Windows应急响蓝安服面试

news2024/11/26 2:26:45

Windows应急响应

蓝队溯源流程

学习Windows应急首先要站在攻击者的角度去学习一些权限维持和权限提升的方法.,文章中的方法其实和内网攻防笔记有类似l红队教你怎么利用 蓝队教你怎么排查 攻防一体,应急响应排查这些项目就可以

在这里插入图片描述

端口/服务/进程/后门文件都是为了权限维持,得到shell的方式就是传入文件然后CS MSF远控

  • 可疑账号/新增账号/克隆账号(利用注册表普通命令不行)
  • 异常端口/进程 (端口3389 22 进程或许有进程迁移)
  • 启动项目/计划任务/服务自启动
  • 日志 用户登陆时间
  • 系统相关信息/补丁/目录
  • 工具排查

排查可以是工具可以是手工,工具蓝队工具和D盾都是可以整体看系统全局

lusrmgr.msc  bet user  // 查看账户

netstat -ano  // 查看端口对应PID情况

wmic process get name.executablepath,processid|findstr 212 // 查询指定PID路径地址

eventvwr.msc  // 查看日志

在这里插入图片描述

如查询主机所有开机自启利用工具包内置的Autoruns即可查全局

在这里插入图片描述

Windows权限维持

隐藏方法

隐藏文件

命令隐藏

常规的属性隐藏很轻易就可以看到,红队上传文件后使用该命令隐藏文件属性,同样我们可以利用命令还原

attrib +A +R +S +H saber.txt  // 隐藏 saber.txt

在这里插入图片描述

查杀方式

撤销 attrib -A -R -S -H // 在怀疑被上传文件被隐藏文件的目录下执行此文件就行
驱动机隐藏

驱动隐藏可以根据一些软件进行实现 Easy File Locker

// 下载地址

http://dx2.anxz.com/soft/E/EasyFileLockerxz.zip

在这里插入图片描述

取消勾选各类属性

在这里插入图片描述

查杀方式

排查C盘路径如果出现以下文件说明主机受到驱动机隐藏

c:\windows\xlkfs.dat
c:\windows\xlkfs .dl1
C:\windows\xlkfs.ini
c:\windows\system32\driversxlkfs.sys

在这里插入图片描述

找到相关驱动机服务停止,并删除残留在C盘中的驱动机文件,后重启系统

sc qc xlkfs // 查看相关服务 

net stop xlkfs // 停止服务

sc delete xlkfs  // 删除服务

隐藏账户

D盾查杀

D盾检查隐藏账户并删除,并且存在很多功能查看端口外联还有进程迁移的情况普通的命令是无法查询到的注册表可以查到

在这里插入图片描述

进程迁移

一个端口只能绑定一个进程, 但是一个进程可以多次消耗端口进行绑定

在这里插入图片描述

CS MSF 远控木马工具得到权限后,可将原始的进程迁移到安全的进程中实现隐藏的效果,实现了文件权限维持,提高隐蔽性实现持久化,一般只学习MSF会话注入 CS注入

// 查看进程,如果一个进程PID存在有两个程序名很可能是进程迁移 

tasklist     // 可以实现内网横向

在这里插入图片描述

木马进程200迁移到正常程序100上,作为防守方排查看到正常程序就忽略了木马

木马      进程PID 200   

qq.exe   进程PID 100

migrate 999 // MSF进程迁移命令将当前恶意进程(payload)迁移到另一个进程中,以提高持久性和隐蔽性

查杀方式

进程注入在内存列表中肯定会多出一块文件地址,找到多出的文件地址提取字符串在本地查看就会出现实际外联的IP+端口

在这里插入图片描述

如正常排查了所有进程后仍无法找到那么肯定是迁移到了系统进程,使用火绒剑监控对可疑进程实施监控进程树,可疑进程监测就完事

后门方法

注册表自启动

注册表键值

因为红队会修改注册表自启动的程序替换为木马,实现开机自启动,下面是常用的注册表自启动键

在这里插入图片描述

无文件注册表后门

cs可以创建powershell无文件,CS端创建注册表

在这里插入图片描述

服务自启动

得到权限后创建服务路径为木马程序设置自动启动,每次开机就会上线

在这里插入图片描述

在这里插入图片描述

组策略自启动

打开组策略面板设置木马文件路径,达到开机自启权限维持效果

gpedit

在这里插入图片描述

计划任务自启动

计划任务

启动项自启动

探测隐藏后门

在网站庞大的代码量面前工具也可能存在Webshell绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽SEO手法,也很难通过手动检测或工具检测全部识别出来,最好的方式就是做文件完整性验证。通过与原始代码对比,可以快速发现文件是否被篡改以及被篡改的位置。当然,第一个前提是,你所在的团队已具备代码版本管理的能力

