[[393907]]

本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」，作者Bypass 。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)。

Windows系統(tǒng)被入侵后，通常會(huì)導(dǎo)致系統(tǒng)資源占用過(guò)高、異常端口和進(jìn)程、可疑的賬號(hào)或文件等，給業(yè)務(wù)系統(tǒng)帶來(lái)不穩(wěn)定等諸多問(wèn)題。一些病毒木馬會(huì)隨著計(jì)算機(jī)啟動(dòng)而啟動(dòng)并獲取一定的控制權(quán)，啟動(dòng)方式多種多樣，比如注冊(cè)表、服務(wù)、計(jì)劃任務(wù)等，這些都是需要重點(diǎn)排查的地方。另外，需要重點(diǎn)關(guān)注服務(wù)器日志信息，并從里面挖掘有價(jià)值的信息。

基于以上，我們總結(jié)了Windows服務(wù)器入侵排查的思路，從Windows入侵現(xiàn)象、啟動(dòng)方式、安全日志等方面，對(duì)服務(wù)器最容易出現(xiàn)安全問(wèn)題的地方進(jìn)行入手排查。

01、檢查系統(tǒng)賬號(hào)

(1)檢查遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開(kāi)放，服務(wù)器是否存在弱口令。

• 檢查方法：

檢查防火墻映射規(guī)則，獲取服務(wù)器賬號(hào)登錄，也可據(jù)實(shí)際情況咨詢相關(guān)管理員。

(2)查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)。

• 檢查方法：

打開(kāi) cmd 窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的(Administrators)里的新增賬戶，根據(jù)實(shí)際應(yīng)用情況，保留或刪除。

(3)查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)。

• 檢查隱藏賬號(hào)方法：

CMD命令行使用”net user”,看不到”test$”這個(gè)賬號(hào)，但在控制面板和本地用戶和組是可以顯示此用戶的。

檢查克隆賬號(hào)方法：

打開(kāi)注冊(cè)表 ，查看管理員對(duì)應(yīng)鍵值。

• 使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能。

(4)結(jié)合Windows安全日志，查看管理員登錄時(shí)間、用戶名是否存在異常。

檢查方法：

Win+R打開(kāi)運(yùn)行，輸入“eventvwr.msc”，回車運(yùn)行，打開(kāi)“事件查看器”。或者我們可以導(dǎo)出Windows日志—安全，利用Log Parser進(jìn)行分析。

02、檢查異常端口

(1)檢查端口連接情況

• 檢查方法：

a、netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED

b、根據(jù)netstat 定位出的pid，再通過(guò)tasklist命令進(jìn)行進(jìn)程定位 tasklist | findstr “PID”

(2)檢查可疑的網(wǎng)絡(luò)連接

• 檢查方法

檢查是否存在可疑的網(wǎng)絡(luò)連接，如發(fā)現(xiàn)異常，可使用Wireshark網(wǎng)絡(luò)抓包輔助分析。

03、檢查異常進(jìn)程

(1)檢查是否存在可疑的進(jìn)程

• 檢查方法：

a、開(kāi)始—運(yùn)行—輸入msinfo32，依次點(diǎn)擊“軟件環(huán)境→正在運(yùn)行任務(wù)”就可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期、啟動(dòng)時(shí)間等。

b、打開(kāi)D盾_web查殺工具，進(jìn)程查看，關(guān)注沒(méi)有簽名信息的進(jìn)程。

c、通過(guò)微軟官方提供的 Process Explorer 等工具進(jìn)行排查 。

d、查看可疑的進(jìn)程及其子進(jìn)程。可以通過(guò)觀察以下內(nèi)容：

• 沒(méi)有簽名驗(yàn)證信息的進(jìn)程
• 沒(méi)有描述信息的進(jìn)程
• 進(jìn)程的屬主
• 進(jìn)程的路徑是否合法
• CPU或內(nèi)存資源占用長(zhǎng)時(shí)間過(guò)高的進(jìn)程

