应急响应姿势

响应流程：

1. 告警分析：判断攻击源、攻击目标、攻击方式等信息
2. 初步阻断：断网隔离、微隔离，避免直接关机导致攻击痕迹丢失
3. 还原入侵路径：

应急响应流程

Windows系统的应急响应是指在发生安全事件或者怀疑系统遭受攻击时，采取的快速响应和处置措施，以最大限度地减少损失并恢复系统的安全性和可用性。以下是一般情况下的Windows应急响应详细步骤：

1. 确认安全事件

• 监控系统日志: 检查Windows事件日志（Event Viewer），寻找异常事件、错误消息或警告，特别关注安全事件、登录异常等。

2. 切断系统与网络连接

• 物理隔离: 如果发现安全威胁，立即考虑物理隔离系统，断开与网络的连接，防止攻击扩散或数据泄露。

3. 收集证据和分析

• 镜像磁盘: 制作系统的磁盘镜像，以便后续离线分析和取证，确保原始数据不被篡改。

4. 隔离受影响系统

• 隔离系统: 将受影响的系统从生产环境隔离，防止继续影响其他系统或网络。

5. 安全漏洞修复和系统清理

• 修补漏洞: 安装系统和应用程序的最新补丁和安全更新，修复已知的安全漏洞。

6. 恢复系统和监控

• 系统恢复: 在清理和修复后，恢复系统的正常运行状态，并确保所有必要的服务和应用程序正常工作。

7. 事后总结和改进

• 事件总结: 对安全事件进行总结和分析，了解攻击的方式和入侵路径，制定改进措施。

在进行应急响应时，最重要的是快速反应、有效隔离和详细记录，以确保最小化损失和快速恢复系统的安全状态。

Windows基础应急命令

一、系统排查

1. 系统详细信息

• 简单了解系统信息：

  systeminfo
  

• GUI显示的系统信息：

  msinfo32
  

2. 网络连接

• 使用 netstat 命令查看网络连接：

  netstat -ano
  

• 网络连接各状态含义：

  • LISTENING：正在等待传入的连接请求。
  • ESTABLISHED：连接已经建立，数据可以在两个端点之间传输。
  • TIME_WAIT：连接已经关闭，等待足够的时间以确保对方已收到连接关闭请求。
  • CLOSE_WAIT：本地端已经关闭连接，但是远程端仍保持连接打开状态。
  • FIN_WAIT_1：已经发送连接关闭请求，正在等待远程端确认。
  • FIN_WAIT_2：已经收到远程端的连接关闭请求，正在等待确认。
  • CLOSED：没有活动的连接或监听。
  • SYN_SENT：正在发送连接请求。
  • SYN_RECEIVED：已经收到对方的连接请求，并发送了确认。
  • LAST_ACK：已经发送连接关闭请求，并收到对方的确认，正在等待最终关闭。
  • RESET：连接被远程端重置。

3. 进程排查

• 打开任务管理器查看进程

• 使用 tasklist 命令列出所有当前正在运行的进程及其基本信息：

  tasklist
  

• 显示每个进程托管的服务信息，包括服务名称和进程 ID：

  tasklist /svc
  

• 使用 tasklist 结合 findstr 来过滤特定的信息或进程：

  tasklist | findstr "4020"
  

4. 排查检测账号

• 查看当前登录到计算机上的用户会话信息：

  query user
  

• 显示所有用户账户：

  net user
  

• 账号后面加上 $ 在命令终端是查看不到的，访问注册表 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 对比数量是否一致，不一致则说明有隐藏用户。

• 可以在计算机管理本地用户和组查看，也可以运行：

  lusrmgr.msc
  

• 检查是否存在克隆账号：

  • 使用注册表路径：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names。需要在计算机上设置可读权限。

• 使用 wmic 命令查询系统用户信息：

  wmic useraccount get name,Sid
  

• 如果两个账号的 SID 相同，则存在克隆账号。

• D盾可以检测出克隆用户。

5. 利用系统启动项执行后门

• 系统中的启动目录：

  • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • 或者运行 shell:startup

• 系统配置 msconfig：

  msconfig
  

• 注册表启动项：

  • HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

6. 计划任务

• 运行 taskschd.msc 打开计划任务，查看是否存在可疑的计划任务。

• 使用 schtasks 命令行工具查看计划任务：

  schtasks
  

7. 注册表

• 打开注册表编辑器（regedit）查看启动项。

8. 服务

• 使用 msconfig 或者在计算机管理中的服务查看是否存在可疑服务。

• 通过 msinfo32.exe 查看系统信息。

9. 组策略

• 使用 gpedit.msc 查看当前组策略设置。

二、日志排查

1. Windows系统安全日志分析

• 主要记录系统的安全信息，包括成功的登录、退出，不成功的登录，系统文件的创建、删除、更改等。安全日志只有系统管理员才可以访问，这也体现了在大型系统中安全的重要性。

• 常见的事件类型：

  • 信息（Information）：指应用程序、驱动程序或服务的成功操作事件。
  • 警告（Warning）：系统发现了一个可能会导致问题的情况，但尚未产生错误。
  • 错误（Error）：系统或应用程序发生了一个问题或失败。
  • 审核成功（Success Audit）：记录成功的审核活动。
  • 审核失败（Failure Audit）：记录失败的审核活动。

• 重要的事件 ID：

  • 1074：计算机开机、关机、重启的时间、原因、注释。
  • 4624：登录成功。
  • 4625：登陆失败。
  • 4698：计划任务已创建。
  • 4720：创建用户。

• 事件查看器：

  eventvwr
  

2. Web日志分析

• 根据中间件或服务的不同，Web应用的日志位置和格式可能有所不同。以下是常见的Web日志路径：

  • Nginx：
    • 默认路径：logs/access.log
  • Apache：
    • 默认路径：logs/access.log
  • Tomcat：
    • 默认路径：logs/access.YYYY-MM-DD.log

三、文件痕迹排查

1. 查看用户最近的打开文件

• 检查用户最近打开过的文件并对可疑文件进行分析：

  %UserProfile%\Recent
  

2. 查看临时目录

• Windows临时目录在安全应急响应中用于分析潜在的恶意文件：

  %tmp%
  

四、WebShell & 木马病毒 - 查杀

1. WebShell

• 河马：https://www.shellpub.com/
• D盾(iis)：https://www.d99net.net/

2. 木马病毒

• 360杀毒：https://sd.360.cn/
• 火绒：https://www.huorong.cn/
• 微步在线云沙箱：https://s.threatbook.com/
• 腾讯哈勃分析系统：https://habo.qq.com/
• Jotti恶意软件扫描系统：https://virusscan.jotti.org/
• ScanVir：http://www.scanvir.com/