**webshell**查杀

D盾_Web查杀:http://www.d99net.net/index.asp

河马webshell查杀:http://www.shellpub.com

深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html

文件**MD5**校验

将网站所有文件,计算一次hash值保存,当出现应急情况时,重新计算一次hash值,并与上次保存的hash值进行对比,从而输出新创建的、修改过及删除的文件列表,二次计算都必须使用相同的校验算法,如果二者前后hash值相同则认为文件是正确的,如果两个特征值不同,则认为下载到exe文件是被篡改过的

def md5sum(file):
    m=hashlib.md5()
    if os.path.isfile(file):
        f=open(file,'rb')
        for line in f:
            m.update(line)
        f.close
    else:
        m.update(file)
    return (m.hexdigest())

diff命令

linux使用此命令,比较两个文本文件的差异

如果服务器中存在隐藏的后门,需要进一步的排查和清除,以保障服务器的安全。可以采用以下方法进行探测和清除:

  1. 检查文件完整性:使用md5sum命令计算服务器上所有文件的哈希值,并将结果与之前保存的哈希值进行对比。如果有文件的哈希值发生了变化,则可能存在篡改,需要进一步排查。
  2. 查看日志:检查服务器日志文件,查看是否有可疑的登录信息或异常操作。可以使用tail命令实时查看日志,或者使用grep命令查找特定的关键字。

使用diff命令进行文件校验,判断文件是否被篡改

diff -rA file1 file2

-A选项用于比较所有行

file1.txt file2.txt
1       file1.txt
2       file2.txt
3
4       # 此行为示例文本,非原始文本
5       # 如果存在此行,则文件可能被篡改
6
7       # 原始文本内容
8       content1
9       content2
10       # ...
11

如果存在差异行,则说明文件被篡改过

远程防御

通过设置防火墙规则、更新补丁、使用加密传输等手段来保护服务器免受攻击。同时,定期对系统进行漏洞扫描和渗透测试,及时发现并修复漏洞

版本控制工具

重新将代码上传至git,打开项目,在历史提交版本里面,查看文件更改内容,很容易就可以发现代码被篡改的地方了

在这里插入图片描述

文件对比工具

使用软件Beyond Compare对两个文件夹进行差异对比,查看是否篡改

CS MSF远控应急

在这里插入图片描述

面试回答

远控工具必定有外联IP+端口查看系统对应进程,进程PID找到CS告警文件,找到上传路径,如果隐藏利用手工结合工具找到 后续排查存在权限维持的点 服务/启动项/注册表/计划任务/组策略,删除对应文件

红队修改心跳包为0/1s 是无法看到外联端口,借助工具火绒剑时时监测

MSF处理也是这样找外联进程确定文件位置排查启动项,包括蠕虫 挖矿只要涉及需要运行的项目就肯定有进程,根据进程找文件…通用方案)

netstat -ano 

在这里插入图片描述

命令找到外联进程后杀死这个进程,木马上传肯定会进行权限维持操作, 可能会隐藏文件可能是实现自启动根据外联进程的PID文件地址,进行查找对应的项目进行应急.找到删除就可以,服务自启动就是删除服务

内存马应急

在这里插入图片描述

暴力破解

RDP

  • 排查windows日志确认攻击
  • 禁止3389出网
  • 设置连接IP白名单

日志分析

01-windows日志分析.pdf

windows日志分析

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹,主要有此三类日志

  • 应用程序日志
  • 系统日志
  • 安全日志
eventvwr.msc  // 命令查看或手动搜索事件日志文

在这里插入图片描述

应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录

系统日志

记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等

安全日志

记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全日志

分析事件ID

windows事件日志分,不同的事件ID对应了不同意义

在这里插入图片描述

在这里插入图片描述

筛选日志功能对3个日志的事件ID进行筛选,比如暴力破解就可以筛选事件ID4625

在这里插入图片描述

登录成功类型方式

每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:

在这里插入图片描述

日志分析工具

Log Parser分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志,

可以像使用 SQL 语句一样查询分析这些数据

在这里插入图片描述

windows日志快速分析小工具

在这里插入图片描述

Web日志分析

Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息

分析后可以帮助我们快速定位攻击者还原攻击路径,常见两个思路

  • 确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程
  • 攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析

