暗月-39应急响应
1、蓝队技能-应急响应概述
windows应急响应
1.应急响应流程包括事件发生、上报、确认、评估、响应、处理、关闭和报告。
2.应急响应等级分为一级、二级、三级、四级,网络安全应急响应通常涉及重大网络事件。
3.应急响应流程包括准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段和总结阶段。(PDCERT方法模型)
准备阶段
1.准备阶段主要包括风险评估、建立信息安全管理体系、部署安全设备和安装防护软件。
2.建立应急响应和演练制度,进行安全设备和软件的安装和配置。
检测阶段
1.检测阶段判断安全事件是否发生,评估安全事件的危害程度及处理方式。
2.常见安全事件包括病毒攻击(勒索、挖矿)、敏感资料泄露(账户)、业务破坏(网页篡改、破坏、数据被删)、系统崩溃(ddos、批量请求)等。
抑制阶段
1.抑制阶段旨在降低安全事件损失,限制安全事件的发生范围和时长。
2.采取断开网络(封ID)、关闭受影响系统(下线)等措施,暂停影响账号的使用、修改ACL、关闭未受影响业务和蜜罐。
根除阶段
1.根除阶段找出安全事件的根源,清除隐患,防止安全事件二次发生。
2.避免插入U盘等操作,防止病毒传播。
恢复阶段
1.恢复阶段将系统恢复到安全事件发生前的正常运行状态,并恢复备份数据。
总结阶段
1.这个阶段是总结这个安全事件的发生过程,并以此对涉事单位的安全技术配置、安全管理制度等进行分析评审,并以此为基础确定是否还会有新的风险,最后输出整改建议,包括安全设备采购、安全管理制度修订等
这个阶段输出:
应急响应报告,包括安全事件发生流程、造成的危害、处置的方法
企业问题清单
现场处置流程
在现场中,首先通过访谈和现场确认,大概确认事件类型,再以此作针对性访谈和检查,然后制定应急方案,再逐步排查系统、进程、服务、文件痕迹、日志等。
应急响应分析流程
事件类型-》时间范围-》系统排查-》进程排查-》服务排查-》文件痕迹排查-》日志分析-》》关联推理-》结论
2、系统排查相关技能
基础排查时
1、系统的基本信息
命令:
msinfo32.exe——提供了一个图形用户界面来查看和分析计算机的硬件和软件配置信息。
正在运行的任务等等,找找那几个页面
systeminfo——一个在 Windows 系统中用于显示有关计算机系统信息的命令行工具。使用这个命令可以获取包括操作系统版本、安装日期、系统启动时间、已安装的热修复程序、处理器类型、内存大小等多种系统信息。
set——环境变量
2、排查网络连接
netstat -ano——协议,本地开放端口
LISTENING 服务启动后首先处于侦听
ESTABLISHED 建立连接。表示两台机器正在通信。
CLOSE WAIT 对方主动关闭连接或者网络异常导致连接中断,这时我方的状态会变成CLOSE WAIT 此时我方要调用close()来使得连接正确关闭
TIME WAIT 我方主动调用close()断开连接,收到对方确认后状态变为TIME WAIT。
netstat -anob(管理员权限)——
根据进程定位程序
重点关注ESTABLISHED pid
tasklist 查看进程
C:\Windows\System32>tasklist | findstr "17984"
PicGo.exe 17984 Console 3 40,920 K
3、利用系统文件启动执行后门
操作系统中的启动菜单
win+r,输入shell:startup
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\15703\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
系统配置msconfig
注册表启动regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
4、临时文件分析
命令%temp%——dir %temp%
C:\Users\15703\AppData\Local\Temp
查看是否有害——www.virscan.org
5、组策略
运行gpedit.msc
6、计划任务
运行taskschd.msc打开计划任务 查看属性 检测是否存在可疑的任务
也可在终端schtasks命令查看
排查应用程序加载的dll
排查检测账号
1.查询在线登录用户,检查是否有异常账号。 2.使用命令查看系统中的所有账号及其属性。 3.检查账号克隆情况,通过注册表查看隐藏账号。 4.使用工具检测账号异常,如迪盾工具。
1、查看在线登录用户
query user
2、查看隐藏账号
账号后面加上$在命令终端是查看不到的
net user
C:\Windows\System32>net user
\\CYAN 的用户帐户
-------------------------------------------------------------------------------
15703 Administrator DefaultAccount
Guest WDAGUtilityAccount
命令成功完成。
需要在计算机管理 本地用户和组查看
也可以用命令 lusrmgr.msc
3、账号克隆
注册表regedit
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
前几年比较火的留后门的方式
用D盾可以检测出来
敏感文件和目录排查
msconfig查看开机启动项和服务有无敏感内容
systeminfo查询系统和补丁收集主机信息
在系统创建用户会在C:\Users账号登录的时候会创建用户目录
查看敏感目录下是否有可疑文件
%WINDIR%——实际上是Windows系统默认设置的一个环境变量,表示Windows系统的安装目录
%WINDIR%\System32——Windows操作系统的系统文件夹。是操作系统的神经中枢。文件夹中包含了大量的用于Windows操作系统的文件
%LOCALAPPDATA%——应用程序本地数据
查看是否有病毒——www.virscan.org
文件痕迹排查
%UserProfile%\Recent 查看用户最近的打开的文件 对可疑的文件进行分析 文件可疑上传到病毒库平台分析。
在线检测分析平台
http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析
临时目录 %tmp%
进程排查
排查可疑进程
打开任务管理器查看进程
tasklist
tasklist /svc查看每个进程和服务对应的情况
对于某些加载dll的恶意进程 可以通过输入tasklist /m查看
tasklist /m ntdll.dll查看调用dll模块的进程
tasklist还有过滤的命令 可以使用 fi命令进行 筛选
tasklist | findstr 17984
tasklist /svc /fi "PID eq 17984"查看指定进程id的详细信息
C:\Users\15703>tasklist /svc /fi "PID eq 17984"
