法、攻击思路、行为等各有差异,无论是考虑实现成本还是效率问题,都难以通过很精细很全面的排查项去实施主机入侵痕迹排查,但是我们可以从攻击中可能会产生的一些比较共性的行为特征、关键的项进行排查。 对于主机的入侵痕迹排查,主要从网络连接、进程信息、后门账号、计划任务、登录日志、自启动项、文件等方面进行排查。比如,如果存在存活后门,主机可能会向C2发起网络连接,因此可以从网络连接排查入手,如果存在异常的网络连接,则必然说明存在恶意的进程正在运行,则可以通过网络连接定位到对应进程,再根据进程定位到恶意文件。如果攻击者企图维持主机控制权限的话,则可能会通过添加后门账号、修改自启动项,或者添加计划任务等方式来维持权限,对应的我们可以通过排查账号、自启动项、计划任务来发现相应的入侵痕迹。

二、排查内容

2.1windows主机

攻击者一般使用 attrib <程序> +s +h 命令隐藏恶意程序,故在排查痕迹前需打开“工具—文件夹选项—查看”。按照下图中的设置,即可显示所有文件。

cc8fe8e8-a5a2-11ec-952b-dac502259ad0.jpg

cca38fd8-a5a2-11ec-952b-dac502259ad0.jpg

2.1.1网络连接排查步骤: 在CMD中执行 netstat -ano 查看目前的网络连接。

ccb89b62-a5a2-11ec-952b-dac502259ad0.jpg

这种情况一般都比较正常,只有80和443端口,一般都是正常业务开放端口。分析方法:如果网络连接出现以下情况,则当前主机可能已经失陷: 1、主机存在对内网网段大量主机的某些端口(常见如22,445,3389,6379等端口)或者全端口发起网络连接尝试,这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。

cccd5aac-a5a2-11ec-952b-dac502259ad0.jpg

2、主机和外网IP已经建立连接(ESTABLISHED状态)或者尝试建立连接(SYN_SENT状态),可以先查询IP所属地,如果IP为国外IP或者归属各种云厂商,则需要重点关注。进一步可以通过威胁情报(https://x.threatbook.cn/等)查询IP是否已经被标注为恶意IP。

cce0fd6e-a5a2-11ec-952b-dac502259ad0.jpg

3、如果无法直接从网络连接情况判断是否为异常连接,可以根据网络连接找到对应的进程ID,判断进程是否异常。如果不能从进程判断,可以进一步找到进程对应文件,将对应文件上传至virustotal(https://www.virustotal.com)进行检测。如上面截图中对内网扫描的进程ID是2144,在任务管理器中发现对应的文件是svchost.exe。

ccf7c2c4-a5a2-11ec-952b-dac502259ad0.jpg

上传至virustotal检测的结果为恶意文件。

cd0b7436-a5a2-11ec-952b-dac502259ad0.jpg

若在排查网络连接中,任务管理器只能看到有命令行工具(如powershell、cmd)powershell进程与外联IP建立会话,无法看到进程对应的运行参数。此时可借助Process Explorer进一步观察powershell的运行参数。如下在Process Explorer中发现powershell执行了cobalt strike脚本的痕迹。

cd22c85c-a5a2-11ec-952b-dac502259ad0.jpg

2.1.2敏感目录排查步骤:查看攻击方常喜欢上传的目录是否有可疑文件。分析方法:1、各个盘符下的临时目录,如C:TEMP、C:WindowsTemp等。

cd3dc94a-a5a2-11ec-952b-dac502259ad0.jpg

2、%APPDATA%,在文件夹窗口地址栏输入%APPDATA%,回车即可打开当前用户的appdata目录。

cd504516-a5a2-11ec-952b-dac502259ad0.jpg

Administrator用户对应的%APPDATA%目录C:UsersAdministratorAppDataRoaming。可以按照修改日期排序筛选出比较临近时间有变更的文件。

cd61c886-a5a2-11ec-952b-dac502259ad0.jpg

3、浏览器的下载目录

cd6f88cc-a5a2-11ec-952b-dac502259ad0.jpg

4、用户最近文件%UserProfile%Recent,如Administrator对应的目录为C:UsersAdministratorRecent

cd8cc3e2-a5a2-11ec-952b-dac502259ad0.jpg

5、回收站,如C盘下回收站C:$Recycle.Bin 对于脚本文件可直接查看内容判定是否为恶意,若是遇到exe可执行文件,可将对应文件上传至virustotal(https://www.virustotal.com)进行检测。

cd9cf226-a5a2-11ec-952b-dac502259ad0.jpg

2.1.3后门文件排查步骤:

查看粘滞键exe; 查看注册表中映像的键值。

分析方法:1、查看粘滞键exe 查看C:WindowsSystem32下的sethc.exe文件的创建、修改时间是否正常,如下图,一般情况下,系统文件的创建时间与修改时间应相同,sethc的创建时间与修改时间不同,可确定sethc已被替换成后门文件。由于攻击者可修改文件时间,上述简单粗暴的判断方式可能不靠谱,可将sethc拷贝出来、上传至VT检测危害。

cdb24928-a5a2-11ec-952b-dac502259ad0.jpg

2、查看注册表中映像的键值 检查注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”下所有exe项中是否有debugger键,若有debugger键,将其键值对应的程序上传至VT检测。如下图,攻击者利用该映像劫持的攻击者方式,在sethc.exe项中新建debugger键值指向artifact.exe,攻击效果为当连续按5下shift键后,不会执行sethc.exe,而是转而执行劫持后的artifact.exe文件。于是在排查中发现有debugger键值,均可认为指定的文件为后门文件,待上传VT后确认其危害。

cdccc726-a5a2-11ec-952b-dac502259ad0.jpg

cde9eaf4-a5a2-11ec-952b-dac502259ad0.jpg

cdfe840a-a5a2-11ec-952b-dac502259ad0.jpg

这里没有debugger键,下面的图是有的:

ce11c0ce-a5a2-11ec-952b-dac502259ad0.jpg

2.1.4后门账号排查步骤:

打开regedit查看注册表中的账号; 查看administrators组中是否存在赋权异常的账号。

分析方法:查看注册表中HKLMSAMSAMDomainsAccountUsersNames中是否有多余的账号(可询问客户运维人员以确定账号存在的必要性)。正常情况下,上述路径的SAM权限仅system用户可查看,需要给administrator用户授权才能打开完整路径。对SAM右键、给administator用户添加完全控制权限(下图的权限操作方法适用于win7及以上操作系统):

ce248164-a5a2-11ec-952b-dac502259ad0.jpg

win2003、XP等低版本系统的操作方法请使用下图的流程给administrators组添加权限。

ce3ae8aa-a5a2-11ec-952b-dac502259ad0.jpg

带有$符号的账号特指隐藏账号(如aaaa$),正常业务中不需要创建隐藏账号,可判断带有$符号的均为后门账号。然后在客户运维的协助下排查其他的异常账号。 如下图中,除了aaaa$可直接判断外,root账号为高度关注对象。(注:aaaa$中的键值0x3ea表示该账号与Users表中相应数值的表相对应,在删除账号时需一起删除)

ce50b95a-a5a2-11ec-952b-dac502259ad0.jpg

注:异常账号删除后需要将之前授权的administrator移除SAM权限。 查看administrators组中是否存在赋权异常的账号。比如正常情况下guest用户处于禁用状态、普通应用账户(weblogic、apache、mysql)不需要在administrators组中。如下图,执行命令net user guest查看guest账号的信息,如果guest账号被启用,且在管理员组成员中有guest用户,需要询问客户运维人员该guest账户启用的必要性以及加入管理组是否有必要,否则可认为攻击者将系统自带用户guest启用并提权至管理员组后作为后门账号使用。

ce65fc8e-a5a2-11ec-952b-dac502259ad0.jpg

执行net localgroup Administrators关注管理员组别是否存在异常账号:

ce7707b8-a5a2-11ec-952b-dac502259ad0.jpg

2.1.5自启动项排查步骤:

使用Autoruns工具查看自启动项 查看组策略中的脚本 查看注册表中的脚本、程序等 查看各账号自启目录下的脚本、程序等 查看Windows服务中的可执行文件路径

分析方法:1、使用Autoruns: 使用工具能较全面地查看系统中的自启动项。在得到客户授权,能够在可能失陷的主机上传排查工具时,可使用Autoruns工具进行详细的自启动项排查。排查中主要关注粉色条目,建议与客户运维人员一同查看,以及时排除业务所需的正常自启项。如下图,在Everything栏中,查看粉色的条目中发现常见的sethc被劫持为cmd,Command Processor键值(默认为空)关联到名为windowsupdate.exe(效果为启动cmd时,被关联的程序会静默运行)。sethc的劫持可确认为入侵痕迹,Command Processor键值的关联程序需要找客户进一步确认是否业务所需,或将windowsupdate.exe上传VT检测。

ce99b57e-a5a2-11ec-952b-dac502259ad0.jpg

另外,这个工具很好用 ,特别小,可以直接上传文件到VT进行检测。 2、查看组策略: 在无法使用工具、只能手工排查的情况下,可查看常见的自启项是否有异常文件。打开gpedit.msc—计算机配置/用户配置—Windows设置—脚本,在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。

ceb3dd00-a5a2-11ec-952b-dac502259ad0.jpg

我这里没有脚本。2.1.6日志工程师基本都会看日志,windows日志也就那些内容,比较简单,我就不细述,主要写一下几个比较重要的点,基本上就可以排查出是否有异常登录了。排查步骤:

查看登录日志中暴力破解痕迹; 查看账号管理日志中账号的新增、修改痕迹; 查看远程桌面登录日志中的登录痕迹。

三、总结一下

技能都是需要动手的,然后思路需要清晰,操作要细致,跟客户要保持沟通,切记不能闷着擅自操作! 作者:白衣不再少年,文章来源:FreeBuf

-End-

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • WINDOWS
    +关注

    关注

    3

    文章

    3541

    浏览量

    88623
  • 程序
    +关注

    关注

    117

    文章

    3785

    浏览量

    81004

原文标题:Windows主机入侵痕迹排查办法

文章出处:【微信号:AndroidPush,微信公众号:Android编程精选】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    使用TAS5630B做PBTL输出,调试无输出怎么解决?

