问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
应急响应实战Windows篇
漏洞分析
若是文章有错误或者不足,请多多指正。 当企业发生入侵事件、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
Windows应急响应 =========== 前言 -- 当企业发生入侵事件、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: ------------ web入侵:Webshell,网页挂马,主页篡改 系统入侵:病毒木马,远控后门,勒索软件 网络攻击:ARP欺骗,DDOS攻击,DNS劫持 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 常见的异常特征: -------- 主机安全:CPU满负载,服务器莫名重启等 网站安全:出现webshell,被植入暗链,网页被篡改等 流量安全:网络堵塞,网络异常等 数据安全:数据泄露,数据被篡改等 文件安全:文件丢失,文件异常等 设备告警:防火墙,杀软,检测平台IDS,态势感知平台等 以上就是常规的异常情况,这些异常情况之前大部分,可能还有一些没有涉及到,但是基本上存在异常,就是说明存在问题。关于这个异常,我们也区分几方面,有的是基于数据流量问题,有的是基于在主机上面出现了一些问题,那么每一个问题出现就是对应的一个安全事件。出现安全事件也不代表对方成功拿下服务器权限,有些安全事件,只是单纯的对方有了进攻行为,是否攻击成功还需要进一步分析才能确定。 如果说单纯的报警没有啥太大的意义,在平时只要对入侵报警分析,把入侵IP封掉,就行。但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 ------ 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: ----- 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 保护阶段:为了防止事件进一步扩大,可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写 应急响应实战分析 -------- 挖矿 -- 随着虚拟货币越来越火,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 正常的机器,cpu是正常情况 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f04ca9bda569be70f96f5264f7f8a3b1e42f7af1.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f04ca9bda569be70f96f5264f7f8a3b1e42f7af1.png) 当我们在浏览网页,或者下载了不正规软件,可能不经意间就会中了挖矿木马。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b224c14e6da45d333cc89a47e8335b420894ffff.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b224c14e6da45d333cc89a47e8335b420894ffff.png) 挖矿木马的特点,会占用大量cpu。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-83a68f1d8212dbbede5e679271a39811293e5fef.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-83a68f1d8212dbbede5e679271a39811293e5fef.png) 重启之后还是出现CPU占满情况。 检测启动项,发现未知的启动项,定位到文件所在位置。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f2b50264d99f425442b6841a9650672bc4e3289a.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f2b50264d99f425442b6841a9650672bc4e3289a.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-8c1516b77b07e0e524294707ffd7e745f5453894.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-8c1516b77b07e0e524294707ffd7e745f5453894.png) 可以定位到文件具体的所在位置 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-fd9277a231579b5a091ffb792e10fb8832cebd6c.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-fd9277a231579b5a091ffb792e10fb8832cebd6c.png) 这个里面的这些地址,都是矿池的地址。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-a2a5010a9bcaf3e80fb5a50f9b646f7247152f50.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-a2a5010a9bcaf3e80fb5a50f9b646f7247152f50.png) 挖矿木马也是有对外连接,看具体怎么写的,不一定一直连接,有的可以间断性的连接。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-43d3b2d38386ebebc713fe5021f7188ab8778a45.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-43d3b2d38386ebebc713fe5021f7188ab8778a45.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-7b0fcc8795fab85055cd0edc4ba1cd17a6aa9f93.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-7b0fcc8795fab85055cd0edc4ba1cd17a6aa9f93.png) 通过威胁分析平台也可以看处,这个异常文件就是个挖矿木马。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-dda3be2680f25be5a7baef65563b5ccb859dfc54.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-dda3be2680f25be5a7baef65563b5ccb859dfc54.png) 通过分析此外连IP,可以看处 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-8b7da6196c993d1870b151dd7734d0404edfdc76.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-8b7da6196c993d1870b151dd7734d0404edfdc76.png) 总结:处理方法有结束进程服务,删除启动项,删除挖矿程序文件。 防范: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows安全补丁,开启防火墙临时关闭端口 3、及时更新web漏洞补丁,升级web组件 勒索 -- 勒索软件是一种来自密码病毒学的恶意软件,会感染您的计算机并显示勒索消息,要求您付费才能使系统再次运行,若不支付赎金,它会威胁发布受害者的数据或永久阻止对其的访问。早期勒索软件攻击通常使用伪装成合法文件的特洛伊木马来进行,诱使用户以电子邮件附件的形式下载或打开该木马。当下比较常见的方式为暴力破解、漏洞利用的方式进行人工投毒。 当你中了勒索病毒之后,电脑的文件都会被加密,并且出现下面类似情况,问你索要赎金。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-3cf69fbf0662837f08cc9e09fb345607f50de951.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-3cf69fbf0662837f08cc9e09fb345607f50de951.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-1ba8a07e6e92d4db0b7eb6619ef4620ea32c16a6.