日志统计分析技巧

统计IP

统计网段

统计域名

统计流量

病毒处理方案

勒索病毒

通过勒索病毒索引引擎查找勒索病毒相关信息,再通过各个安全公司提供的免费勒索软件解密工具解密,但是全拼运气,平时防护措施就是勤打补丁多备份

勒索病毒搜索

360
腾讯
启明星辰
奇安信

勒索软件解密工具

腾讯哈勃
金山毒霸
火绒
卡巴斯基

蠕虫病毒

它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序

处理流程

1、发现异常:出口防火墙、本地端口连接情况,主动向外网发起大量连接
2、病毒查杀:卡巴斯基全盘扫描,发现异常文件
3、确认病毒:使用多引擎在线病毒对该文件扫描,确认服务器感染conficker蠕虫病毒。
4、病毒处理:使用conficker蠕虫专杀工具对服务器进行清查,成功清除病毒。

挖矿病毒

表现特征为电脑CPU占用率高C盘可使用空间骤降电脑温度升高、风扇噪声增大,因为后台一直在运行

1. 首先将已被感染的服务器进行断网,并立即把网络中其他机器进行隔离 
2. 溯源排查服务器进行,找出哪个进程哪个端口异常,查看服务定时任务,开机启动项,确定挖矿文件路径
3. 手工或者杀软工具彻底删除文件

批量挂黑页

网站被挂上各种菠菜链接,链接可以访问,直接访问物理路径也可以看到文件,但是打开网站目录并没有发现这些文件

确定黑页上传文件的路径,到对应的文件夹目录修改文件夹属性尝试显示隐藏的文件,如有立即清除

打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件和文件夹“下面的单选选择“显示隐藏的文件、文件夹和驱动器

再次查看,可以看到半透明的文件夹,清楚隐藏文件夹及所有页面

在这里插入图片描述

管理员账号被篡改

网站虽然前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改

1. 使用工具扫描结合手工确定是否有webshell文件,存在则去对应目录查看恶意文件创建时间
   访问对应时间段日志,对发出此文件的IP进行封禁
     
webshell文件可能携带sql语句,增加用户语句   

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2207525.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

linux安装hadoop

目录 jdk安装配置 hadoop安装 hadoop配置 配置ssh免密登录 启动hadoop 实现文件上传下载 eclipse安装配置 jdk安装配置 1、删除centos自带的jdk yum list installed | grep java yum remove *openjdk* 2、下载jdk安装包 wget --no-check-certificate https://repo.h…

InternVid:用于多模态视频理解与生成的大规模视频-文本数据集 | ICLR Spotlight

InternVid 是一个开源的大规模视频-文本数据集,旨在促进视频理解和生成任务的发展,由上海人工智能实验室与南京大学、中国科学院等单位联合发布,相关的工作已经被ICLR2024接收。它包含超过 700 万个视频,总时长近 76 万小时&#…

位操作位操作位操作

呵呵哈哈哈哈哈哈哈哈哈和哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈

MySQL—视图

前言: 视图是一个虚拟的表,是基于一个或多个基本表或其他视图的查询结果集。视图本身不占据物理储存空间,仅仅只是一个查询的逻辑表示,物理上依赖于数据表的数据。 视图具有简单,安全,逻辑数据独立&#…

CST软件优化超表面--- 偏振片- 线圆极化转换,天线阵任务,远场算轴比AR

本期我们继续看线极化转圆极化。本案例是个三层结构,比单层的偏振片有更宽的频率和更少的反射。我们将利用CST的天线阵列任务中的单元任务,加上优化器优化,使偏振片在多个入射角、多个频率,S11反射都够小,AR都够圆。 …

Spark-RDD的宽窄依赖以及Shuffle优化

目录 RDD宽窄依赖的区别 DAG有向无环图 窄依赖 宽依赖 shuffle过程 Shuffle介绍 Spark优化-避免shuffle RDD宽窄依赖的区别 窄依赖 每个父RDD的一个Partition最多被子RDD的一个Partition所使用 mapflatMapfilter宽依赖 一个父RDD的Partition会被多个子RDD的Partition所使…

LCD补充

LCD补充 目录 LCD补充 tip:随着我们学的越来越多,代码长度越来越长,编译越来越慢,有没有超过内存是我们比较关心的一件事,通过以下方法可以实时看到写的代码的大小 回顾LCD LCD补充功能 -- 1、有关在LCD上显示动图&#xff…