(2)如何找到進(jìn)程對(duì)應(yīng)的程序位置

任務(wù)管理器—選擇對(duì)應(yīng)進(jìn)程—右鍵打開(kāi)文件位置

運(yùn)行輸入 wmic，cmd界面 輸入 process

04、檢查啟動(dòng)項(xiàng)

(1)檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。

檢查方法：

a、登錄服務(wù)器，單擊【開(kāi)始】>【所有程序】>【啟動(dòng)】，默認(rèn)情況下此目錄在是一個(gè)空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下。

b、單擊開(kāi)始菜單 >【運(yùn)行】，輸入 msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目，是則取消勾選命名異常的啟動(dòng)項(xiàng)目，并到命令中顯示的路徑刪除文件。

c、單擊【開(kāi)始】>【運(yùn)行】，輸入 regedit，打開(kāi)注冊(cè)表，查看開(kāi)機(jī)啟動(dòng)項(xiàng)是否正常，

特別注意如下三個(gè)注冊(cè)表項(xiàng)：

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 

檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。

d、利用安全軟件查看啟動(dòng)項(xiàng)、開(kāi)機(jī)時(shí)間管理等。

e、組策略，運(yùn)行g(shù)pedit.msc。

05、檢查計(jì)劃任務(wù)

(1)檢查計(jì)劃任務(wù)里是否有可疑的腳本執(zhí)行

• 檢查方法：

a、單擊【開(kāi)始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。

b、單擊【開(kāi)始】>【運(yùn)行】;輸入 cmd，然后輸入at，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接。

06、檢查服務(wù)

(1)檢查系統(tǒng)服務(wù)名稱、描述和路徑，確認(rèn)是否異常

• 檢查方法：

單擊【開(kāi)始】>【運(yùn)行】，輸入services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。

07、檢查可疑文件

(1)檢查新建文件、最近訪問(wèn)文件和相關(guān)下載目錄等

• 檢查方法：

a、 查看用戶目錄，新建賬號(hào)會(huì)在這個(gè)目錄生成一個(gè)用戶目錄，查看是否有新建用戶目錄。

Window 2003 C:\Documents and Settings

Window 2008R2 C:\Users\

b、單擊【開(kāi)始】>【運(yùn)行】，輸入%UserProfile%\Recent，分析最近打開(kāi)分析可疑文件。

c、在服務(wù)器各個(gè)目錄，可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。

d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄

e、修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件

(2)發(fā)現(xiàn)一個(gè)WEBSHELL或遠(yuǎn)控木馬的創(chuàng)建時(shí)間，如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件?

• 檢查方法：

a、利用 Registry Workshop 注冊(cè)表編輯器的搜索功能，可以找到最后寫(xiě)入時(shí)間區(qū)間的文件。

b、利用計(jì)算機(jī)自帶文件搜索功能，指定修改時(shí)間進(jìn)行搜索。

08、檢查系統(tǒng)日志

(1)檢查系統(tǒng)安全日志

一般來(lái)說(shuō)，可以通過(guò)檢查Windows安全日志來(lái)獲悉賬號(hào)登錄情況，比如成功/失敗的次數(shù)。

LogParser.exe  -i:EVT –o:DATAGRID "SELECT  EXTRACT_TOKEN(Strings,10,'|')  as EventType, EXTRACT_TOKEN(Strings,5,'|')  as user, count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,19,'|')  as LoginIp FROM F:\security.evtx where EventID=4625 GROUP BY Strings" 

(2)歷史命令記錄

高版本Powershell會(huì)記錄PowerShell的命令，所有的PowerShell命令將會(huì)保存在固定位置：

%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt 

查看PowerShell歷史記錄：

Get-Content (Get-PSReadlineOption).HistorySavePath 

默認(rèn)Powershell v5支持,Powershell v3和Powershell v4，需要安裝Get-PSReadlineOption后才可以使用。