Windows应急响应(超详细)

于 2024-07-15 15:11:18 发布
阅读量384 收藏 6
点赞数 14
文章标签: windows Windows应急响应 应急响应 webshell 网络攻击防御 网络攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csjjjd/article/details/140360803
版权

1.攻击归类

      要进行应急响应,通俗来讲,首先你得知道攻击你的是啥。

常见的攻击归类如下:

1.系统入侵:病毒木马、勒索软件、远控后门

2.web入侵:网页挂马、主页篡改、Webshell
3.网络攻击:DDOS攻击、DNS劫持、ARP欺骗

分类在应急响应整个流程里面还是相对容易的,比如你的网站出事了,被人挂了马或图片,很明显就是web入侵。

如果你被勒索或者被挖矿,或者病毒入侵,都可以视为系统入侵,因为已经打到了你的系统层面,可以调用你的一些系统权限,很明显就是一个系统入侵。

网络攻击查看一手流量分析,实时监控网络就可以看出,不必多说。

2.系统入侵响应

首先你得先明白,此时黑客可能已经获得了部分你的系统权限。

(1)账号的检查

首先调用windows命令窗口,使用
 

net user

 可以查看有无多出来的一个系统用户。

如果没有找到,有可能黑客在在进行权限维持的时候进行了使用了隐藏账户。此时直接使用

管理员权限进入注册表编辑器

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account

查看Users表项与net user表项中的项数量是否一致

之前的net user只出现了五个账户,但是这里却又六个names,很明显admin$有问题

那么最后进行克隆账户的一个排查。

这里建议直接使用D盾,进行克隆检测

如果发现你的电脑上面没有多出来的一个账户,那么接下来:

(2)进行任务管理器进程排查

这里用我这边的一个事例比较容易讲的清楚:

           起因是朋友的充电线有些发黄,很明显是发热过大,他说是这几天才这样的。

我帮他查看了一手任务管理器的CPU进程,已经给干到了几乎80,我把所有的应用都给关闭了,此时的CPU依旧高居不下。

这下我排查到了一个exe进程,他的占用率很高,我将它kill后直接降到十几CPU。我以为是我不懂的大规模进程,后来发现没个几分钟又发烫了,我一看又埃了,此时我基本确认了这台电脑被挖矿了。

我溯源了一手重点的高危文件夹,为了保险,整个包都删除了,但是过了半小时又复苏了 ,此时基本可以初步确认已经渗透进入了系统的一些关键进程生命力极强,此时我借用了windows自身的安全措施,进行了一轮防御,但是还是被躲过去了,只有明面的几个被查杀,但是仍会复制。此时我意识到了可能不止一个exe在发挥作用。

最后不得已我请出了360(还得是360)对系统进行了查杀处理才得以解决问题。

      我搬出这个例子是为了说明一个基本的流程,无论是你被远控或者被挖矿了:

(1),先查看任务管理器的一个异常进程,比如我上面的例子,一个exeCPU损耗高达数十

(2).进行溯源一手,比如把相应的特征还有名字对应一手,运气好可以直接在网络上查看到相应的攻击,那么解决方法也会随之出现。

(3).火绒,360等都是很不错的一个查杀工具,要学会利用工具。

(3).启动项检查

#查看系统计划任务
schtasks /query /fo LIST /v
#查看程序启动信息
wmic startup get command,caption
#查看系统开机时间
net statistics workstation
#查看主机服务信息
wmic service list brief

 注意检测好主机的上机时间,以及主机的服务信息,看看最近都运行了什么任务,程序启动信息,都必须进行排查。

(4)端口的检查

netstat -ano
#显示当前活动的网络连接和端口信息
netstat -ano | findstr “port”
#查看端口对应的PID

  这里强烈推荐TCPView工具的一个辅助使用,若是发现可疑的IP,以及一个链接信息,

 可以在工具里面查看Remote Address 放到威胁情报平台

        

