【应急响应】Windows应急响应

前言

在如今的数字化时代，Windows系统面对着越来越复杂的网络威胁和安全挑战。本文将深入探讨在Windows环境下的实战应急响应策略。我们将重点关注实际应急响应流程、关键工具的应用，以及如何快速准确地识别和应对安全事件。通过分享实际案例分析，旨在帮助网络安全从业者提升应急响应能力，有效保护关键资产和数据的安全。

应急响应流程

Windows系统的应急响应是指在发生安全事件或者怀疑系统遭受攻击时，采取的快速响应和处置措施，以最大限度地减少损失并恢复系统的安全性和可用性。
以下是一般情况下的Windows应急响应详细步骤：

1. 确认安全事件
监控系统日志: 检查Windows事件日志（Event Viewer），寻找异常事件、错误消息或警告，特别关注安全事件、登录异常等。
2. 切断系统与网络连接
物理隔离: 如果发现安全威胁，立即考虑物理隔离系统，断开与网络的连接，防止攻击扩散或数据泄露。
3. 收集证据和分析
镜像磁盘: 制作系统的磁盘镜像，以便后续离线分析和取证，确保原始数据不被篡改。
4. 隔离受影响系统
隔离系统: 将受影响的系统从生产环境隔离，防止继续影响其他系统或网络。
5. 安全漏洞修复和系统清理
修补漏洞: 安装系统和应用程序的最新补丁和安全更新，修复已知的安全漏洞。
6. 恢复系统和监控
系统恢复: 在清理和修复后，恢复系统的正常运行状态，并确保所有必要的服务和应用程序正常工作。
7. 事后总结和改进
事件总结: 对安全事件进行总结和分析，了解攻击的方式和入侵路径，制定改进措施。

在进行应急响应时，最重要的是快速反应、有效隔离和详细记录，以确保最小化损失和快速恢复系统的安全状态。

Windows基础应急命令

一、系统排查

1、系统详细信息

简单了解系统信息

systeminfo

GUI显示的系统信息

msinfo32

2、网络连接

netstat 是一个用于显示网络连接、路由表和网络接口信息的命令行工具

-a	显示所有连接（包括监听连接）。
-t	显示TCP协议的连接。
-u	显示UDP协议的连接。
-n	显示数字格式的地址和端口号（不解析域名和服务名）。
-o	显示建立连接的进程标识（PID）。
-p	显示建立连接的程序名称和PID。
-e	显示详细的网络统计信息，包括以太网帧和TCP/UDP数据包。
-s	显示协议统计信息。
-r	显示路由表信息。
-c	持续显示网络状态信息，类似于UNIX系统的top命令。
-l	仅显示监听状态的连接。
-x	显示UNIX域套接字的连接。
-f	显示FQDN（Fully Qualified Domain Names）格式的域名。
-y	显示TCP连接的TCP数据包信息。
-v	显示netstat命令的版本信息。
-h 或 --help	显示netstat命令的帮助信息。

netstat -ano

网络连接各状态含义

状态	含义
LISTENING	正在等待传入的连接请求。
ESTABLISHED	连接已经建立，数据可以在两个端点之间传输。
TIME_WAIT	连接已经关闭，等待足够的时间以确保对方已收到连接关闭请求。
CLOSE_WAIT	本地端已经关闭连接，但是远程端仍保持连接打开状态。
FIN_WAIT_1	已经发送连接关闭请求，正在等待远程端确认。
FIN_WAIT_2	已经收到远程端的连接关闭请求，正在等待确认。
CLOSED	没有活动的连接或监听。
SYN_SENT	正在发送连接请求。
SYN_RECEIVED	已经收到对方的连接请求，并发送了确认。
LAST_ACK	已经发送连接关闭请求，并收到对方的确认，正在等待最终关闭。
RESET	连接被远程端重置。通常是由于对方在本地端尝试建立连接之前关闭。

