Window 入侵排查

• • 1、檔案的排查
  • • 1.1 開機啟動有無異常檔案啟動
    • 1.2 對系統敏感檔案路徑的檢視
    • 1.3 檢視Recent
    • 1.4 檢視檔案時間
    • 1.5 webshell 檔案排查
  • 2、程序、端口排查
  • • 2.1 檢視程序
    • 2.2 程序排查
    • 2.3 使用powershell 進行查詢
    • 2.4 使用WMIC 指令進行排查
  • 3、檢查啟動項、計劃任務、服務
  • • 3.1 檢查伺服器是否有異常的啟動項
    • 3.2 檢查計劃任務
    • 3.3 服務自啟動
  • 4、系統賬号排查
  • • 4.1 檢視伺服器是否有弱密碼，遠端管理端口是否對公網開放。
    • 4.2 檢視伺服器是否存在可疑賬号、新增賬号。
    • 4.3 檢視安全辨別符、SAM安全賬戶管理器
    • 4.4 檢視伺服器是否存在隐藏賬号、克隆賬号
    • 4.5 結合日志，檢視管理者登入時間、使用者名是否存在異常。
  • 5、檢查系統相關資訊
  • • 5.1 檢視系統版本以及更新檔資訊
    • 5.2 查找可疑目錄及檔案
  • 6、日志分析
  • • 6.1 内置的日志篩選器
    • 6.2 通過PowerShell對日志進行分析
    • 6.3 通過相關的日志工具進行分析查詢。
  • 7、相關工具
  • • 7.1 病毒分析
    • 7.2 病毒清除
    • 7.3 病毒動态
    • 7.4 線上病毒掃描網站
    • 7.5 webshell清除

1、檔案的排查

在應急響應排查的過程中，由于大部分的惡意軟體、木馬、後門等都會在檔案次元上留下痕迹，是以對檔案痕迹的排查必不可少。

1.1 開機啟動有無異常檔案啟動

開始—運作--輸入msconfig（cmd輸入msconfig）
           

1.2 對系統敏感檔案路徑的檢視

開始—運作--輸入下面指令：（win+R）
%WINDIR%
%WINDIR%\system32
%TEMP%
%LOCALAPPDATA%
%APPDATA%
%systemroot%\prefetch
%SystemRoot%\appcompat\Programs\
主要檢視有無異常檔案以及最新生成的.bat .exe 的檔案，還要根據入侵時間來判斷。
           

例如：

預讀取檔案夾檢視。Prefetch是預讀取檔案夾，用來存放系統已通路過的檔案的預讀取資訊，擴充名為pf。之是以自動建立Prefetch檔案夾，是為了加快系統啟動的程序。Windows系統利用“預讀取”技術，在實際用到裝置驅動程式、服務和shell程式之前裝入它們。

%SystemRoot%\appcompat\Programs\Amcache.hve檔案也可以查詢應用程式的執行路徑、上次執行的時間及SHA1值。

1.3 檢視Recent

例如：Recent檔案主要存儲了最近運作檔案的快捷方式，可通過分析最近運作的檔案，排查可疑檔案。

1.4 檢視檔案時間

檢視檔案建立時間、修改時間、通路時間，黑客通過Webshell連接配接工具改變的是修改時間，是以如果修改時間在建立時間之前明顯是可疑檔案。

例如：使用forfiles 指令，查詢指定時間新增的檔案，指令就是對2020/2/12後的exe建立檔案進行搜尋。

forfiles /m *.exe /d +2020/2/12 /s /p d：\　/c "cmd /c echo @path @fdate @ftime" 2>null
           

1.删除D:/ 下2天前的.bak的檔案
forfiles /p D:\ /s /m *.bak /d -2 /c "cmd /c del /f @path"
2.列出D盤上的所有.bat檔案
forfiles /p D:\ /s /m *.bat /c "cmd /c echo @file"

--如果想加上說明文字，可以改動如下：
forfiles /p D:\ /s /m *.bat /c "cmd /c echo @file is a batch file"

3.列出D盤上的所有目錄
forfiles /p D:\ /s /m *.* /c "cmd /c if @isdir==true echo @file is a directory"

4.列出D盤上5天前的所有檔案
forfiles /p D:\ /s /m *.* /d -5 /c "cmd /c echo @file : date >= 5 days"

5.列出D盤上2021年1月1日以前建立的檔案，并顯示“file is quite old!”
forfiles /p D:\ /s /m *.* /dt-01011993 /c "cmd /c echo @file file is quite old!"

