Windows应急响应
0x01、什么是应急响应
应急响应概述
首先我们来了解一下两个概念:应急响应和安全建设,这两者的区别就是应急响应是被动响应、安全建设是主动防御。
常见的有:
安全设备告警、数据被勒索加密、数据泄露在网上贩卖、网页被篡改、服务器CPU爆满卡死等。
在应急响应的时候,你会发现一个非常有用的经验技巧,就是:一旦你能够确定本次安全事件的类型,猜测出攻击者或者恶意代码的攻击思路,然后去验证排查这些猜想,就会加速你的分析过程,而这些从事件起因中就能够获取到一些信息。
应急响应目的
- 遏制事件发酵
- 找到恶意代码
- 分析入侵路径
- 整理入侵时间线
- 分析恶意代码行为
- 追踪溯源
应急响应人员工作
- 找到恶意代码:通过各种动静态分析找到恶意代码、感染文件,进行取样然后清除。
- 分析入侵路径、入侵时间线:结合各类日志以及恶意代码本身,将有关证据进行关联分析,构造证据链,重现攻击过程。
- 分析恶意代码:找到恶意程序的特征,包括行为、释放的文件、网络通信等,从而得到识别、防御和删除该病毒的方法,使得我们的其他机器能够防得住该恶意程序的攻击。
- 解决问题,根除隐患,分析导致事故发生的系统脆弱点,并采取补救措施,恢复系统,使系统正常运行
应急响应流程
- 安全事件报警
- 安全事件确认
- 启动应急预案
- 安全事件处理
- 撰写安全事件报告
- 应急工作总结
遏制影响
- 网站下线(篡改、挂反标)
- 断网隔离(远控后门、APT)
- 流量清洗(DOS的进行)
- 联系运营商(劫持类) /一般不关我们事**/
0x02、应急响应的思路
整个应急响应都是建立在恶意代码的基础上的,那么我们第一步就是找到恶意代码
恶意程序需要进行网络通讯,内存中必然有其二进制代码,它要么是进程的DLL/so模块,通常为了保活,它极可能还有自己的启动项,网络心跳包。总结下来可以分为四大要素
- 网络连接
- 进程
- 启动项
- 内存
找到各种可疑的IP、进程、域名、URL,搜索相关的IOC,然后排查相关特征
- 网络连接
- 进程信息
- 系统启动项
- 账号情况
- 日志信息
- 其他
现场分析
当发生安全事件时,我们去到现场首先需要先了解一些外部信息:
- 问题主机/服务器使用人员有谁?
- 一般使用时间段是什么时候?
- 是否重启过
- 查看杀毒软件、防护软件的查杀、隔离、告警日志。(如果有)
- 各种服务应用如:FTP、SSH、数据库、RDP,是否攻击者开启及是否存在弱口令。
- 网络中是否有防火墙、行为管理器等防御设备,查看相应告警。
0x03、取证
前面分析完思路以及记录需要了解到的一些外部信息,都是为了我们的关键环节取证溯源做准备。当然思路归思路,由于安全漏洞不是存在于特定的场景或应用,Web应用可能存在漏洞、软件程序可能存在漏洞、我们使用的操作系统也可能存在漏洞,因此实际的安全事件,我们需要尽可能的检查到每一个薄弱点。而不是网页篡改就只检查web应用、挖矿木马就只排查恶意程序。
检查得越多(做好记录),后面整理报告的时候越有用,经常遇到的是应急只有几个小时的,然后没有做好记录回去无法写报告,只能再找客户联系。
进程检查
重点检查没有厂商名字、没有签名验证信息、没有描述信息、CPU或内存资源占用长时间过高的进程。检查可疑进程的属主、路径、参数是否合法。
工具:Process Explorer、火绒剑、PChunter
常见的dll文件都是在C:\Windows\System32目录下,当然还有其他几个系统目录,我们要找的就是路径不对,名称可疑的。路径不对可以很直观的看出来,但是有时候路径没错,然后名称是不对的,比如正常的是Kernel32.dll。然后恶意程序把自己的dll文件命名为Kerne132.dll。
利用火绒剑查看到两个异常的dll文件,虽然有公司名和描述,但是这个描述有点随意,而且查这两个dll文件的路径,在Windows的tmep文件夹下,那么我们也可以猜测这两个dll文件是恶意的dl文件。
启动项检查
检查启动项、计划任务、服务
这个一般就检查三个地方:
【开始】>【所有程序】>【启动】
计算机管理
gpedit.msc
取证点
系统日志、网站访问日志(搜索l0g文件)、本地用户情况(是否有隐藏、克隆用户)。
保存系统当前信息:
systeminfo > c:\Temp\sysinfo.txt
netstat -ano > c:\Temp\net.txt
tasklist > c:\Temp\task.txt
net user > c:\Temp\user.txt
xcopy %systemroot%\system32\winevt\logs\* C:\Temp\eventlog
0x04、安全报告
- 安全事件发生的日期时间
- 参加人员
- 事件发现的途径
- 事件类型
- 事件涉及的范围
- 现场记录
- 事件导致的损失和影响
- 事件处理的过程
- 从本次事故中应该吸取的经验和教训