在网络安全应急响应中，对于处于 ESTABLISHED 状态的网络连接进行重点排查是非常重要的。这是因为

持久性连接：ESTABLISHED连接通常是持久性的，数据可以在两个端点之间自由传输。这种连接可能会被恶意软件或攻击者利用来持续地传输数据、执行命令或者窃取信息。
C&C通道：恶意软件常常使用ESTABLISHED连接作为命令和控制（C&C）通道，使得攻击者可以远程控制受感染系统，执行各种攻击活动。
数据泄露：正常情况下，ESTABLISHED连接用于合法的数据传输。但是，如果系统遭到入侵或者恶意软件感染，这些连接可能用于非授权的数据泄露，如窃取敏感信息、文件传输等。
横向扩展：攻击者可以利用已建立的ESTABLISHED连接从一个受感染的主机向其他内部系统横向扩展攻击，从而扩大其攻击面。
ESTABLISHED 状态表示连接已经成功建立并且正在活跃地传输数据。在安全的角度来看，我们关注 ESTABLISHED 连接的主要原因包括：

因此，网络安全人员在进行安全响应时，需要仔细检查和分析所有处于ESTABLISHED状态的连接，确保这些连接是合法的，不会对系统安全造成威胁。通过检查ESTABLISHED连接，可以及时发现并应对可能的安全威胁和攻击。

根据PID定位进程

重点关注 ESTABLISHED pid
查看进程 tasklist

tasklist | findstr "4020"

快速定位端口对应的进程

netstat -anb

根据进程定位应用程序

任务管理器-进程-选中进程名-右击打开文件位置

3、进程排查

1、打开任务管理器查看进程

2、tasklist命令

列出所有当前正在运行的进程及其基本信息

显示每个进程托管的服务信息，包括服务名称和进程 ID：
tasklist /svc

tasklist 命令可以结合管道符 | 和其他命令一起使用，比如 findstr 来过滤特定的信息或进程。
tasklist | findstr "4020"

4、排查检测账号

1、查看当前登录到计算机上的用户会话信息

query user

2、显示所有用户账户

net user

账号后面加上$在命令终端是查看不到
访问注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names对比数量是否一致，不一致则说明有隐藏用户

需要在计算机管理本地用户和组查看也可以运行：

lusrmgr.msc

3、账号克隆

创建隐藏用户并将其权限（F值）修改为与管理员相同的做法，可能导致严重的安全漏洞。这种操作可能使未经授权的用户获得管理员权限，并可能被用作系统的后门。为了发现潜在的克隆账号，建议检查注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中是否存在带有$符号的隐藏用户。如果发现这样的用户，请仔细检查其权限设置，确保不与管理员账号相同。一旦发现异常，应立即采取措施防止进一步的安全风险。

访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 权限不够可以设置可读权限

若打开SAM后内无文件夹，右键选择权限 - 给指定用户配置读取权限

系统用户信息的查询

wmic useraccount get name,Sid

若两个账号的 SID相同，则存在克隆账号

D盾可以检测出克隆用户

5、利用系统启动项执行后门

系统中的启动目录

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
或者
运行 - shell:startup

系统配置msconfig

运行 - msconfig

注册表启动

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

msinfo32.exe命令

6、计划任务

运行 - taskschd.msc   
打开计划任务 - 查看属性，检测是否存在可疑的计划任务

Windows 系统中用于管理和配置计划任务的命令行工具

schtasks

7、注册表

运行 - regedit

8、服务

运行 - msconfig
或者
Windows 任务管理器 - 服务
或者
计算机管理 - 服务和应用程序 - 服务
或者
运行 - msinfo32.exe

9、组策略

运行 - gpedit.msc

二、日志排查

1、windows 系统安全日志分析

主要记录系统的安全信息，包括成功的登录、退出，不成功的登录，系统文件的创建、删除、更改，需要指明的是安全日志只有系统管理员才可以访问，这也体现了在大型系统中安全的重要性。

事件类型	注释
信息（Information）	指应用程序、驱动程序或服务的成功操作事件
警告（Warning）	系统发现了一个可能会导致问题的情况，但尚未产生错误。例如，磁盘空间不足、某些服务未能及时启动等
错误（Error）	系统或应用程序发生了一个问题或失败，可能导致系统功能的部分或完全受到影响。例如，应用程序崩溃、服务停止等
审核成功（Success Audit）	审核成功事件记录了成功的审核活动，例如成功的用户登录、文件或对象访问成功等。这些事件有助于审计和跟踪系统访问和活动
审核失败（Failure Audit）	审核失败事件记录了审核尝试但未成功的活动，例如无效的登录尝试、拒绝的访问尝试等。这些事件有助于检测潜在的安全威胁或攻击行为