6.按列格式列出D盤上所有檔案的擴充名
forfiles /p D:\ /s /m *.* /c "cmd /c echo extension of @file is [email protected]" 


           

1.5 webshell 檔案排查

在應急過程中，網站是一個關鍵的入侵點，對Webshell的排查可以通過上述方法進行排查後。還可以使用D盾、HwsKill、WebshellKill等工具對目錄下的檔案進行規則查詢，以檢測相關的Webshell。

webshell清除
D盾_Web清除：http://www.d99net.net/index.asp
河馬webshell清除：http://www.shellpub.com
深信服Webshell網站後門檢測工具：http://edr.sangfor.com.cn/backdoor_detection.html
Safe3：http://www.uusec.com/webshell.zip
           

2、程序、端口排查

Windows系統中的程序排查，主要是找到惡意程序的PID、程式路徑，有時還需要找到PPID（PID的父程序）及程式加載的DLL。

2.1 檢視程序

使用netstat -ano 檢視目前網絡連接配接，定位可疑的ESTABLISHED
Netstat 顯示網絡連接配接、路由表和網絡接口資訊；
參數說明：
 -a 顯示所有網絡連接配接、路由表和網絡接口資訊；
 -n 以數字形式顯示位址和端口号
 -o 顯示與每個連接配接相關的所屬程序ID
 -r 顯示路由表
 -s 顯示按協定統計資訊、預設地、顯示IP

  常見的狀态說明
  LISTENING 偵聽狀态
  ESTABLISHED 建立連接配接
  CLOSE_WAIT  對方主動關閉連接配接或者網絡異常導緻連接配接終端
           

2.2 程序排查

方法一：
1、根據netstat 定位出的pid，在通過tasklist 指令進行程序定位
   netstat -ano | findstr ESTABLISHED
   tasklist | findstr 2528

2、然後根據wmic process 擷取程序的全路徑
   wmic process | findstr "OfficeIm.exe"

3、通過任務管理器定位程序路徑
   a、任務管理器--選擇對應程序--右鍵打開檔案位置
   b、運作輸入 wmic，cmd界面 輸入 process

4、tasklist 顯示運作在計算機中的所有程序
   tasklist /svc 程序--PID--服務 可以顯示每個程序和服務的對應情況
   tasklist /m 加載DLL的惡意程序
   tasklist/m ntdll.dll 可查詢調用ntdll.dll子產品的程序
   

5、檢視Windows服務所對應的端口
   C:\Windows\System32\drivers\etc
   %system%/system32/drivers/etc/services（一般%system%就是C:\Windows）
方法二：
通過工具，檢視可疑的程序及其子程序。可以通過觀察以下内容：
   沒有簽名驗證資訊的程序
   沒有描述資訊的程序
   程序的屬主
   程序的路徑是否合法
   CPU或記憶體資源占用長時間過高的程序

1、開始--運作--輸入msinfo32，依次點選“軟體環境→正在運作任務”就可以檢視到程序的詳細資訊，比如程序路徑、程序ID、檔案建立日期、啟動時間等。
2、打開D盾_web清除工具或者火絨劍，程序檢視，關注沒有簽名資訊的程序。
3、通過微軟官方提供的 Process Explorer 等工具進行排查 。
           

例如，檢視PID為5504的程序，可使用指令【tasklist/svc/fi “PID eq 5504”】檢視

2.3 使用powershell 進行查詢

對于有守護程序的程序，還要确認子父程序之間的關系，可以使用PowerShell進行檢視，一般PowerShell在查詢時會調用Wmi對象。【Get-WmiObject Win32_Process|select Name，ProcessId，ParentProcessId，Path】指令中Get-WmiObject Win32_Process表示擷取程序的所有資訊，select Name，ProcessId，ParentProcessId，Path表示選擇Name，ProcessId，ParentProcessId，Path 4個字段，整個指令表示顯示所有程序資訊中的Name，ProcessId，ParentProcessId，Path 4個字段的内容。執行後的結果如下：

Get-WmiObject Win32_Process | select Name,ProcessId,ParentProcessId,Path
           

2.4 使用WMIC 指令進行排查

wmic process list full /format:csv  //顯示所有程序
wmic process get name,parentprocessid,processid /format:csv  //顯示父程序和子程序
wmic process get ExecutablePath,processid /format:csv //顯示程序 pid和執行路徑
wmic process where processid=64408 get commandline  //查詢該 pid 的指令行
wmic process where processid=64408 delete //指定 pid 進行删除惡意程序
wmic process where name="powershell.exe" call terminate  //删除 "powershell.exe" 的程序
           