映像名称 PID 服务
========================= ======== ============================================
PicGo.exe 17984 暂缺
筛选器:
筛选器名称 有效运算符 有效值
--------------------------------
STATUS eq, ne RUNNING | SUSPENDED
NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne 映像名称
PID eq, ne, gt, lt, ge, le
PID 值
SESSION eq, ne, gt, lt, ge, le
会话编号
SESSIONNAME eq, ne 会话名称
CPUTIME eq, ne, gt, lt, ge, le
CPU 时间,格式为 hh:mm:ss.
hh - 小时, mm - 分钟, ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le
内存使用(以 KB 为单位)
USERNAME eq, ne 用户名,格式为 [域\]用户
SERVICES eq, ne 服务名称
WINDOWTITLE eq, ne 窗口标题
模块 eq, ne DLL 名称
防火墙查看
- 打开控制面板
控制面板\系统和安全\Windows Defender 防火墙 - 打开【Windows防火墙】窗口,单击【高级设置】,然后选择【入站规则】或【出站规则】可查看防火墙的入站规则或出站规则。
- 在命令行中输入【netsh】命令进行查看,使用【netsh firewall show state】命令,可显示当前防火墙的网络配置状态。
netsh firewall show allowedprogram 显示 Windows 防火墙中的允许程序配置
netsh firewall show config 显示 Windows 防火墙配置
netsh firewall show currentprofile 显示 Windows 防火墙的当前配置文件
netsh firewall show icmpsettings 显示 Windows 防火墙中的 ICMP 配置
netsh firewall show logging 显示 Windows 防火墙中的日志记录配置
netsh firewall show notifications 显示 Windows 防火墙中的通知配置
netsh firewall show opmode 显示 Windows 防火墙中的操作配置
netsh firewall show portopening 显示 Windows 防火墙中的端口配置
netsh firewall show service 显示 Windows 防火墙中的服务配置
netsh firewall show state 显示 Windows 防火墙的当前状态
3、windows日志分析
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
1、日志分类(3种)
Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
1、系统日志
Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。
日志的默认位置为:C:\Windows\System32\winevt\Logs\System.evtx
2、应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
日志的默认位置为:C:\Windows\System32\winevt\Logs\Application.evtx
3、安全日志
主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。
日志的默认位置为:C:\Windows\System32\winevt\Logs\Security.evtx
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
日志类型和审核策略:
Windows系统内置三个核心日志文件:System、Security、Application,默认大小均为20480kB也就是20MB,记录数据超过20MB时会覆盖过期的日志记录;其他的应用程序以及服务日志默认大小均为1MB,超过这个大小一样的处理方法。
【建议把日志从覆盖改为另外存档,这样的话虽然占内存比较多但是会更加安全】
【如果是黑客的话记得把日志删了】
打开“控制面板”,选择“系统和安全”。
在“系统和安全”窗口中,找到并打开“管理工具”。
在“管理工具”中,点击“本地安全策略”以打开。
本地安全策略应用,或者`win+r`输入`secpol.msc`
计算机管理-》事件查看器-》Windows日志
2、日志类型
Windows 事件日志共有5种类型,所有的事件类型必须是这5种的其中一种,而且只能是一种。这5种事件类型分别是:
| 事件类型 | 注释 |
|---|---|
| 信息 (Information) | 指应用程序、驱动程序、或服务的成功操作事件 |
| 警告 (Warning) | 警告事件不是直接的、主要的,但是会导致将来问题的发生 |
| 错误 (Error) | 指用户应该知晓的重要问题 |
| 成功审核 (Success Audit) | 主要指安全性日志,记录用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录事件 |
| 失败审核 (Failure Audit) | 失败的审核安全登录尝试 |
设置本地策略
gpedit.msc->Windows设置一>安全设置->本地设置一>本地策略
1、审核策略更改(成功和失败)
2、审核登录事件(成功和失败)
3、审核对象访问(失败)
4、审核过程跟踪(可选)
5、审核目录服务访问(未定义)
6、审核特权使用(失败)
7、审核系统事件(成功和失败)
8、审核帐户登录事件(成功和失败)
9、审核帐户管理(成功和失败)
日志文件存放位置:C:\Windows\System32\winevt\Logs
3、常见的事件ID对应表:
适用于Win8/Win10/Server2008/Server2012 以及以后版本
| 事件ID | 说明 |
|---|---|
| 1102 | 清理审计日志 |
| 4624 | 账号登录成功 |
| 4625 | 账号登录失败 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从启用安全的本地组中移除 |
| 4756 | 将成员添加到启用安全的通用组中 |
| 4757 | 将成员从启用安全的通用组中移除 |
| 4719 | 系统审计策略修改 |
其余事件ID可以通过此网站查找:http://www.eventid.net/search.asp
