攻防演练蓝队|Windows应急响应入侵排查

文章目录

    • 日志分析
      • web日志
      • windows系统日志
    • 文件排查
    • 进程排查
    • 新增、隐藏账号排查
    • 启动项/服务/计划任务排查
    • 工具

日志分析

web日志

dirpro扫描目录,sqlmap扫描dvwa

Python dirpro -u http://192.168.52.129 -b
sqlmap -u "http://192.168.52.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=bs8kg7ou7ru6dj4auppq32m663;security=low" --dbs

使用星图对日志文件进行分析,发现存在漏洞攻击行为,信息具体,可视化强。

在这里插入图片描述

windows系统日志

日志位置

windows 2000 专业版 /windows Server2003/windows XP
系统日志 C:\Windows\System32\config\SysEvent.evt
安全性日志 C:\Windows\System32\config\SecEvent.evt
应用程序日志 C:\Windows\System32\config\AppEvent.evtVista/win7/win8/win10/winser2008 以上
目录 %SystemRoot%\System32\Winevt\Logs\
系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志 %SystemRoot%\System32\Winevt\Logs\Application.evtx

事件id

事件 ID (旧版本)事件 ID (新版本)描述事件日志
5284624成功登录安全
5294625失败登录安全
6804776成功 / 失败的账户认证安全
6244720创建用户安全
6364732添加用户到启用安全性的本地组中安全
6324728添加用户到启用安全性的全局组中安全
29347030服务创建错误系统
29447040IPSEC 服务的启动类型已从禁用更改为自动启动系统
29497045服务创建系统

日志清除相关

事件事件 ID事件级别事件日志事件来源
事件日志服务关闭1100信息安全EventLog
事件日志被清除104信息系统EventLog
事件日志被清除1102信息安全EventLog
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where EventID=4624"指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"提取登录成功的用户名和IP:
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where EventID=4625"

文件排查

排查的几个点:

  1. 回收站、浏览器下载记录、浏览器历史记录
  2. 时间排序,查看最新的文件
  3. 修改时间在创建时间之前的文件

temp (tmp) 相关目录

C:\Windows\Temp

Recent 文件

Recent 存储最近打开的文件的快捷方式

%UserProfile%\Recent
C:\Documents and Settings\test\Recent
C:\Users\test.WIN10\Recent

预读取文件查看

C:\Windows\appcompat\Programs
查看工具 winprefetchview

粘滞键exe

查看C:\Windows\System32\下的sethc.exe文件的创建、修改时间是否正常,如下图,一般情况下,系统文件的创建时间与修改时间应相同,sethc的创建时间与修改时间不同,可确定sethc已被替换成后门文件。由于攻击者可修改文件时间,上述简单粗暴的判断方式可能不靠谱,可将sethc拷贝出来、上传至VT检测危害。

攻击日期内新增的文件

forfiles /m *.exe /d 2023/10/9 /s /c "cmd /c echo @path @fdate @ftime" 2> null

webshell

河马查杀

进程排查

  • 思路:重点检查没有厂商名字、没有签名验证信息、没有描述信息、CPU 或内存资源占用长时间过高的进程。检查可疑进程的属主、路径、参数是否合法。
  • 再分析这些进程加载了什么dll、使用了什么模块,分析是否存在异常,从而判断该进程是否为一个恶意的进程。
(1)查看端口得到PID
netstat -nao
netstat -ano | findstr "ESTABLISHED"(2)根据PID查看进程对应的程序名称
tasklist /V | findstr PID(3)杀掉进程
taskkill /PID 3876 /F
wmic process where name="mysqld.exe" delete
wmic process where processid=3876 call terminate

发现异常文件先放进检测箱里面,发现异常连接先放在情报社区

https://www.virustotal.com/gui/
https://x.threatbook.com/

新增、隐藏账号排查

命令行

net user
lusrmgr.msc
net localgroup Administrators

分析安全日志

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where TimeGenerated>'2023-10-09 23:32:11' and TimeGenerated<'2023-10-10 23:34:00' and EventID=4720"