指定pid查詢和删除

3、檢查啟動項、計劃任務、服務

3.1 檢查伺服器是否有異常的啟動項

a、進入C槽檢視啟動目錄，預設情況下此目錄在是一個空目錄，确認是否有非業務程式在該目錄下。
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
b、【運作】CMD，輸入 msconfig，檢視是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，并到指令中顯示的路徑删除檔案。
c、【運作】，輸入 regedit，打開系統資料庫，檢視開機啟動項是否正常，特别注意如下三個系統資料庫項：
   HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run 
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
   檢查右側是否有啟動異常的項目，如有請删除，并建議安裝防毒軟體進行病毒清除，清除殘留病毒或木馬。
d、利用安全軟體檢視啟動項、開機時間管理等。
e、組政策，運作gpedit.msc。檢視啟動項位置：使用者配置 - 管理模闆 - 系統 - 登入 - 在使用者登入時運作這些程式
           

3.2 檢查計劃任務

a、【控制台】>（管理工具）【任務計劃程式】，檢視計劃任務屬性，便可以發現木馬檔案的路徑。
b、單擊【開始】>【運作】；輸入 cmd，然後輸入at（schtasks），檢查計算機與網絡上的其它計算機之間的會話或計劃任務，如有，則确認是否為正常連接配接。
           

3.3 服務自啟動

單擊【開始】>【運作】，輸入services.msc，注意服務狀态和啟動類型，檢查是否有異常服務。
           

4、系統賬号排查

4.1 檢視伺服器是否有弱密碼，遠端管理端口是否對公網開放。

檢查方法：據實際情況咨詢相關伺服器管理者。
           

4.2 檢視伺服器是否存在可疑賬号、新增賬号。

檢查方法：打開 cmd 視窗，輸入lusrmgr.msc指令，檢視是否有新增/可疑的賬号，
如有管理者群組的（Administrators）裡的新增賬戶，如有，請立即禁用或删除掉。
           

4.3 檢視安全辨別符、SAM安全賬戶管理器

SID 永遠都是唯一的。由計算機名，目前時間，目前使用者态線程的CPU耗費時間的總和三個參數決定以保證它的唯一性
檢查方法：
a、打開cmd，然後輸入 wmic useraccount get name,sid
b、regedit打開系統資料庫，進入HKEY_LOCAL_MACHINE\SAM\SAM；HKEY_LOCAL_MACHINE\SECURITY，進行檢視
           

4.4 檢視伺服器是否存在隐藏賬号、克隆賬号

檢查方法：
a、打開系統資料庫 ，檢視管理者對應鍵值。
使用regedit打開系統資料庫編輯器找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]
b、使用D盾_web清除工具，內建了對克隆賬号檢測的功能。
           

4.5 結合日志，檢視管理者登入時間、使用者名是否存在異常。

a、Win+R打開運作，輸入“eventvwr.msc”，回車運作，打開“事件檢視器”。
b、導出Windows日志--安全，利用Log Parser進行分析。
           

5、檢查系統相關資訊

5.1 檢視系統版本以及更新檔資訊

檢查方法：單擊【開始】>【運作】，輸入systeminfo，檢視系統資訊
           

5.2 查找可疑目錄及檔案

檢查方法：
a、 檢視使用者目錄，建立賬号會在這個目錄生成一個使用者目錄，檢視是否有建立使用者目錄。
b、單擊【開始】>【運作】，輸入%UserProfile%\Recent，分析最近打開分析可疑檔案。
c、在伺服器各個目錄，可根據檔案夾内檔案清單時間進行排序，查找可疑檔案。
d、資源回收筒、浏覽器下載下傳目錄、浏覽器曆史記錄
e、修改時間在建立時間之前的為可疑檔案
           

6、日志分析

在Windows系統中，日志檔案包括：系統日志、安全性日志及應用程式日志，對于應急響應工程師來說這三類日志需要熟練掌握，其位置如下。

在Windows Vista/Windows 7/Windows 8/Windows 10/Windows Server 2008及以上版本系統中：
系統日志的位置為%SystemRoot%\System32\Winevt\Logs\System.evtx；
安全性日志的位置為%SystemRoot%\System32\Winevt\Logs\Security.evtx；
應用程式日志的位置為%SystemRoot%\System32\Winevt\Logs\Application.evtx。
           

1）系統日志。系統日志主要是指Windows系統中的各個元件在運作中産生的各種事件。這些事件一般可以分為：系統中各種驅動程式在運作中出現的重大問題、作業系統的多種元件在運作中出現的重大問題及應用軟體在運作中出現的重大問題等。這些重大問題主要包括重要資料的丢失、錯誤，以及系統産生的崩潰行為等。