    一个功放板,使用TAS5630B做PBTL输出,目前调试无输出。SD,OTW引脚均输出高电平,没有报错。但是空载情况下测试outA,B,C,D引脚无输出,没有方波振荡波形。而测试输入信号input A ,B引脚能测试到输入信号。 请问这可能是哪里出现问题?有什么排查办法
    发表于 10-25 07:36

    局域网入侵

    填入你入侵主机IP。 3.使用"DameWare迷你中文版 4.5",安装后点"DameWare Mini Remote Control",在"帮助
    发表于 07-01 14:58

    IPC$漏洞入侵

    Process Connection的缩写,IPC$是共享"命名管道"的资源,它对于程序间的通信很重要。在远程管理和查看计算机的共享资源时使用。利用IPC$入侵者可以与目标主机建立一个空
    发表于 07-01 15:02

    分布式入侵检测系统的设计

    基于部件的入侵检测系统,具有良好的分布性能和可扩展性。它将网络和主机入侵检测系统有机地结合在一起,提供了集成化的检测、报告和响应功能。关 键 词 入侵检测; 通用模型; 模式匹配;
    发表于 03-10 09:55

    【assingle原创】试论网络入侵、攻击与防范技术

    主机设置在监听模式下从网上截获各种信息。 网络监听需要进入到目标主机所在的局域网内部,选择一台主机实施,监听效果最好的地方是在网关、路由器、防火墙上,能捕获更多的信息。2防范网络入侵
    发表于 02-26 16:56

    联动防火墙的主机入侵检测系统的研究

    联动防火墙的主机入侵检测系统可以实时监测主机的各种状态,辨别可能发生的入侵行为或非法操作,在入侵行为发生时联动防火墙进行自动阻断和报警,实时
    发表于 06-17 10:14 14次下载

    查看Windows 2003系统日志的简单办法

    查看Windows 2003系统日志的简单办法 Windows日志文件记录着Windows系统运行的每一个细节,它对Windows的稳定运
    发表于 01-29 11:52 461次阅读

    Magic Mouse在windows7下的滚轮驱动解决办法

    Magic Mouse在windows7下的滚轮驱动解决办法 很多麦友可能很垂青Magic Mouse,但是无奈Magic Mouse只能在Mac系统下工作,而在windows下无法实
    发表于 01-30 13:33 2.8w次阅读

    基于规则的主机入侵防御系统的研究与实现_黄成荣

    基于规则的主机入侵防御系统的研究与实现_黄成荣
    发表于 03-16 14:59 1次下载

    主机windows+ubuntu虚拟机联网传输实例

    主机windows+ubuntu虚拟机 文件传输用 主机与虚拟机传输文件告别命令行
    的头像 发表于 07-27 16:12 3838次阅读
    <b class='flag-5'>主机</b><b class='flag-5'>windows</b>+ubuntu虚拟机联网传输实例

    这些示波器故障排查办法您了解吗?

    示波器对于很多工程师而言堪比眼睛,工程师每天与示波器相伴的时间甚至超过了与家人相处的时间。下面列举了示波器在使用过程中可能出现的故障及排查方法。当您遇到这些故障时,请按照相应的步骤进行处理。 1.
    发表于 03-16 15:17 4023次阅读
    这些示波器故障<b class='flag-5'>排查办法</b>您了解吗?

    无线通信中如何排查电磁波干扰?

    无线通信中有第三方无线电设备电磁波干扰排查办法
    发表于 01-05 15:19 3227次阅读
    无线通信中如何<b class='flag-5'>排查</b>电磁波干扰?

    Linux主机排查脚本介绍

    介绍 HScan,本脚本旨在为安全应急响应人员对Linux主机排查,日志分析等提供便利,定制化在主机中执行命令 获取脚本 git clone https://github.com/HZzz2
    的头像 发表于 06-28 09:44 554次阅读
    Linux<b class='flag-5'>主机</b><b class='flag-5'>排查</b>脚本介绍

    FireKylin网络安全应急响应工具介绍

    FireKylin中文名称叫:火麒麟,其功能是收集操作系统各项痕迹,支持Windows和Linux痕迹收集。其作用是为分析研判安全事件提供操作系统数据。其目的是让任何有上机排查经验和无
    的头像 发表于 12-12 10:59 1113次阅读
    FireKylin网络安全应急响应工具介绍

    网络报警主机AL-9480H周界入侵探测系统的应用解决方案

    随着社会的不断发展,安全问题越来越受到人们的关注。在周界安全领域,周界入侵探测系统发挥着至关重要的作用。本文将简单介绍以维安达斯网络报警主机AL-9480H为核心的周界入侵探测系统解决方案,包括系统
    的头像 发表于 05-10 17:56 710次阅读
    网络报警<b class='flag-5'>主机</b>AL-9480H周界<b class='flag-5'>入侵</b>探测系统的应用解决方案