分析注册表

HKLM\SAM\SAM\Domains\Account\Users\Names

正常情况下,上述路径的SAM权限仅system用户可查看,需要给administrator用户授权才能打开完整路径。对SAM右键、给administator用户添加完全控制权限

启动项/服务/计划任务排查

注册表启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检测是否被映像劫持

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
检查是否存在Debugger,且与exe文件名不一致

组策略

gpedit.msc

依次选择 【计算机配置】【Windows 设置】【脚本】【启动】

在这里插入图片描述

系统配置的启动项

msconfig

开机启动项文件夹

C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

服务排查

services.msc

查看计划或定时任务

C:\Windows\System32\Tasks\
C:\Windows\SysWOW64\Tasks\
C:\Windows\tasks\
taskschd.msc

工具

  • 火绒剑 yyds,几乎包含上面的排查项
  • autorun
  • procexp
  • 河马查杀
  • LogParser.msi
  • winprefetchview-x64
  • xingtu_full

autorun指南

1、登录(Logon):
此条目会扫描标准自动启动位置,例如当前用户和所有用户的启动文件夹、(Startup)运行注册表(Run Registry)项和标准应用程序启动位置。
2、资源管理器(Explorer):
此条目显示Explorer shell 扩展、浏览器帮助对象、资源管理器工具栏、活动设置执行和 shell 执行挂钩。
3、IE浏览器(Internet Explorer):
此条目显示浏览器帮助程序对象(Browser Helper Objects)(BHO)、Internet Explorer工具栏和扩展。
4、计划任务(Scheduled Tasks):
任务(Task)计划程序任务配置为在引导或登录时启动。
5、服务(Services):
它显示所有配置为在系统启动时自动启动的Windows服务。
6、驱动(Drivers):
这将显示系统上注册的所有内核模式驱动程序,但禁用的驱动程序除外。
7、已知DLL(AppInit DLL):
这有 Autoruns 显示注册为应用程序初始化DLL。
8、引导执行(Boot Execute):
在启动过程早期运行的本机映像(与Windows映像相反)。
9、镜像劫持(Image Hijacks):
图像文件执行选项和命令提示符自动启动。
10、应用初始化(AppInit):
显示注册为应用程序初始化DLL的DLL。
11、已知的 DLL(Known DLLs):
这会报告 Windows 加载到引用它们的应用程序中的DLL的位置。(DLLs)
12、Winlogon (win登录通知):
显示注册登录事件的Winlogon通知的DLL 。(Shows DLLs)
13、Winsock 提供商(Winsock Providers): 
显示已注册的Winsock 协议,包括Winsock 服务提供程序。恶意软件(Malware)通常将自身安装为Winsock 服务提供商,因为很少有工具可以删除它们。自动运行可以禁用它们,但不能删除它们。
14、LSA 提供者(LSA Providers):
显示(Shows)注册本地安全机构(Local Security Authority)( LSA ) 身份验证、通知和安全包。
打印机监视器驱动程序(Printer Monitor Drivers):
显示加载到后台打印服务中的DLL 。(DLLs)恶意软件(Malware)已使用此支持自动启动自身。
15、侧边栏(Sidebar Gadgets):
显示 Windows 边栏小工具。
ck 服务提供程序。恶意软件(Malware)通常将自身安装为Winsock 服务提供商,因为很少有工具可以删除它们。自动运行可以禁用它们,但不能删除它们。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/138999.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Express入门指南(详细)

文章目录 &#x1f7e2; Express⭐️ 1.初始Express✨安装✨使用Express 搭建一台服务器 ⭐️2.Express-基本路由✨1.使用字符串模式的路由路径示例&#xff1a;✨2.使用正则表达式的路由路径示例&#xff1a;✨3.中间件浅试(demo) ⭐️3.Express-中间件✨1.应用级中间件✨2.路…

特斯拉pre-test (Go)

特斯拉pre-test &#xff08;Go&#xff09; 1 Q12 Q23 Q3 1 Q1 原文&#xff1a; You are given an implementation of a function Solution that, given a positive integer N, prints to standard output another integer, which was formed by reversing a decimal repres…