2）安全性日志。安全性日志與系統日志不同，安全性日志主要記錄了各種與安全相關的事件。構成該日志的内容主要包括：各種登入與退出系統的成功或不成功的資訊；對系統中各種重要資源進行的各種操作，如對系統檔案進行的建立、删除、更改等操作。

3）應用程式日志。應用程式日志主要記錄各種應用程式所産生的各類事件。例如，系統中SQL Server資料庫程式在受到暴力破解攻擊時，日志中會有相關記錄，該記錄中包含與對應事件相關的詳細資訊。

除了上述日志，Windows系統還有其他的日志，在進行應急響應和溯源時也可能用到。

win+r 輸入 eventvwr 指令，打開【事件檢視器】視窗
           

日志常用事件ID

6.1 内置的日志篩選器

實際排查中，可通過内置的日志篩選器進行分析。使用日志篩選器可以對記錄時間、事件級别、任務類别、關鍵字等資訊進行篩選

6.2 通過PowerShell對日志進行分析

用PowerShell進行日志分析時，需要有管理者權限才可以對日志進行操作。

通過PowerShell進行查詢最常用的兩個指令是【Get-EventLog】和【Get-WinEvent】，兩者的差別是【Get-EventLog】隻擷取傳統的事件日志，而【Get-WinEvent】是從傳統的事件日志（如系統日志和應用程式日志）和新Windows事件日志技術生成的事件日志中擷取事件，其還會擷取Windows事件跟蹤（ETW）生成的日志檔案中的事件。注意，【Get-WinEvent】需要Windows Vista、Windows Server 2008或更高版本的Windows系統，還需要Microsoft .NET Framework 3.5及以上的版本。總體來說，【Get-WinEvent】功能更強大，但是對系統和.NET的版本有更多要求。

Get-EventLog Security -InstanceId 4625
 Get-EventLog Security -InstanceId 4624
           

列出安全日志 Get-WinEvent -FilterHashtable @{logname="Security";}
列出系統日志 Get-WinEvent -FilterHashtable @{logname="System";}
列出應用程式日志 Get-WinEvent -FilterHashtable @{logname="Application";}
Get-WinEvent -FilterHashtable @{LogName='Security';ID='4625'}
           

6.3 通過相關的日志工具進行分析查詢。

FullEventLogView：FullEventLogView是一個輕量級的日志檢索工具，其是綠色版、免安裝的，檢索速度比Windows系統自帶的檢索工具要快，展示效果更好。

Event Log Explorer：Event Log Explorer是一個檢測系統安全的軟體，可檢視、監視和分析事件記錄，包括安全性、系統、應用程式和其Windows系統事件記錄。

Log Parser：Log Parser是微軟公司推出的日志分析工具，其功能強大，使用簡單，可以分析基于文本的日志檔案、XML檔案、CSV（逗号分隔符）檔案，以及作業系統的事件日志、系統資料庫、檔案系統、Active Directory等。其可以像使用 SQL 語句一樣查詢分析資料，甚至可以把分析結果以各種圖表的形式展現出來。

7、相關工具

7.1 病毒分析

PCHunter：http://www.xuetr.com
火絨劍：https://www.huorong.cn
Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker：https://processhacker.sourceforge.io/downloads.php
autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL：https://www.bleepingcomputer.com/download/otl/
SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector
           

7.2 病毒清除

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、最新病毒庫）
大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載下傳隻能用1周，更新病毒庫）
火絨安全軟體：https://www.huorong.cn
360殺毒：http://sd.360.cn/download_center.html
           

7.3 病毒動态

CVERC-國家計算機病毒應急進行中心：http://www.cverc.org.cn
微步線上威脅情報社群：https://x.threatbook.cn
火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html
愛毒霸社群：http://bbs.duba.net
騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html
           

7.4 線上病毒掃描網站

http://www.virscan.org //多引擎線上病毒掃描網 v1.02，目前支援 41 款殺毒引擎
https://habo.qq.com //騰訊哈勃分析系統
https://virusscan.jotti.org //Jotti惡意軟體掃描系統
http://www.scanvir.com //針對計算機病毒、手機病毒、可疑檔案等進行檢測分析
           

7.5 webshell清除

D盾_Web清除：http://www.d99net.net/index.asp
河馬webshell清除：http://www.shellpub.com
深信服Webshell網站後門檢測工具：http://edr.sangfor.com.cn/backdoor_detection.html
Safe3：http://www.uusec.com/webshell.zip