Windows应急响应笔记1

1.判断计算机是否有外联：

①netstat -ano netstat表示查看网络状态，-a为查看所有连接及其侦听接口，-n表示数字形式不解析，-o表示显示进程的PID。

然后提取ip，威胁情报api调用，确定哪个为恶意ip由此定位到其所在进程再确定文件。

②可以用任务管理器（不推荐）

③用tcpviewer或者pchunter，直接通过远程连接地址筛选有远程连接的进程，然后再找相关的文件。

2。进程注入：

进程注入是一种在独立的活动进程的地址空间中执行任意代码的方法，在另一个进程的上下文中运行代码，会允许访问该进程的内存、系统资源、网络资源以及可能的特权提升。

由于执行的代码由合法的程序代理执行，因此通过进程注入执行也可能会绕过部分安全产品的防病毒检测或进程白名单检测。

简单来说就是在独立进程中放入恶意代码，在进程运行的时候运行恶意代码，达到攻击者目的

3.PPID注入：

PPID注入是进程注入的变体。首先进行进程注入，但是进程注入后可能被系统发现并且清除。

所以可以把被注入进程的PPID(父进程ID)修改为合法的进程ID，比如explorer.exe

4.白加黑：

白加黑指的是利用杀毒软件对放入白名单的软件的信任，悄无声息的运行恶意程序。

5.360晶核：

360晶核是360安全团队开发的一种安全检测引擎。

当360晶核开启以后，ppid注入一般是失效的。另外，对于一些公开的白名单软件，用其进行进程注入360会报警，未公开360则不会被拦截。

6.反向隧道技术：

就是由靶机主动发动连接，连接到控制端以后，控制端可以实施控制操作

7.dumplsass:

这个主要指的是，通过获取lsass进程的转储文件，获取系统重要信息。

8.权限维持（维权）和WindowsAPI：

权限维持实际上是提权，也就是从低权限变成高权限。记得之前看过的那个通过修改etc/passwd，创建新的uid为0的用户以获得root权限实现提权，这是Linux系统的权限维持攻击，或者叫提权。

Windows API 提供了一组用于管理操作系统功能和资源的函数、结构和常量，可以用于开发windows。当然Windows API 可以创造用户，所以跟linux那个类似，也可以权限维持

总之，一般来说windows维权的话windowsapi创造管理员权限用户是很经典的操作。

另外的话，添加用户也可以用cobalt strike的bof 插件进行添加。这种情况下火绒和360都不会告警。

查看用户是用net user。如果要识别添加用户，直接问运维有无此账号就OK。

9.计划任务和RPC：

计划任务允许用户再其指定的时间内自动执行操作。

RPC指的是远程过程调用。rpc任务计划可以理解为远程管理任务计划，这也是不会被360拦截的。计划任务可以通过火绒查看。

10.dll和dll劫持：

dll文件包含了可复用的代码，函数以及数据资源。dll劫持就是通过把恶意代码文件伪装成合法的dll，使得程序调用dll的时候执行恶意代码。当然，也可以把恶意代码直接写入正常dll。或者通过遗弃dll劫持也可行。

具体看大佬文章https://blog.csdn.net/qq_59468567/article/details/137720765

我这里只简单地总结一下：

①修改正常dll没什么可说的

②函数转发的·dll劫持：dll调用时候的搜索是有优先顺序的，这个方法就是把合法的dll优先级降低，先搜索到恶意的dll，这样就完成了劫持

③遗弃dll劫持：有一些不再为程序所使用的dll，但是程序仍然会调用它们，尽管它们不存在了，具体是哪些可以用dllspy查看，总之恶意代码改成遗弃的同名dll就可以实现劫持。

对dll劫持的识别可以通过进程链来进行。如果一个进程链的程序合法，但是总体来看比较可疑，比如任务资源管理器→cmd.exe→白程序.exe，那么这个链就可能是可疑的。在360，这样的进程链会die.

11.启动项：顾名思义，计算机启动时运行的程序，而启动项也可以通过白加黑的手段把恶意代码注入至启动项。一般来说，可以用Autoruns或者火绒查看启动项。

12：EDR：是一种解决方案，全称端点检测与响应，旨在保护计算机网络中的所有设备，可以实现实时监控，快速响应，威胁检测，以及调查分析功能。

Q&A：

如果域控制器被打穿了怎么排查应急？

说明：①域理解为内网。每个域都有一个域控制器，域控制器可以生成TGT，凭借TGT可以访问其他的域内计算机。 

②实际上在域内计算机登录其他域内计算机的过程是这样的：登陆计算机发送用户密码至域控→域控判断用户凭据是否正确，如果正确，授予其TGT→登陆计算机用TGT访问目标计算机。就像是看电影，要先从卖票的那里拿到票（域控授予TGT），检票（目标计算机验证TGT），然后才可以看电影（访问控制目标计算机）

域控制器被打穿了说明攻击者可以随意生成TGT访问其他域内计算机资源。

主要措施是：第一个是加固krbtgt账号的哈希。

重点讲一下这个，当域内计算机A访问域内计算机B要经过域控制器。A输入用户密码，域控就生成凭证TGT（被秘密密钥加密，该密钥由tgt和tgs共用）以及会话密钥（只是用来验证通信双方，相当于战争时同一部队的口令），A收到TGT和会话密钥后，就可以向TGS请求服务票据，而服务票据也是加密的，由B的密钥加密，也就是说，必须由B计算机才能解密服务票据，解密完成后A和B就可以通信了。如果krbtgt账号被控制，密钥泄露，那么就可以制造“金票”，由密钥加密的tgt凭据必然能在tgs那里解密成功，也就是说必然可以拿到票据与其他计算机通信。

第二是对ACL策略的改写。简单来说，acl策略对特定用户，用户组对资源的访问权限进行了限制。

第三看看ssp注入，ssp（安全支持提供者），是dll文件，在登陆时启动lsass进程会调用到，但是lsass进程还可以调用其他自定义的dll，此时可以利用自定义dll获取lsass的明文密码。

edr检测发现大量的内网渗透告警，怎么应急？

1一般来要么是dmz方向的入侵（dmz是外网与内网的一个缓冲区域），或者内网的个人pc被钓鱼攻击。

2dmz的话思路是dmz→web服务器被入侵→webshell→隧道

3如果发现192.168.1.2成功入侵192.168.3.4，可能的路径是？

①有可能两台机器直接联通

②可以通过一个内网的多网卡机器，比如插了192.168.1.7和192.168.3.9那就是1.2打进1.7再从3.9打进3.4