應(yīng)急響應(yīng)流程

PDCERF模型

1. P（Preparation 準(zhǔn)備）：信息搜集，工具準(zhǔn)備

2. D（Detection 檢測）：了解資產(chǎn)現(xiàn)狀，明確造成影響，嘗試進(jìn)行攻擊路徑溯源

3. C（Containment 遏制）：關(guān)閉端口、服務(wù)，停止進(jìn)程，拔網(wǎng)線

4. E（Eradication 根除）：清除危險文件、進(jìn)程

5. R（Recovery 恢復(fù)）：備份，恢復(fù)系統(tǒng)正常狀態(tài)

6. F （follow-up 跟蹤）：復(fù)盤事件全貌，總結(jié)匯報

賬戶排查

檢查服務(wù)器是否存在：新增賬戶、隱藏賬戶、克隆賬戶、可疑賬戶。

檢查遠(yuǎn)程管理端口是否對公網(wǎng)開放，服務(wù)器是否存在弱口令。

隱藏賬戶

在 Windows 操作系統(tǒng)中，一個以 $ 結(jié)尾的用戶名會將用戶帳戶標(biāo)記為隱藏帳戶，不會在登錄界面或用戶管理中顯示。

使用 net user 命令看不到隱藏賬戶，使用本地用戶管理也看不到。

隱藏賬戶排查

1. 使用 regedit 通過查看注冊表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names (最準(zhǔn)確)

2. 使用 wmic 命令，輸入 wmic useraccount get name,sid

3. 使用 lusrmgr.msc 命令，在本地用戶和組里查看是否有新增/可疑的賬號

4. 通過日志排查，eventvwr.msc 打開事件查看器，進(jìn)行日志審計

5. 使用D盾有查看賬戶的功能

弱口令排查

常見應(yīng)用有RDP:3389、SMB:445、FTP:21等

1. 查看是否啟用組策略，限制弱口令

2. 查看是否有暴力破解日志，成功登錄事件ID 4624，登錄失敗事件ID 4625

window常用日志事件ID，可以重點關(guān)注4624/4625的登錄類型。

網(wǎng)絡(luò)排查

通常惡意程序會發(fā)起網(wǎng)絡(luò)連接，從網(wǎng)絡(luò)連接來查找惡意程序是最直接的方法。

1. 命令 netstat -ano 檢查網(wǎng)絡(luò)監(jiān)聽和連接的端口，結(jié)合 find 重點看狀態(tài)是 ESTABLISHED 的端口 netstat -ano | find "estab"

2. 任務(wù)管理器-->性能-->資源監(jiān)測器

通過網(wǎng)絡(luò)找進(jìn)程，通過進(jìn)程找文件可以使用 netstat -b 顯示在創(chuàng)建每個連接或偵聽端口時涉及的可執(zhí)行程序。

網(wǎng)絡(luò)排查中還有一部分內(nèi)容是路由表，查看本機(jī)是否被利用作VPN跳板。

查看路由信息：route print 或者 netstat -rn

進(jìn)程排查

最簡單的查看進(jìn)程方式：任務(wù)管理器（taskmgr）

查看系統(tǒng)信息：msinfo32 查看進(jìn)程相關(guān)信息，軟件環(huán)境-->正在運行任務(wù)/加載的模塊/服務(wù)/啟動程序

進(jìn)程通常結(jié)合網(wǎng)絡(luò)查看異常，先檢查異常的網(wǎng)絡(luò)連接，再獲取由哪個進(jìn)程生成的網(wǎng)絡(luò)連接。

命令 tasklist 查看進(jìn)程列表，查找 PID 對應(yīng)的進(jìn)程：tasklist | findstr PID

需要重點關(guān)注的內(nèi)容：

1. 沒有簽名驗證信息的進(jìn)程

2. 進(jìn)程的可執(zhí)行文件路徑

3. 進(jìn)程的可執(zhí)行文件生成時間

4. 進(jìn)程描述是否異常

5. CPU或內(nèi)存資源占用長時間過高的進(jìn)程

6. 網(wǎng)絡(luò)連接異常的進(jìn)程

進(jìn)程與服務(wù)

很多惡意程序會通過服務(wù)來啟動進(jìn)程。

運行 services.msc 可以打開 Windows 服務(wù)工具。

可以通過命令行查看進(jìn)程與服務(wù)關(guān)聯(lián)：tasklist /svc

使用 wmic 命令獲取更多進(jìn)程信息，進(jìn)程運行參數(shù)查詢，如svchost進(jìn)程具體運行了什么：

wmic process where name='svchost.exe' get caption,commandline,processid,parentprocessid

