Windows 安全事件排查

释放双眼,带上耳机,听听看~!

0x00Windows安全事件介绍:

按照事件类型的方式,可分为下面几种类别:

  • 病毒传播事件:电脑被植入病毒、木马变成僵尸主机。

  • 系统入侵事件:利用 Windows 的漏洞攻击入侵系统、利用弱口令侵、利用其他服务的漏洞入侵,如RDP(远程桌面服务)。

  • 网络攻击事件:DDOS、ARP、DNS 劫持等。


0x01排查流程及常用命令:

首先获取 Windows 的基本信息,操作系统版本、启动时间、域名、补丁安装等情况,可使用systeminfo命令获取。

1.   进程排查:

(1)排查系统进程是否异常

执行命令:TASKLIST

挖矿类事件可重点关注内存使用情况

(2)netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED

netstat 显示网络连接、路由表和网络接口信息;

findstr命令查找特定的端口或程序。

参数说明:

-a    显示所有网络连接、路由表和网络接口信息

-n    以数字形式显示地址和端口号

-o    显示与每个连接相关的所属进程 ID

-r     显示路由表

-s     显示按协议统计信息、默认地、显示IP

常见的状态说明:

LISTENING      侦听状态

ESTABLISHED    建立连接

CLOSE_WAIT     对方主动关闭连接或网络异常导致连接中断

(3)根据netstat定位出的pid,再通过tasklist命令进行进程定位

tasklist 显示运行在本地或远程计算机上的所有进程;


(4)根据wmic  process 获取进程的全路径

2.   文件排查:

(1)开机启动有无异常文件

【Ctrl+R【msconfig】

(2)各个盘下的temp(tmp)相关目录下查看有无异常临时文件

(3)浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息,根据不同浏览器进行排查;例如:打开谷歌浏览器点击【历史记录】

(4)Recent是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开分析可疑文件:CTRL+R%UserProfile%\Recent

 

(5)根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及文件

 

3.   系统日志排查

(1)排查计划任务是否存在可疑计划任务

执行命令:SCHTASKS

也可以 【程序】【附件】【系统工具】【任务计划程序】

 

(2)排查操作系统是否存在恶意自动启动信息

C:\Windows\win.ini C:\Windows\system.ini


(3)查当前系统用户的会话

使用query user查看当前系统的会话,比如查看是否有人使用远程终端登录服务器;

logoff 可踢出异常用户;

0x03其他注意事项:

  • 关注1024以上的动态服务端口,查看用户信息是否存在非法账号信息。

  • 命令:NET LOCALGROUP\NET USER\NET GROUP。

  • 查看Windows服务器是否进行相关安全加固:安全策略、密码策略、共享、开放端口、多余服务等,排查Windows发布应用系统是否存在异常情况:木马文件、压缩文件、配置文件等。

 

本文源自微信公众号:弥天安全实验室

人已赞赏
安全工具

浅谈信息搜集

2019-10-18 17:17:45

安全工具

常用中间件加固

2019-10-18 17:34:38

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索