windows应急响应方案

windows 应急处理方案

0x01 什么是应急响应##

应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

Ⅰ.对象

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标,可以把安全事件定义为破坏信息或信息处理系统CIA的行为。比如:

1.破坏保密性的安全事件:比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等

2.破坏完整性的安全事件:比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马(如BackOrifice2K)、计算机病毒(修改文件或引导区)等

3.破坏可用性(战时最可能出现的网络攻击)的安全事件:比如系统故障、拒绝服务攻击、计算机蠕虫(以消耗系统资源或网络带宽为目的)等。但是越来越多的人意识到,CIA界定的范围太小了,比如以下事件通常也是应急响应的对象:

4.扫描:包括地址扫描和端口扫描等,为了侵入系统寻找系统漏洞。

5.抵赖:指一个实体否认自己曾经执行过的某种操作,比如在电子商务中交易方之一否认自己曾经定购过某种商品,或者商家否认自己曾经接受过订单。

6.垃圾邮件骚扰:垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件,不仅耗费大量的网络与存储资源,也浪费了接收者的时间。

7.传播色情内容:尽管不同的地区和国家政策不同,但是多数国家对于色情信息的传播是限制的,特别是对于青少年儿童的不良影响是各国都极力反对的。

8.愚弄和欺诈:是指散发虚假信息造成的事件,比如曾经发生过几个组织发布应急通告,声称出现了一种可怕的病毒“Virtual Card for You”,导致大量惊惶失措的用户删除了硬盘中很重要的数据,导致系统无法启动。

Ⅱ.主要意义

应急响应的活动应该主要包括两个方面:

第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施

第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。

0x02 应急响应事件分类

  1. 常见的应急响应事件分类:

    web入侵:网页挂马、主页篡改、Webshell

    系统入侵:病毒木马蠕虫、勒索软件、远控后门、rdp\ssh爆破

    网络攻击:DDOS攻击、DNS劫持、ARP欺骗

    信息泄露:脱裤、数据库弱口令

    ps:还有一种,叫自己人的渗透!!!

0x03 排查流程

注:业内通常使用的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。

​ 准备阶段——>检测阶段——>抑制阶段——>根除阶段——>恢复阶段——>跟踪总结

下图自画,非PDCERF模型

此图自画,非PDCERF模型

文件分析

a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件

b) Webshell 排查与分析

c) 核心应用关联目录文件分析

端口分析

a)敏感端口开放问题,3389、139、135等

进程分析

a) 当前活动进程-可疑进程 & 远程连接

b) 启动进程&计划任务

c) 进程工具分析

i. Windows:Pchunter

ii. Linux: Chkrootkit&Rkhunter

系统信息

a) 环境变量

b) 帐号信息

c) History

d) 系统配置文件

日志分析

a) 操作系统日志

i. Windows: 事件查看器(eventvwr)

ii. Linux: /var/log/

b) 应用日志分析

i. Access.log

ii. Error.log

0x04 常规排查流程

  1. 检查系统账号安全

    a)查看服务器是否有弱口令

    b)查看服务器是否存在可疑账号、新增账号

    检查方法:
    打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉

c)查看服务器是否存在隐藏账号、克隆账号

检查方法:
打开注册表 ,查看管理员对应键值。
使用 D 盾 _web 查杀工具,集成了对克隆账号检测的功能

 ![](https://s2.ax1x.com/2019/03/06/kv3ise.png)

  1. 检查异常端口

    a)netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED

    b)根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”

  2. 进程

a)开始--运行--输入 msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等。

![](https://s2.ax1x.com/2019/03/06/kv8ukR.png)

b)打开 D 盾 _web 查杀工具,进程查看,关注没有签名信息的进程。

 ![](https://s2.ax1x.com/2019/03/06/kv8RNn.png)

c)通过微软官方提供的 Process Explorer 等工具进行排查 。

d)查看可疑的进程及其子进程。可以通过观察以下内容:

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU 或内存资源占用长时间过高的进程

  1. 检查启动项

    a)登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。

    b)单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

    c)单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:

    HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversionrun

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

    检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。

    d)利用安全软件查看启动项、开机时间管理等。

    e)组策略,运行 gpedit.msc。

  2. 检查计划任务

a)单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。

b)单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接
  1. 服务自启动
单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。
  1. 检查系统相关信息
    查看系统版本以及补丁信息
    单击【开始】>【运行】,输入 systeminfo,查看系统信息

  1. 日志分析

    a)前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。

    b)Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。

    C)导出应用程序日志、安全日志、系统日志,利用 Log Parser 进行分析。

WEB 访问日志:

a)找到中间件的 web 日志,打包到本地方便进行分析。

0x05 综合排查工具

  1. 火绒剑

  1. 猎隼

  1. 文件监视器

PS

其实无非就是“打补丁、升级,再厉害我拔网线,再厉害我拆硬盘还原快照,莫得怕它,盘它就完了