惡意文件通常會寫成DLL文件，而非EXE直接執(zhí)行，使用進(jìn)程加載模塊查詢：tasklist -m

啟動項排查

系統(tǒng)配置的啟動項：msconfig

需要關(guān)注的注冊表：

HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

運行 gpedit.msc 在本地組策略編輯器里查看開機(jī)運行或登錄腳本

計劃任務(wù)排查

使用命令查看計劃任務(wù)：schtasks

計劃任務(wù)程序面板：taskschd.msc

計劃任務(wù)注冊表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

注冊表檢查

HKEY_CLASSES_ROOT（HKCR）：包含文件關(guān)聯(lián)、文件類型和COM類注冊表信息

HKEY_CURRENT_USER（HKCU）：包含當(dāng)前登錄系統(tǒng)的用戶的配置信息

HKEY_LOCAL_MACHINE（H KLM）：包含運行操作系統(tǒng)的計算機(jī)硬件特定信息

HKEY_USERS（HKU）：包含系統(tǒng)上所有用戶配置文件的配置信息

HKEY_CURRENT_CONFIG（HCU）：存儲有關(guān)系統(tǒng)當(dāng)前配置的信息

內(nèi)存分析

很多時候惡意代碼會使用無文件技術(shù)，存于內(nèi)存，且會使用各種hook技術(shù)隱藏文件。

分析內(nèi)存首要步驟是獲取內(nèi)存，如果服務(wù)器是虛擬機(jī)，可以直接讀取內(nèi)存文件，如vmware的內(nèi)存文件，直接在目錄下。

物理機(jī)獲取內(nèi)存

1. 從任務(wù)管理器直接轉(zhuǎn)存進(jìn)程的內(nèi)存：任務(wù)管理器-->創(chuàng)建轉(zhuǎn)儲文件

2. 在計算機(jī)屬性，系統(tǒng)屬性，高級選項卡中選擇“啟動和故障恢復(fù)設(shè)置”，選擇完全轉(zhuǎn)儲內(nèi)存。（高級系統(tǒng)設(shè)置，需要重啟后才能獲取內(nèi)存）

使用 SysinternalsSuite 工具集的 notmyfault64 工具，管理員模式運 NotMyFault64.exe，此工具會使系統(tǒng)藍(lán)屏，后收集內(nèi)存。

內(nèi)存分析

通常是使用 volatility 進(jìn)行內(nèi)存分析，內(nèi)存取證。

Volatility 需要知道內(nèi)存鏡像來自哪種類型的系統(tǒng)以確定使用哪些數(shù)據(jù)結(jié)構(gòu)等。

日志分析

Windows 日志包括應(yīng)用程序日志、安全日志、系統(tǒng)日志和Setup日志。

• 系統(tǒng)日志：包含Windows系統(tǒng)組件記錄的事件。

• 應(yīng)用程序日志：包含由應(yīng)用程序或程序記錄的事件。

• 安全日志：包含如有效和無效的登錄嘗試等事件，以及與資源使用相關(guān)的事件。

使用命令 eventvwr.msc 打開事件查看器。

Windows日志位置

windows日志路徑：

在 Windows xp/2003 中日志位于：%SystemRoot%\System32\Config*.evt

在 Windows vista/7 以后日志位于：%SystemRoot%\System32\winevt\Logs*.evtx

例如：

1. 應(yīng)用程序日志：C:\Windows\System32\winevt\Logs

2. 安全日志：C:\Windows\System32\winevt\Logs\Security.evtx

3. 系統(tǒng)日志：C:\Windows\System32\winevt\Logs\System.evtx

Window常用日志事件ID

Windows登錄類型

powershell過濾日志

查看當(dāng)前日志配置

Get-EventLog -List

從日志來源和事件ID過濾日志

Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4625}

從關(guān)鍵字過濾日志

Get-EventLog -LogName System -Message *administrator*

查詢索引3011日志具體信息

$A = Get-EventLog -LogName System -Index 3011
$A | Select-Object -Property *

日志審核策略使用命令： auditpol /get /category:*

日志分析工具

Windows有一個的強(qiáng)大分析工具 LogParser

LogParser提供一種類似SQL的語句用來查詢?nèi)罩尽?/p>

例如：從 Security.evtx 日志文件中選擇所有事件 ID 為 4624 的事件

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx where EventID=4624"

Logparser需要指定輸入，輸出格式類型，常用的輸出格式為DATAGRID，即直接展示日志，也可導(dǎo)出成CSV。

若有錯誤，歡迎指正！o(￣▽￣)ブ文章來源地址http://www.zghlxwxcb.cn/news/detail-860037.html

到了這里，關(guān)于Windows應(yīng)急響應(yīng)小結(jié)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！