システムアカウント#
サーバーに弱いパスワードが存在するか(問い合わせ、ツール破壊)
疑わしいアカウント
lusrmgr.msc
net user/wmic UserAccount get
隠しアカウント
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/
D 盾アカウント検出
ポート、プロセス#
netstat -ano
tasklist | findstr <pid>
netstat -ano | findstr <port>
タスクマネージャーでプロセスに対応する PID を確認し、該当するプロセスを選択するとファイルの位置を確認できます。
プロセス確認:msinfo32
サービス:services.msc
火绒剣、Process Explorer
プロセス観察#
- 無署名情報
- 無説明情報
- プロセスの所有者
- プロセスパス
疑わしいプロセスを終了する
taskkill /f /pid <pid>
スタートアップ項目、スケジュールタスク、サービス#
スタートアップ項目#
スタートアップフォルダー
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\現在のユーザー\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
レジストリ
REG query HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
REG query HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
REG query HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
REG query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
REG query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
REG query HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
msconfig
グループポリシー:gpedit.msc
スケジュールタスク#
taskschd.msc
自動サービス#
services.msc
疑わしいファイル#
疑わしいディレクトリを時間順にソート
新しいユーザーディレクトリが追加されたか
find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|(gunerpress|(base64_decoolcode|spider_bc|shell_exec|passthru|($_\POST[|eval (str_rot13|.chr(|${"_P|eval($_R|file_put_contents(.*$_|base64_decode'
grep -i -r eval($_post /app/website/*
find /app/website/ -type f|xargs grep eval($_post
一時ファイル:c:\windows\temp\
最近のファイル:% UserProfile%\Recent
特定の時間内にアップロードディレクトリへのアクセスリクエストを確認
findstr /s /m /I “UploadFiles” *.log
パッチ情報#
systeminfo
ウイルススキャン#
ウイルス対策ソフト
D 盾 - webshell スキャン
ログ分析#
前提:ログが保存されていること、サーバー自体のログ、安全デバイスが保存した攻撃ログ
システムログ:eventvwr.msc、ツール:log parser
ログの位置:
%SystemRoot%\System32\Winevt\Logs\
主要なログにはアプリケーション、セキュリティ、システムログなどが含まれ、ログのデフォルトサイズは 20484K(20M)で、超過した部分は期限切れのログを上書きします。
イベント ID#
拡張 1 を参照
各ログイン成功のイベントにはログインタイプがマークされており、異なるログインタイプは異なるログイン方法を示します。
| ログインタイプ | 説明 | 説明 |
|---|---|---|
| 2 | インタラクティブログイン(Interactive) | ユーザーがローカルでログインします。 |
| 3 | ネットワーク(Network) | 最も一般的な状況は、共有フォルダーや共有プリンターに接続することです。 |
| 4 | バッチ(Batch) | バッチ(バッチプログラム用に予約) |
| 5 | サービス(Service) | サービスが起動します(サービスログイン) |
| 7 | アンロック(Unlock) | スクリーンセーバーのアンロック。 |
| 8 | ネットワーク平文(NetworkCleartext) | ログインパスワードがネットワーク上で平文で送信されます。 |
| 9 | 新しい資格情報(NewCredentials) | /Netonly パラメータを使用して RUNAS コマンドでプログラムを実行します。 |
| 10 | リモートインタラクティブ(RemoteInteractive) | ターミナルサービス、リモートデスクトップ、またはリモートアシストでコンピュータにアクセスします。 |
| 11 | キャッシュインタラクティブ(CachedInteractive) | キャッシュされたドメイン証明書でログイン |
web(ミドルウェア)ログ:ログ分析ツール、スクリプトフィルタリング分析
ツール#
ウイルス対策ソフト
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
微步脅威インテリジェンス:https://x.threatbook.cn
安恒クラウドサンドボックス:https://sandbox.dbappsecurity.com.cn/
D 盾 - webshell スキャン:http://www.d99net.net/index.asp
深信服 webshell 検出:http://edr.sangfor.com.cn/backdoor_detection.html
河馬スキャン:http://www.shellpub.com/
thor-lite:https://www.nextron-systems.com/thor-lite/
メモリマスキャン:https://github.com/c0ny1/java-memshell-scanner
ログ#
EVTX-ATTACK-SAMPLES
ログ分析ツール logparser:https://www.microsoft.com/en-us/download/details.aspx?id=24659
LogParser Lizard:http://www.lizard-labs.com/log_parser_lizard.aspx
Event Log Explorer:https://www.majorgeeks.com/files/details/event_log_explorer.html
Win-Logs-Parse-tool:https://github.com/Clayeee/Win-Logs-Parse-tool
360 星図:iis/apache/nginx ログを自動的に識別できます。
下の図は iis ログです:
下の図は apache ログです。
ioc#
参考#
https://github.com/Lorna-Dane/Blue-Team/tree/8e0e2e9dde536bc3941b56f915165db764d7119e
拡張 1 イベント ID#
| 攻撃タイプ | イベント ID |
|---|---|
| ポリシー変更 | 1102: 監査ログのクリーンアップ 4719:システム監査ポリシーの変更 |
| アカウントとグループの列挙 | 4798:ローカルユーザーグループのメンバーが列挙されました 4799:セキュアなローカルグループのメンバーが列挙されました 4720:ユーザーの作成 4726:アカウントの削除 4728:セキュアなグローバルグループにメンバーを追加 4729:セキュアなグローバルグループからメンバーを削除 |
| AdminSDHolder | 4780:ACL が管理者グループに属するアカウントに設定されました |
| Kekeo | 4624:アカウントログイン 4672:管理者ログイン 4768:Kerberos TGS リクエスト |
| Silver Ticket | 4624:アカウントログイン 4634:アカウントログアウト 4672:管理者ログイン |
| Golden Ticket | 4624:アカウントログイン 4672:管理者ログイン |
| PowerShell | 4103:スクリプトブロックのログ記録 400:エンジンライフサイクル 403:エンジンライフサイクル 4103:モジュールのログ記録 600:プロバイダーライフサイクル |
| DCShadow | 4742:コンピュータアカウントが変更されました 5137:ディレクトリサービスオブジェクトが作成されました 5141:ディレクトリサービスオブジェクトが削除されました 4929:アクティブディレクトリの複製ソース命名コンテキストが削除されました |
| Skeleton Keys | 4673:特権サービスが呼び出されました 4611:ローカルセキュリティ認証に信頼されたログインプロセスが登録されました 4688:新しいプロセスが作成されました 4689:プロセスが終了しました |
| PYKEK MS14-068 | 4672:管理者ログイン 4624:アカウントログイン 4768:Kerberos TGS リクエスト |
| Kerberoasting | 4769:Kerberos チケットがリクエストされました |
| S4U2Proxy | 4769:Kerberos チケットがリクエストされました |
| DCSync | 4662:オブジェクトに対して操作が実行されました |
| パスワードスプレー | 4625:アカウントログイン失敗 4771:Kerberos の事前認証失敗 4648:明示的な資格情報を使用してログインしようとしました |
| 横移動 | 4688:新しいプロセスが作成されました 4689:プロセスが終了しました 4624:アカウントが成功裏にログインしました 4625:アカウントログイン失敗 |
| NTLM | 4776:NTLM 認証 |
| DNSAdmin | 770:DNS サーバープラグイン DLL がロードされました 541:設定 serverlevelplugindll が範囲にとして設定されました 150:DNS サーバーがプラグイン DLL をロードまたは初期化できませんでした |