Windows应急响应排查
特殊情况
对于“驱动人生”挖矿木马、wannamine之类已知的可以通过流行病毒处置引擎查杀的木马,如果全盘扫描没有结果时,可以尝试用快速扫描;原因是文件查杀引擎和流行病毒处置引擎是并行关系,当主机性能较低时,可能会导致流行病毒处置引擎超时。
存在进程应如何定位
存在进程
EDR不单独对进程进行扫描,因此当病毒只有进程存在与主机时,是无法查杀到的,此时需要找到病毒进程并结束;最快速的方法是重启主机,但有些特殊情况主机无法重启,需要利用工具查找病毒进程并终止。
当流量侧有持续报出主机访问恶意域名或IP时,可以使用内存搜索工具对主机上的进程内存进行扫描,从而找到恶意进程,不过要注意,剪切板、远程软件、杀毒软件等可能是由于复制了域名字符串导致被扫描出来,要进行排除。
示例
使用僵尸网络工具,点击“威胁检索”:
僵尸网络工具下载地址:深信服EDR
输入要检索的域名字符串,点击“检索”:
稍等片刻后就会得到包含该域名的进程信息,可以看到,vmtoolsd.exe是由于使用剪切板功能导致的包含了域名字符串,比较可疑的是两个svchost.exe进程:
如何判断哪一个svchost是真正有问题的呢,使用工具processhacker查看进程的信息,根据PID找到进程——右键——Services,可以查看到该进程对应的服务;PID为1140的svchost.exe进程对应服务如下,看起来不是很可疑:
而PID为904的svchost.exe对应的服务中,有一个fastuserswitchingcompatibility服务比较可疑,于是点击“Go to service”查看该服务的信息:
可以看到该服务的描述也十分奇怪,右键——Properties查看服务的详细信息:
可以看到Service DLL处是一个jpg文件,非常的可疑,可以取出来判断是否为漏报的病毒文件:
计划任务排查
使用Autoruns工具可以查看主机上创建的计划任务以及详细的命令内容,执行了powershell命令或者cmd命令,且命令中带有一些奇怪的域名、IP、或者加密数据的计划任务,可疑度较高:
或是名字较为可疑,执行的文件路径比较可疑:
在“程序计划任务”中可以导出恶意的计划任务,保留后可以便于对病毒行为进行分析:
服务排查
恶意服务的判断相对来说会难一些,因为恶意服务常常会伪装成看起来正常的服务名,因此对经验的依赖要多一些,比如Wannamine的服务是由特定的单词列表拼接而成;对于没有分析过的木马来说,查找是否有恶意服务可以通过看服务对应的程序是否可疑。
例如下图中的fastuserswitchingcompatibility这个服务:
查看到对应的服务程序,是一个jpg文件,就十分的可疑,将文件取出进行分析后果然为木马程序:
如果无法直接从服务名判断,可以通过已知的恶意进程来查找对应的服务。如图,PID为904的svchost.exe是一个可疑进程,右键——Services,可以查看到该进程对应的服务,其中fastuserswitchingcompatibility服务名看起来比较奇怪,于是点击“Go to service”查看该服务的信息:
可以看到该服务的描述也十分奇怪,右键——Properties查看服务的详细信息:
可以看到Service DLL(服务对应执行的DLL文件)处是一个jpg文件,非常的可疑,可以取出来判断是否为漏报的病毒文件:
WMI排查
WMI也是木马常用的驻留项,通过Autoruns工具可以查看WMI的具体内容,WMI的判断与计划任务的判断有相似之处,通过名字和内容进行判断,例如下面的这个WMI名字非常的可疑,并且执行了一段加密的powershell命令,可以肯定为恶意:
MBR排查
MBR改写也是一种驻留方式,比较难以判断和修复,如果在其他的驻留项都排查过了以后,仍然没有查杀干净,则可以尝试使用工具扫描MBR是否被修改,使用专杀进行清理。
SQL驻留排查
当服务器不定时会访问恶意域名,但使用Autoruns却找不到启动项的时候,可以排查SQLServer确认下是否有驻留恶意代码。
客户反馈服务器一重启开机就会访问恶意域名sql.4i7i.com。
威胁关联到该病毒会攻击SQL Server,所以猜测SQL Server里可能驻留有恶意代码。
打开Autoruns,没有发现可疑的启动项。
使用威胁定位,发现sqlserver.exe内存里存在恶意域名字符串。
接着使用ProcessHacker在sqlservr.exe内存里搜索字符串sql.4i7i.com,检测出了powershell代码,这些基本可以判定SQL Server里驻留有恶意powershell代码了。
打开SQL Server,点击:SQL Server代理-->作业,右键可疑的作业项,新查询编辑器窗口。
在窗口里就可以发现恶意的powershell代码,将该恶意作业test_powershell_job1删除,服务器就不再报警了。
Windows应急响应排查相关推荐
- Windows应急响应排查思路,应急响应基础技能
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows应急响应 ...