参考:TCPView下载安装使用教程(图文教程)超详细

(5)自启动检查

1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

2.HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

这些注册表路径存储所有用户登录时自动启动的程序列表。

这些启动项对于系统整体来说影响更大,因为它们不仅影响当前用户的会话,还可能影响系统中的所有用户。

之前的挖矿例子也可能就是恶意软件利用这些项来实现持久化,有某个恶意软件进行了自启动然后复制。即使重新登录或重启系统,恶意程序也会重新启动并执行其设计的恶意行为。

检测事项:

  • 持久化攻击的检测恶意软件常常利用自启动项来实现持久化,即使用户尝试删除恶意文件,恶意软件也能在系统重启后重新执行。因此,定期检查和清理这些注册表项对于保持系统安全至关重要。

通过检查这些注册表路径,系统管理员可以识别是否有未经授权的程序正在自动启动。这有助于早期发现和阻止恶意软件活动。

(6) windows事件查看

打开windows本身自带的事件查看器,审核windows安全日志。

值得一提的是每一个ID都会有相对应的一个事件。比如可以Ctrl+f直接搜索4720的ID,因为4720意味着有新的windows账号的创建事件。

这个admin$就是一个入侵者新创建的隐藏账号。

在Windows事件日志中,有些事件ID可能表示系统中的安全威胁或者其他重要的系统活动。以下是几个常见的高危事件ID以及它们的含义(常用的就是一下的下面几个,其他的要用到再去找):

  1. 事件ID 4624 - 表示成功登录。这个事件指示某个用户成功登录到系统或网络。

  2. 事件ID 4625 - 表示登录失败。这个事件指示某个用户尝试登录但是失败了。

  3. 事件ID 4672 - 表示管理员权限的操作。这个事件通常指示某个账户执行了需要管理员权限的操作,比如创建用户、修改权限等。

  4. 事件ID 4768 - 表示票据生成服务请求。这个事件出现在Kerberos身份验证中,表示某个账户请求了票据以便进行认证。

  5. 事件ID 7045 - 表示服务状态更改。这个事件出现在服务状态发生重要更改时,比如新安装服务、启动或停止服务等。

  6. 事件ID 4732 - 表示安全组成员添加。这个事件指示有人向一个安全组添加了成员。安全组通常用于管理和控制系统中的访问权限。

  7. 事件ID 5058 - 表示安全设置已经更改。这个事件表示系统中的某些安全设置已经被更改。这可能包括文件系统、注册表或者其他系统组件的安全配置更改。

 举个例子:之前做应急响应靶机时要找出隐藏账户通过哈希传递攻击登陆的时间:

那么直接找事件ID 4624 - 表示成功登录。这个事件指示某个用户成功登录到系统或网络。

然后再找出是否出现隐藏账户的登陆

直接找到对应时间

2.web入侵响应

下面是一些常用的步骤,当然了,在做这些的时候先别忘记

  • 隔离网络: 断开受感染系统与网络的连接,防止进一步传播。
  • 隔离用户: 确保仅有授权人员访问系统和数据。

(1)Webshell查杀

这里比较推荐使用D盾,可以扫描服务器相对应的一个目录,

可以较为精确地扫描出webshell的位置。

(2)查看文件修改

当你的网页遭到了修改,注意查看一手文件的信息,查看文件的访问时间和修改时间,可以较为精确地掌握黑客的攻击时间。

从这里可以看出网页代码被修改的时间。

(3).D-eye扫描木马文件(蓝队常用工具)

这里借用了荆棘鸟lm的图片,我们可以看出两个木马文件的查杀,d-eye在蓝队工程师里面非常流行,通过强大的数据分析能力,D-Eyes提供了一种高效、直观的方式来识别潜在的安全威胁。

(4)代码比对(适用大型系统,也最保险)

