一、排查思路与排查流程

1.1、常见应急响应事件分类

  • web入侵:网页挂马、主页篡改、Webshell
  • 系统入侵:病毒木马、勒索软件、远控后门
  • 网络攻击:DDOS攻击、DNS劫持、ARP欺骗

1.2、排查流程

image-20240310195205031

二、账号安全

2.1、正常用户与黑客账号的区别

  • 正常用户 net user 能直接看到
net user

image-20240310205104256

  • 隐藏用户是以$结尾,net user 看不到,但是在控制面板、lusrmgr.msc、用户组中能看到
lusrmgr.msc

image-20240310205452142

  • 影子用户只有注册表中能看到

2.2、windows自带账户

image-20240310210017690

  • Administratros(管理员):这是具有完全控制和访问权限的管理员账户。默认处于禁用状态
  • DefaultAccount(默认账户):这是Windows 10中的一个预配 置账户,用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。
  • Guest(访客):该账户提供了一个受限制的用户环境,允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下,默认情况下此账户处于禁用状态。
  • WDAGUtilityAccount:这是Windows Defender Application Guard (WDAG) 实用程序账户。WDAG 是一种安全功能,可在 Microsoft Edge 浏览器中隔离和保护来自不受信任来源的网站和文件。

打开lusrmgr.msc查看是否有新增/可疑的账户,如果管理群组的(Administratros)心中的用户需要立即禁用或删掉

image-20240310210423112

2.3、查看是否存可疑、新增账户

查看是否存在隐藏账户、影子账户

  • 打开lusrmgr.msc,在用户中查看是否有$结尾的用户
  • net localgroup administratros 查看administrators用户组是否有$结尾的用户
lusrmgr.msc
net localgroup administratros

image-20240310210940894

image-20240310211010493

  • 打开注册表,查看管理员对应键值hkey_local_machine\sam\sam\domains\account\users

image-20240310212318792

SAM如果无法打开,先给其授权

image-20240310212049586

image-20240310212001553

2.4、D盾对克隆账户检测

image-20240310212740660

扩展

  • 隐藏用户和影子用户是黑客在攻击服务器后常见的权限维持方法
2.4.1、如何创建隐藏用户
net user hacker01$ 1qaz@WSX /add && net localgroup administrators hacker01$ /add

image-20240311120700670

2.4.2、如何创建影子用户
net user hacker02$ 1qaz@WSX /add && net localgroup administrators hacker02$ /add

进入注册表 hkey_local_machine\sam\sam\domains\account\users

找到 Administrator 对应的 十六进制 文件夹

image-20240310213901138

image-20240310214005639

把复制的值粘贴给hacker02

image-20240310214953181

粘贴后 导出注册表(hacker02和对应的十六进制文件夹都要导出)

image-20240310215326959

然后进入cmd(使用管理员权限)使用命令删除hacker02用户

net user hacker02$ /del

双击之前导出的两个注册表 .reg 分别进行导入

image-20240310215642732

image-20240310215635789

三、异常端口与进程

3.1、检查端口连接情况

查看目前网络连接

netstat -ano

image-20240311122320510

  • 本地连接

    • 0.0.0.0:135 含义是开放了135这个端口,所有人都可以连接

  • 127.0.0.1:80

    • 开放80端口,但是只有自己可以连自己

  • 外部地址

    • 0.0.0.0说明这个端口谁也没连
    • 20.197.71.89:433 说明可能在访问某个网站,网站的ip地址为20.197.71.89

查看你当前网络连接和进程所属文件

netstat -anob

image-20240311173850921

下面的程序就是进程对应的所属文件

3.2、进程排查和终止

3.2.1、进程终止
taskkill /f /pid PID
3.2.2、进程排查
  • 任务管理器

image-20240311174232040

找到文件位置,查看文件进行具体排查

3.2.3、D盾排查

关注那些没有签名的进程

image-20240311174648268

3.2.4、Process Explorer排查

image-20240311180706743

缺点:纯英文

3.3.5、火绒剑

查看可疑进程及其子进程。

重点关注:

  • 没有签名验证信息的程序
  • 没有描述信息的进程
  • 进程的属主
  • 进程的路径是否合法
  • CPU或内存资源占用长时间过高的进程

image-20240311180829317

四、启动项

4.1、注册表

注册表(Registry,繁体中文版Windows操作系统称之为登录档案)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。

regedit

用户自启动项 (开机自启动,黑客很多时候会把病毒文件设置开机自启)

  • HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

4.2、镜像劫持

打开微信,结果变成木马了

  • HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options
    • 注意点名字为Debugger,不要设置为其他的,否则不会生效

image-20240311184035660

五、计划任务

5.1、检查

  • 单击【控制面板】->【系统和安全】->【管理工具】->【任务计划】,查看计划任务属性,可以发现木马文件的路径
  • win + R : taskschd.msc
taskschd.msc

image-20240311185506434

5.2、创建定时任务

管理员运行cmd

schtasks /create /tn "ShellTask" /tr "C:\windows\temp\360.exe" /sc daily /st 02:00 /f

在每天凌晨2点执行任务,打开360.exe

image-20240311190020654

image-20240311190041964

六、异常服务

services.msc

注意,服务状态和启动类型,检查是否有异常服务

image-20240311200828449

sc query type=service

含义:检索系统中正在运行的服务信息

image-20240311200816536

扩展:

  • ​ 如何创建一个后门程序
    • sc create bugscan binPath= “C:\windows\temp\360.exe” DisplayName= “bugscan”
    • 创建服务 bugscan ,该服务运行 C:\windows\temp\360.exe

image-20240311201335871

删除服务

sc delete bugscan

image-20240311204033444

七、检查系统相关信息

7.1、查看系统版本以及补丁信息

systeminfo

查看系统信息

7.2、查看可疑目录及文件

  • 检查方法

    • 单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开的可疑文件

    • %UserProfile%\Recent

    • 在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件

    • 检查 C:\Windows\Temp 目录

    • 杀毒软件全盘扫描

image-20240311203616556