Python库matplotlib之九

Python库matplotlib之九 动画ArtistAnimation构造器成员函数应用例子 动画 Matplotlib基于其绘图功能,还提供了一个使用动画模块,生成动画的接口。动画是一系列帧,其中每个帧对应于图形上的一个图。 Matplotlib使用两个类来实现动画&#x…

ordinaryroad-barrage-fly wsl部署记录

系统:win11 wsl版本:wsl2 Linux:Ubuntu 22.04.4 LTS 文档:https://barragefly.ordinaryroad.tech/deploy/#_2-1-docker-compose docker相关的内容自己事先安装好 git clone https://github.com/OrdinaryRoad-Project/ordinaryr…

TensorBoard

1、概念 TensorBoard可以看作是一个“训练监控仪表盘”,可以 将训练过程中的数据可视化,让你通过图表直观地看到模型的表现, 识别问题,并进行调试和优化。 TensorFlow是用来训练模型的深度学习框架,在使用tensorflo…

基于SpringBoot+Vue的疫情物资管理系统(带1w+文档)

基于SpringBootVue的疫情物资管理系统(带1w文档) 基于SpringBootVue的疫情物资管理系统(带1w文档) 本课题研究和开发疫情物资管理系统管理系统,让安装在计算机上的该系统变成管理人员的小帮手,提高疫情物资管理系统信息处理速度,规范疫情物资…

内网wordpress更换IP后无法访问的解决办法

一、现象 一台装有wordpress的台式机,从一个校区移到了另一个校区,更换了IP地址,导致无法正常访问。 二、分析 安装wordpress的时候里面的ip(或域名)都已固定。安装好后,内网通过IP访问&am…

基于Maven 运行OpenRewrite的快速示例

本篇介绍一个基于Maven 运行OpenRewrite 的快速示例,展示了如何在Maven项目中使用OpenRewrite 进行代码重构。 本篇达成的效果是使用OpenRewrite 对源码自动格式化。 达成效果期望 项目中有一个类AutoFormatDemo ,类的代码如下 public class AutoFor…

ubuntu24 root用户修改密码 ubuntu新系统没有创建root用户

ubuntu 系统在虚拟机新建一个ubuntu24,但是在配置系统时候,并没有配置root密码,只是新增了一个自定义账号于密码,在创建好后,可以登录系统,设置root密码~ 1. ubuntu系统初始化后,登录自建账号 …

Nullinux:一款针对Linux操作系统的安全检测工具

关于Nullinux Nullinux是一款针对Linux操作系统的安全检测工具,广大研究人员可以利用该工具针对Linux目标设备执行网络侦查和安全检测。 该工具可以通过SMB枚举目标设备的安全状况信息,其中包括操作系统信息、域信息、共享信息、目录信息和用户信息。如…

C# 结构和类

要点: 1、结构概述 2、结构的使用 一 为什么需要结构 问题: System.Drawing.Color有很多颜色值,它是一个枚举吗? 正常人眼可分辨的颜色种类可达几十万种以上 Color提供使用RGB值返回颜色的方法 FromArgb() System.Drawing.Col…

LabVIEW开关磁阻电机特性测量系统

基于LabVIEW软件和特定硬件组件的开关磁阻电机(SRM)特性测量系统,结合多功能数据采集卡,统能够准确地测量并分析SRM的电磁特性,从而支持电机模型的精确建立和性能优化。 项目背景 在工业生产和家用电器领域&#xff0…

电子取证新视角:USB键盘流量提取密码方法研究与实现

0x01 引言 在当今数字化时代,USB设备的广泛使用使得信息安全和电子取证领域面临着新的挑战与机遇。特别是USB键盘,作为一种常见的输入设备,其流量中可能包含用户输入的敏感信息,如密码和其他私人数据。因此,研究USB键…

数据治理:制造企业转型的关键要素与战略需求

制造业,作为国民经济的主体,是立国之本、兴国之器、强国之基。从工业文明的曙光初现,到今日全球化的激烈竞争,始终昭示着一个真理:没有强大的制造业,就没有国家和民族的强盛。 为全面推进制造强国建设&…

Qt初识_项目文件解析

个人主页:C忠实粉丝 欢迎 点赞👍 收藏✨ 留言✉ 加关注💓本文由 C忠实粉丝 原创 Qt初识_项目文件解析 收录于专栏【Qt开发】 本专栏旨在分享学习Qt的一点学习笔记,欢迎大家在评论区交流讨论💌 目录 1. pro文件解析 2.…