事件ID汇总 https://blog.csdn.net/qq_45825991/article/details/115577680
这五类事件中最重要的是成功审核(Success Audit),所有系统登录成功都会被标记为成功审核。每个成功登录事件都会标记一个登录类型。
| 登录类型 | 描述 |
|---|---|
| 2 | 交互式登录(用户从控制台登录) |
| 3 | 网络(通过net、use访问共享网络) |
| 4 | 批处理 |
| 5 | 服务启动,由服务控制管理器启动 |
| 7 | 解锁(带密码保护的屏幕保护程序的无人值班工作站) |
| 8 | 网络明文(IIS服务器登录验证) 新凭据登录(呼叫方为出站连接克隆了其当前令牌和指定的新凭据。新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。) |
| 终端服务,远程桌面,远程辅助 | |
| 11 | 使用存储在计算机本地的网络凭据登录到此计算机的用户。未联系域控制器以验证凭据。 |
登录类型2:交互式登录(Interactive):就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
登录类型3:网络(Network):最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。
登录类型4:批处理(Batch):当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service):与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没有得到更新。
登录类型7:解锁(Unlock):很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。
登录类型8:网络明文(NetworkCleartext):通常发生在IIS的ASP登录。
登录类型9:新凭证(NewCredentials):通常发生在RunAS方式运行某程序时的登录验证。
登录类型10:远程交互(RemoteInteractive):通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别。注意XP之前的版本不支持这种登录类型,比如Windows 2000。
登录类型11:缓存交互(CachedInteractive):在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。
事件日志分析
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明:
| 事件ID | 说明 |
|---|---|
| 4624 | 登录成功 |
| 4625 | 登录失败 |
| 4634 | 注销成功 |
| 4647 | 用户启动的注销 |
| 4672 | 使用超级用户(如管理员)进行登录 |
| 4720 | 创建用户 |
事件查看器 查看日志
控制面板 ->管理工具 ->事件查看器
在事件点击安全 点击 筛选当前日志 输入id进行 筛选
搜索4720 看到创建被创建隐藏账号【后面是$结尾】
筛选 4625 找到大量的失败的登录日志 有可能被暴力破解
4、日志分析工具
Log Parser 是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV (逗号分隔符) 文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
下载地址 https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659
新链接:Introducing: Log Parser Studio | Microsoft Community Hub
使用案例 https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
按照完成后添加到系统环境变量
变量名:Path
变量值:路径
执行命令LogParser.exe
常用命令
查看结构
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx"
使用Log Parser分析日志
1、查询成功登录的所有事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx where EventID=4624"
指定登录时间范围的事件:
C:\>Logparser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx where TimeGenerated>'2023-06-25 23:32:11' and TimeGenerated<'2023-06-26 23:34:00' and EventID=4624"
提取登录成功的用户名和IP:
C:\>LogParser.exe -i:EVT -o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ' ') as Eventtype, TimeGenerated as LoginTime, EXTRACT_TOKEN(Strings,5,'|') as Username, EXTRACT_TOKEN(Message,38,' ' ') as LoginIP FROM Security.evtx where EventID=4624"
ping ip就能得到
ping XXX -4 能得到ip
ping /? 给出帮助
2、查询登录失败的所有事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx where EventID=4625"
提取登录失败用户名进行聚合统计
C:\>LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ' ') as EventType, EXTRACT_TOKEN(Message,10,' ' ') as user, count(EXTRACT_TOKEN(Message,19,' ' ')) as Times, EXTRACT_TOKEN(Message,39,' ') as LoginIP FROM Security.evtx where EventID=4625 GROUP BY Message"
系统历史开关机记录:
C:\>LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated, EventID, Message FROM System.evtx where EventID=6005 or EventID=6006"
2024-12-23 晚安
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