Windows安全事件最常用的事件ID：

事件ID	说明	备注
1074	计算机开机、关机、重启的时间、原因、注释	查看异常关机情况
1102	清理审计日志	发现篡改事件日志的用户
4624	登录成功	检测异常的未经授权的登录
4625	登陆失败	检测可能的暴力密码攻击
4632	成员已添加到启用安全性的本地组	检测滥用授权用户行为
4634	注销用户
4648	试图使用显式凭据登录
4657	注册表值被修改
4663	尝试访问对象	检测未经授权访问文件和文件夹的行为。
4672	administrator超级管理员登录（被赋予特权）
4698	计划任务已创建
4699	计划任务已删除
4700	启用计划任务
4701	禁用计划任务
4702	更新计划任务
4720	创建用户
4726	删除用户
4728	成员已添加到启用安全性的全局组	确保添加安全组成员的资格信息
4740	锁定用户账户	检测可能的暴力密码攻击
4756	成员已添加到启用安全性的通用组
6005	表示日志服务已经启动（表明系统正常启动了）	查看系统启动情况

事件查看器

事件查看器
或者
运行 - eventvwr 或 eventvwr.msc
在事件选择安全 - 右侧筛选当前日志 - 输入id进行 - 筛选

定期审查安全事件日志，特别关注事件ID 4720，可以帮助及时发现未经授权的账户删除操作，从而有效防范可能存在的安全风险

通过筛选事件ID 4625，发现了大量的登录失败记录，这可能表明系统正在遭受暴力破解的尝试

2、web日志分析

使用不同的中间件或服务，Web应用的日志位置和格式可能会有所不同，可以通过搜索引擎查找来获取具体的信息。这些日志可以帮助分析攻击者的访问时间、使用的IP地址以及他们尝试访问的具体网页或功能。

1、Nginx

访问日志记录了所有请求到达 Nginx 并得到响应的详细信息，包括客户端 IP 地址、请求时间、请求方法、请求的 URL、响应状态码等。在Nginx 的配置文件中，通常通过 access_log 指令指定访问日志的路径和格式。
默认路径：logs/access.log

2、Apache

访问日志记录了所有到达 Apache 服务器并得到响应的请求详细信息，包括客户端 IP 地址、请求时间、请求方法、请求的URL、响应状态码等。在 Apache 的配置文件中，通过 CustomLog 指令指定访问日志的路径和格式

默认路径：logs/access.log

3、Tomcat

访问日志记录了所有进入 Tomcat 并得到响应的请求详细信息，包括客户端 IP 地址、请求时间、请求方法、请求的 URL、响应状态码等。在Tomcat 的配置文件中，通过修改 server.xml 文件中< Host >元素下的 AccessLogValve来配置访问日志的输出路径和格式。

默认路径：logs/access.YYYY-MM-DD.log

三、文件痕迹排查

1、查看用户最近的打开的文件

检查用户最近打开过的文件，并对可能可疑的文件进行详细分析。如果发现可疑文件，将其上传到病毒库平台进行进一步分析

运行 - %UserProfile%\Recent

2、查看临时目录

Windows临时目录在安全应急响应中用于分析和检测潜在的恶意文件和活动

运行 - %tmp%

四、webshell&木马病毒 - 查杀

1、webshell

河马：https://www.shellpub.com/
D盾(iis)：https://www.d99net.net/

2、木马病毒

360杀毒：https://sd.360.cn/
360安全大脑：https://sc.360.net/
火绒：https://www.huorong.cn/
微步在线云沙箱：https://s.threatbook.com/
腾讯哈勃分析系统：https://habo.qq.com/
Jotti恶意软件扫描系统：https://virusscan.jotti.org/
ScanVir：http://www.scanvir.com/