这个适用于在代码山中找不到隐藏后门,而且系统管理员刚刚好又备份好了自己网站的代码,那就进行代码比对吧。

虽然很麻烦,但总能找到隐藏后门的。进行文件完整性检测,与原始代码的比对。

比如Beyond Compare这款工具,就可以进行快速的代码比对。

Beyond Compare会直接标红不同之处。

(5)MD5值比对

文件对应的MD5值与之前的MD5进行对比,如果不同,说明文件很可能被篡改。

3.网络攻击响应

(1)勒索病毒

火绒公布的勒索病毒工具在这里,希望大家永远用不到:

http://bbs.huorong.cn/thread-65355-1-1.html

咳咳,自救的方法无非不就是找工具救,但是很多的病毒解密只有少部分可以成功(问就是制作者被抓后不得已公布了密钥)真正通过病毒自身缺陷来解决问题的数量还是比较少的。

别忘了重要的资料记得备份,如果你有备份,直接高枕无忧。

(2)DDOS攻击响应

BGP黑洞路由响应

当遭遇DDOS攻击时,注意实时响应,可以使用BGP黑洞路由进行防守。

工作原理

  • 路由设定: 网络管理员配置BGP路由器,将攻击流量的目的地IP地址指向一个虚拟的黑洞地址。
  • 丢弃流量: 一旦攻击流量被路由到黑洞,目标网络或服务器将不再处理这些流量,而是直接丢弃它们。
  • 快速响应: BGP黑洞路由可以在几秒钟内生效,因为BGP(边界网关协议)通常具有快速的路由更新能力。

当然也不要忘记了进行服务检查:

注意检测DDOS攻击防火墙的状况,以及CDN防护服务等的运行

(3)ARP欺骗响应

无非就是进行日志分析: 分析网络设备和系统的日志,查找异常的ARP请求和响应模式。以及:

  • ARP缓存清除: 及时清除受影响设备的ARP缓存,移除不正确的条目,重新获取正确的MAC地址。
  • 网络设备重启: 在必要时重启受影响的网络设备,以清除可能被攻击者修改的ARP缓存。