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-1ba8a07e6e92d4db0b7eb6619ef4620ea32c16a6.png) 以及文件后缀都被改变,文件内容被加密。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ec0ea524bb31710994c0708583c18a32f7d72c2a.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ec0ea524bb31710994c0708583c18a32f7d72c2a.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-76885077cf770c77bd5d201e0621219b3f334b43.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-76885077cf770c77bd5d201e0621219b3f334b43.png) 出现这种情况,基本就是中招了。该怎么办呢?首先判断勒索病毒的种类,可以根据病毒样本,特征,后缀进行判断。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-62a5f8a4bc2d3c7f62572c6600682224361e0eef.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-62a5f8a4bc2d3c7f62572c6600682224361e0eef.png) 溯源思路: 1.排查当前系统、确定勒索时间线 2通过时间线、排查日志及行为 3.寻找落地文件及样本、进一步分析行为 绝大多数勒索病毒,是无法解密的,一旦被加密,即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作,数据库与源码分离(类似OA系统附件资源也很重要,也要备份)。 遇到了,试一试勒索病毒解密工具: “拒绝勒索软件”网站 <https://www.nomoreransom.org/zh/index.html> 360安全卫士勒索病毒专题 <http://lesuobingdu.360.cn> 一旦中了勒索病毒,文件会被锁死,没有办法正常访问了,这时候,会给你带来极大的困恼。为了防范这样的事情出现,我们电脑上要先做好一些措施: 1、安装杀毒软件,保持监控开启,定期全盘扫描 2、及时更新 Windows安全补丁,开启防火墙临时关闭端口,如445、135、137、138、139、3389等端口 3、及时更新web漏洞补丁,升级web组件 4、备份。重要的资料一定要备份,谨防资料丢失 5、强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开 后门 -- 我们在这里使用CS上线机器,进行演示。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-3cadca1778791b00abcecfa27b910089bed6884b.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-3cadca1778791b00abcecfa27b910089bed6884b.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-8666f31468934e586c2efcc5a5321f2b1939cd99.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-8666f31468934e586c2efcc5a5321f2b1939cd99.png) 这里可以知道,机器已经上线。 然后可以分析异常进程 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ceb7cba10ce13619d17472906236a15a1e54495c.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ceb7cba10ce13619d17472906236a15a1e54495c.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-afb15b7b74a6cd7e295ce3f46fe6f3a453167d7c.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-afb15b7b74a6cd7e295ce3f46fe6f3a453167d7c.png) 一种是上传检测文件,另一种查看网络连接。 这边推荐的是奇安信的威胁分析平台。把异常文件拖出来进行检测,查看检测结果。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f190034c1d43799392d6e61c8ea2f26577b40f5d.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f190034c1d43799392d6e61c8ea2f26577b40f5d.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-bb0740a06a81135f07af5d3061d23ea5d29b8d82.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-bb0740a06a81135f07af5d3061d23ea5d29b8d82.png) 这种异常文件可以直接分辨出不正常,但是如果入侵者对文件进行免杀处理过,混淆成很普通很正常的文件,这个时候我们该怎么办呢? 这个时候就需要检查网络信息 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-cd5dcebc908732b9a61633df5fd418009772ee49.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-cd5dcebc908732b9a61633df5fd418009772ee49.png) 这边可以看处,异常进程的安全状态是未知文件。并且本地地址跟远程地址以及端口连接也有。 推荐使用火绒剑,方便便捷。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-e042eff9ab3838d0c43db78a45ac27f6effa5e6c.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-e042eff9ab3838d0c43db78a45ac27f6effa5e6c.png) 总结:所有说一般后门排查,他都有个进程,进程会有个连接,他会和远程攻击者地址进行连接。这样你就可以检查一下你的网络状态,看是否有异常连接。还有就是定位异常程序,把这个程序上传到威胁感知分析平台,进行分析,看是正常文件,还是恶意文件。 但这只是能发现这种常见的远控。其实在APT攻击里面,比较深层的攻击里面,有些后门并不在进程中显示,它会在内核里面,不是简单的杀毒,重装系统就能清理,这种东西常规检测不到,需要专门人员进行现场研究。 爆破 -- 爆破事件一般通过一些协议爆破,Windows爆破RDP协议,Linux爆破SSH协议,通过远程爆破口令,来连接你的对应端口服务,以至于控制你的服务器,这都是常用的攻击手段。这种事件发生该怎么识别呢? 这是系统自带协议,一般会有相关的日志产生。如果是服务器上部署了防火墙,防护监控告警设备,这在发生入侵事件会告警。如果这些防护都没有,通过查看系统日志也是可以看出来的。 [![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-377217982bbd31b3392a463cb174bb637f0c250c.png)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-377217982bbd31b3392a463cb174bb637f0c250c.png) 排查方式:基于日志事件成功失败,时间筛选进行排查。
发表于 2021-10-29 09:43:14
阅读 ( 8023 )
分类:
应急响应
7 推荐
收藏
5 条评论
flowers
2021-10-29 16:31
不错不错
请先
登录
后评论
HBXQ
2021-10-29 09:48
大佬,学到了很多
请先
登录
后评论
Sum
2021-10-29 18:33
大佬带我飞
请先
登录
后评论
Sum
2021-10-29 18:33
[加油]
请先
登录
后评论
afei00123
2021-10-29 20:07
可以可以
请先
登录
后评论
请先
登录
后评论
Sum
1 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!