2-不求人-WINDOWS入侵排查

不求人出品，必属精品

入侵路径

攻击者入侵windows系统往往从弱口令、系统漏洞以及服务漏洞进行切入，获得一个普通的系统权限，再经过提权后进行创建启动项、修改注册表、植入病毒和木马等一系列操作，从而维持对目标主机的控制权。而与此同时操作系统也会出现异常，包括账户、端口、进程、网络、启动、服务、任务以及文件等，系统运维人员可以根据以上异常情况来知道攻击者从何处入侵、攻击者以何种方式入侵以及攻击者在入侵后做了什么这几个问题的答案，从而为之后的系统加固、安全防护提供针对性建议。

暴力破解：针对系统有包括rdp、ssh、telnet等，针对服务有包括mysql、ftp等，一般可以通过超级弱口令工具、hydra进行爆破

漏洞利用：通过系统、服务的漏洞进行攻击，如永恒之蓝、Redis未授权访问等

流量攻击：主要是对目标机器进行dos攻击，从而导致服务器瘫痪

木马控制：主要分为webshell和PC木马，webshell是存在于网站应用中，而PC木马是进入系统进行植入。目的都是对操作系统进行持久控制

病毒感染：主要分挖矿病毒、蠕虫病毒、勒索病毒等，植入病毒后往往会影响受感染电脑的正常运作，或是被控制而不自知，电脑正常运作仅盗窃资料、或者被利用做其他用途等用户非自发引导的行为。

一、账号排查

攻击者面对windows系统会先从用户密码入手，首先是通过rdp服务对Administrator、Guest等默认账户的口令爆破，如果爆破没结果的话会固定密码，对用户账号进行爆破，再之后加入还是失败的话就是社工生成账号、密码字典，运气好那么就可以直接登录到管理员账号。在拿到系统权限后，权限维持则是必不可少的一步，创造一个新的管理账号方便后期登录查看就是一个不错的方法，当然为了增加隐蔽性该账号可以是影子账户。根据这几方面，检查看系统账号时可以重点关注

弱口令、可疑账号、影子账户

1、win+r--->lusrmgr.msc---->检查用户和组中是否有可疑账号

2、win+r--->regedit-->HKEY_LOCAL_MACHINE/SAM/SAM，默认无法查看该选项内容，右键菜单选择权限，打开权限管理窗口，选择当前用户（一般为 administrator），将权限勾选为完全控制，然后确定并关闭注册表编辑器-->再次打开注册表编辑器，即可选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users,在 Names 项下可以看到实例所有用户名，如出现本地账户中没有的账户，即为隐藏账户，在确认为非系统用户的前提下，可删除此用户。

3、win+r--->eventvwr.msc,筛选4624和4625的日志--->暴力破解登录成功日志；

rdp远程连接日志

步骤1.按Windows + R键打开运行对话框，然后输入“eventvwr.msc”并回车打开事件查看器。

步骤2.导航到：应用程序和服务日志 > Microsoft > Windows > TerminalServices- RemoteConnectionManager，右键单击“Operational”并选择“筛选当前日志”

步骤3.远程桌面服务的事件ID是1149，然后输入1149过滤日志

步骤4.然后，您将获得一个事件列表，其中包含与该服务器的所有远程桌面连接的历史记录

步骤5.点击其中之一，即可看到远程桌面连接的详细信息，包括IP地址、计算机名、登录时间等。

二、异常端口、进程

端口作为计算机内部与外部数据交互的窗口，在攻击者眼里也是作为香饽饽的存在，在入侵系统后，攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等，熟悉计算机的朋友应该都知道常用的端口也就那么几个，所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等，再根据端口的PID对可疑进程对应的程序排查，确定是否为恶意程序。

netstat -ano  --->查看可疑ESTABLISHED连接

tasklist | findstr "pid"  --->定位进程

win+r--->msinfo32-->软件环境-->正在运行任务--->异常进程

三、启动项、计划任务和服务

启动项、计划任务、服务是攻击者维持权限的惯用手段。在入侵windows计算机后，攻击者可以通过修改注册表、替换粘滞键程序在系统启动时就获得权限，也能够在管理员权限下设置计划任务，因为计划任务后门分为管理员权限和普通用户权限两种。管理员权限可以设置更多的计划任务，例如重启后运行等。也可以通过meterpreter创建后门服务。

启动项

win+r--->regedit--->复制粘贴查找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce --->查看是否存在可疑启动项，看不懂的百度下即可

计划任务

win+r--->control--->系统和安全-->计划任务-->任务计划程序库-->Microsoft-->Windows

异常服务

win+r--->services.msc-->注意服务状态和启动类型，检查是否有异常服务

四、检查系统相关信息

系统本身如果存在漏洞，那么结果往往是致命的，如果计算机存在永恒之蓝漏洞且未采取防护措施。那么攻击者就能直接通过MSF的漏洞利用程序获取目标windows系统的system权限。与此同时，攻击者在进入系统后往往也会留一些蛛丝马迹，如未将上传文件清除、浏览器浏览记录未删除、下载的文件未删除等。在检查系统相关信息时就需要重点关注系统本身存在的漏洞以及攻击者使用过的文件。

win+r--->systeminfo

everything搜索相关“windows-exploit-suggester”

五、查看可疑目录及文件

win 2003版本 C:\Documents and Settings

win 2003版本之后 C:\Users\

C:\Windows\Temp

win+r--> %UserProfile%\Recent -->查看最近打开的可疑文件

修改时间<创建时间为可疑文件

windows\system32的sethc.exe是否被替换为cmd程序

回收站、各个浏览器下载目录、历史记录

查看隐藏文件：win+e--->文件资源管理器-->查看-->文件扩展名、隐藏的项目勾选

六、日志分析-详情见链接1-不求人-勒索病毒-CSDN博客

系统日志：win+r--->eventvwr.msc-->事件查看器-->windows日志-->安全日志

web日志：中间件、应用、waf等日志，打包到本地分析，在编辑器中对关键字进行搜索

七、工具查杀

webshell和病毒都是windows系统的大敌，它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等，对操作系统造成非常大的危害。这里推荐D盾以及火绒软件（当然查杀软件越多越好）。对病毒进行全盘扫描，而对webshell进行web目录扫描。

火绒、D盾，全盘查杀，切记杀之前保留好相关资料，便于写报告；且病毒库更新到最新

最后，如果在排查过程中看启动项或启动的服务，自己也不知道这是啥，也并不能确定是不是异常的，可以百度查看，或者有时间和条件及能力者可以搭建一套同环境服务器做对照