- 应急响应-HW之windows 应急响应之入侵排查技巧
windows 应急响应之入侵排查技巧 文章目录 windows 应急响应之入侵排查技巧 常见的应急响应事件分类: 入侵排查思路 0x01 分析入侵过程 0x02 入侵排查方法 一.检查系统账号安全 ...
- Windows 应急响应辅助笔记
目录导航 0x00 前言: 0x01 应急辅助工具: 工具列表: 在线沙箱: 0x02 排查前说明: 0x03 账户排查: 方法一: 方法二: 方法三: 方法四: 0x04 系统日志排查: 安全日志: ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- Windows应急响应篇
转载至奇安信攻防社区-Windows应急响应篇 Windows应急响应篇 本篇主要以windows下应急响应的基础技术手段进行介绍. 一.概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多 ...
- Windows应急响应信息采集工具
Windows应急响应信息采集工具 文章目录 Windows应急响应信息采集工具 GetInfo介绍 功能列表 使用说明 注意事项: 可能存在的问题 下载地址 目录结构: 项目地址: GetInfo介 ...
- Windows应急响应-文件隐藏
公众号原文连接: Windows应急响应-文件隐藏 在黑帽SEO中,通常会遇到利用easy file locker来实现驱动隐蔽的方式. 1. 下载easy file locker https://d ...
- Windows应急响应 -Windows日志排查,系统日志,Web应用日志,
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows日志分析 ...
- windows应急响应入侵排查思路
0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...
- Windows应急响应
临近冬奥.残奥,发一篇Windows的应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应. 目录 Part1 前期交互 Part2 主机排查 Part3 工具篇 Part1 前期交互 这个阶 ...
最新文章
- 做工程师不懂这七点,难怪你总是混不好
- 贝叶斯统计:信噪对偶与Dawid定理
- 【数理知识】《数值分析》李庆扬老师-第8章-矩阵特征值计算
- ubuntu mysql 5.7_Ubuntu 18.04 安装mysql5.7
- Hadoop Hbase适合存储哪类数据?(转)
- JQuery中的样式切换
- Trade Stages - The Trade Path
- (12)css—float浮动样式
- ApacheCN Linux 译文集 20211129 更新
- python stdin read_python 3:使用readahead从stdin管道读取字节
- 毕业5年跳槽24次,为什么这届95后换工作越来越勤?
- Websocket实现即时通讯
- ASP.NET 的服务器端控件有三种关于 ID 的属性 ID, ClientID 和 UniqueID
- html设置自己下载的字体
- 1024程序员节Bilibili电脑8位密码谜底
- 金三银四跳槽季,前端面试题记录(2021),VUE
- 哔哩哔哩2018.9.21笔试题——扭蛋机(堆的思想解决)
- 基于盲估计和ICA的单通道盲分离算法–Matlab仿真
- YOLOv7默默更新了Anchor-Free | 无痛再涨1.4mAP
- Linux命令--tail