 这里就不过多赘述。

最后的最后,真诚地希望文章能够对各位有所帮助。

补天阁
关注
  • 14
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows应急响应
weixin_50464560的博客
05-04 2079
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、
Windows+Linux应急响应详细基础)
weixin_66146598的博客
06-12 1745
应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
linux&windows应急响应
yggcwhat
05-07 1180
linux&windows应急响应
Linux应急响应排查
热门推荐
weixin_43526443的博客
01-29 7万+
上一篇文章说到Windows应急响应排查,本篇文章就来说说Linux的应急响应排查。 首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。 Part1 熟悉主机环境 uname -a cat /proc/version lsb_release -a 首先,先对排查主机的基本信息有一个了解。 Part2 运行进程排查 首先熟悉一下ps命令的参数: ps [选项] -e 显示所有进程。 ...
网络安全应急响应工具清单.xlsx
10-07
工具分类如下,共计70+,适用于网络安全领域从业者,仅供学习测试使用;...Windows日志分析工具 webshell查杀工具 自动化检测工具 内存马查杀工具 蓝队分析研判工具箱 浏览器日志分析工具 勒索病毒解密工具汇总
Linux操作系统下6个应急处理小常识
08-10
以下是对标题和描述中提到的六个应急处理小常识的详细解释: 1. **使用急救盘组进行维护** 救援磁盘或急救盘组是Linux系统管理员必备的工具,它包含了启动和运行一个完整Linux环境所需的基本组件。急救盘通常包括...
远程音视频交互与指挥系统
03-09
- **移动视频指挥**:提升安全监管和应急响应能力,提供灵活调度和实时监控,增强现场安全。 - **实时交互**:支持实时音视频对讲、文字沟通和位置信息展示,便于应急指挥。 - **带宽自适应**:根据网络条件自动...
小伟打造级整人的啊
07-15
- **应急响应**:一旦被感染,如何隔离、清除恶意软件,恢复系统。 - **网络伦理**:不应该开发或传播可能损害他人电脑系统的程序。 但基于您提供的信息,我无法深入展开这些话题。如果你有更具体或更详细的IT问题...
Web渗透-网络安全面试 面试宝典 2023最新版65页全解析.pdf
10-16
8. **应急响应**:当系统被攻破时,需要快速响应,包括隔离受影响的部分、恢复系统、追踪攻击者等。 9. **其他常见漏洞**:包括ARP欺骗、DDoS攻击防御等,这些都是网络环境中常见的安全挑战。 此外,文档还提到了...
java 中钻石操作符 <> 的使用场景
qq_27390023的博客
07-10 455
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
环境管理开发实战
zhuzhu_YT的博客
07-14 1021
在上一集我们完成了项目管理开发实战,那么我们可以看到下面的E-R图和标题,我们可以知道,今天我们要完成环境管理开发实战!可以看到一个项目当中是可以存在n个环境的,所以今天的环境管理开发实战,有的参数会和项目的字段有关系哦!
LeetCode LCR027.回文链表 C写法
m0_63816268的博客
07-11 287
通过快慢指针找到中间结点,再将中间结点后的所有结点反转。如果是回文链表那么中间结点往后的值与头结点到中间结点的值都相等,如果有不相等的就不是回文链表。
C++中链表的底层迭代器实现
最新发布
2302_80214413的博客
07-14 306
这次详细的向大家讲述了C++中链表的底层迭代器的实现,还有链表底层迭代器和顺序表的不同之处,供大家参考!!!
力扣之有序链表去重
qq_62636650的博客
07-10 1216
如果 p2 与 p3 的值重复,那么 p3 继续后移,直到找到与 p2 不重复的节点,p1 指向 p3 完成删除。如果 p2 与 p3 的值不重复,p1,p2,p3 向后平移一位,继续上面的操作。p2 为 null 的情况,比如链表为 1 1 1 null。p1 是待删除的上一个节点,每次循环对比 p2、p3 的值。p1.val == p2.val 那么删除 p2。p2 或 p3 为 null 退出循环。当 p2 == null 退出循环。
树的层次遍历
wudi6688的博客
07-11 621
这个思路是通过使用队列来实现层次遍历的关键。每次将节点出队并访问后,将其子节点入队,这样就保证了按层次顺序进行访问。树的层次遍历是指按层次顺序访问树中所有节点的遍历方式。(即逐层地,从左到右访问所有节点)。
SSM架构(二)
2301_79659699的博客
07-14 137
接上一篇博客SSM框架(一)-CSDN博客2.4.1 Service设计EmployeeService接口代码: EmployeeServiceImpl实现类代码: DepartmentService接口代码: DepartmentServiceImpl实现类代码: 2.5 Spring MVC Spring MVC的DispatcherServlet的使用与配置,基于注解映射机制。2.5.1 Controller设计EmployeeController实现代码:
C# 解析省份、城市、区域 json文件
07-11 1031
C# 解析省份、城市、区域 json文件
数据结构之顺序存储线性表实现详解与示例(C,C#,C++)
qq_35320456的博客
07-11 511
顺序存储线性表是一种基本的数据结构,它将线性表的元素按照一定的顺序存放在一组地址连续的存储单元中。在这篇博客中,我们将详细介绍顺序存储线性表的实现,并以C、C#和C++三种编程语言为例,展示如何实现一个顺序存储线性表
Windows应急响应手册
02-21
windows 是一个闭源的操作系统,粗俗一点说就是一个大黑盒子,这给想要研究 windows安全的攻击与防守研究员都带来了麻烦,然而在攻击与防御对抗中,攻击者往往因为利益和兴趣驱使,通过进程追踪、逆向分析等方式率先获取到攻击和权限持久化的方式;防御者对于这些知识的挖掘似乎力度远不如攻击者,可能是挖掘这类知识首先需要以攻击者的思维去想问题,挖掘出了方式方法后收益也远不如攻击者那么大。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值