PCLVisualizer显示点云的深层用法

以下代码均是在QT中使用QVTKOpenGLNativeWidget的简单教程以及案例-CSDN博客文章的基础上&#xff0c;修改按钮对应的槽函数中的程序。 1.显示文件中点云颜色属性信息&#xff0c;利用PointCloudColorHandlerRGBField得到每个点云对应的颜色。 pcl::PointCloud<pcl::PointX…

【Spring Cloud】网关Gateway的请求过滤工厂RequestRateLimiterGatewayFilterFactory

概念 关于微服务网关Gateway中有几十种过滤工厂&#xff0c;这一篇博文记录的是关于请求限流过滤工厂&#xff0c;也就是标题中的RequestRateLimiterGatewayFilterFactory。这个路由过滤工厂是用来判断当前请求是否应该被处理&#xff0c;如果不会被处理就会返回HTTP状态码为42…

Ruby和面向对象技术

Ruby和许多极为流行的编程语言都是面向对象的。多数的面向对象编程语言&#xff0c;每个对象都是一个样例或者既定类的实例以及独立对象的行为。 一、创建一个通用对象 创建一个通用对象 obj Object.new定义通用对象的行为 def obj.talk puts "I am an object"p…

分享一份适合练手的软件测试实战项目

最近&#xff0c;不少读者托我找一个能实际练手的测试项目。开始&#xff0c;我觉得这是很简单的一件事&#xff0c;但当我付诸行动时&#xff0c;却发现&#xff0c;要找到一个对新手友好的练手项目&#xff0c;着实困难。 我翻了不下一百个web网页&#xff0c;包括之前推荐练…

Pytorch从零开始实战05

Pytorch从零开始实战——运动鞋识别 本系列来源于365天深度学习训练营 原作者K同学 文章目录 Pytorch从零开始实战——运动鞋识别环境准备数据集模型选择数据可视化模型预测总结 环境准备 本文基于Jupyter notebook&#xff0c;使用Python3.8&#xff0c;Pytorch2.0.1cu118…

点击切换播放图片

<template><!-- banner组件 --><div class"wrap-box"><div class"image-container"><img :src"currentImage" alt"Image"></div><div class"controls"><div class"btn&q…

元宇宙虚拟展览馆,感受虚拟世界不一样的展览体验

引言&#xff1a; 随着科技的迅猛发展&#xff0c;元宇宙概念逐渐进入了大众的视野。不同于传统展览馆&#xff0c;元宇宙虚拟展览馆为人们提供了一个虚拟的展示空间&#xff0c;打破了时空的限制。 一、什么是元宇宙虚拟展览馆&#xff1f; 元宇宙虚拟展览馆是一种结合了虚拟…

【学习笔记】RabbitMQ02:交换机,以及结合springboot快速开始

参考资料 RabbitMQ官方网站RabbitMQ官方文档噼咔噼咔-动力节点教程 文章目录 四、RabbitMQ &#xff1a;Exchange 交换机4.1 交换机类型4.2 扇形交换机 Fanout Exchange4.2.1 概念4.2.1 实例&#xff1a;生产者4.2.1.1 添加起步依赖4.2.1.2 配置文件4.2.1.3 JavaBean进行配置4.…

A股风格因子看板 (2023.10 第05期)

该因子看板跟踪A股风格因子&#xff0c;该因子主要解释沪深两市的市场收益、刻画市场风格趋势的系列风格因子&#xff0c;用以分析市场风格切换、组合风格暴露等。 今日为该因子跟踪第05期&#xff0c;指数组合数据截止日2023-09-30&#xff0c;要点如下 近1年A股风格因子检验统…

小程序框架

目录 一.什么是小程序框架 二.视图层 先建立四个包 数据绑定 条件渲染 ​编辑 使用模板 事件系统 所有a.js 输出结果 ​编辑 三.跳转 a页面跳b页面 ​编辑 a页面跳c页面 测试结果 四.生命周期 一级跳一级 一级跳二级 二级跳二级 页面隔代跳转 一.什么是小程…