Windows主机入侵痕迹排查办法

排查思路

在攻防演练保障期间，一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众多情况。为了确保实施人员在有限的时间范围内，可以高效且保证质量的前提下完成主机入侵痕迹排查工作，本人总结了自己的一些经验，下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项，仅作为参考使用。

1、初步筛选排查资产

一般情况下，客户资产都比较多，想要对所有的资产主机进行入侵痕迹排查基本不太现实，等你全部都排查完了，攻击者该做的事早就做完了，想要的目的也早就达到了。那么针对客户资产量大的情况，我们应该怎么处理？

首先，在排查前，作为项目经理，应该与客户沟通好，取得授权，确认排查范围和排查方案和办法，客户若是没有授意或者同意，那么下面的操作都是违规操作，甚至有的还违法。

取得客户同意后，我们再从资产面临的风险等级、资产的重要程度、攻击者的攻击思路、手法及目标选择倾向几个方面去初步筛选出排查资产。这里建议从以下资产范围选取：

①曾失陷资产：在以前的红蓝对抗、攻防演练、或者真实的黑客攻击事件中被攻陷的主机，曾失陷资产应作为排查的重点对象。

②互联网暴露脆弱资产：从互联网暴露资产中筛选出使用了高危漏洞频发的组件/应用（组件如Weblogic、JBoss、Fastjson、Shiro、Struts2等）。还有一个点需要注意，就是客户是否具有有效的资产管理，是否能够清晰明确识别出哪些资产用了什么组件，如果不能的话，只能通过之前的渗透测试结果来筛选出脆弱资产。

③关键资产：如域控等可以导致大量主机失陷的集权类资产。

2、确定排查资产

主机入侵痕迹排查工作建议在一周内对数量控制在20台以内的主机进行排查。经过初步筛选的资产数量如果远远大于20台主机，需要从资产里面进行二次筛选，如果存在曾失陷资产，排查主机范围可以定为曾失陷资产；如果不存在曾失陷资产，排查主机范围可以定为脆弱资产，具体可以根据客户自身实际情况调整。

需要注意是，如果排查资产中包含曾失陷资产的话，需要向客户索要历史攻防演练/应急等报告，在排查时需结合历史报告和指导手册内容一起进行排查，需要特别留意历史报告中攻击者的入侵痕迹是否已经完全清理。

3、入侵痕迹排查

在实际情况下，攻击者在进行攻击时使用的攻击手法、攻击思路、行为等各有差异，无论是考虑实现成本还是效率问题，都难以通过很精细很全面的排查项去实施主机入侵痕迹排查，但是我们可以从攻击中可能会产生的一些比较共性的行为特征、关键的项进行排查。

对于主机的入侵痕迹排查，主要从网络连接、进程信息、后门账号、计划任务、登录日志、自启动项、文件等方面进行排查。比如，如果存在存活后门，主机可能会向C2发起网络连接，因此可以从网络连接排查入手，如果存在异常的网络连接，则必然说明存在恶意的进程正在运行，则可以通过网络连接定位到对应进程，再根据进程定位到恶意文件。如果攻击者企图维持主机控制权限的话，则可能会通过添加后门账号、修改自启动项，或者添加计划任务等方式来维持权限，对应的我们可以通过排查账号、自启动项、计划任务来发现相应的入侵痕迹。

以上是今日分享，想要学习更多网络安全方面的知识可以找小助理领取资料哦！