系統帳號#
伺服器是否存在弱口令(詢問、工具爆破)
可疑帳號
lusrmgr.msc
net user/wmic UserAccount get
隱藏帳號
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/
D 盾帳號檢測
埠、進程#
netstat -ano
tasklist | findstr <pid>
netstat -ano | findstr <port>
任務管理器可查看進程對應的 PID,選擇相應的進程可查看文件位置
進程查看:msinfo32
服務:services.msc
火絨劍、Process Explorer
進程觀察#
- 無簽名信息
- 無描述信息
- 進程的屬主
- 進程路徑
結束可疑進程
taskkill /f /pid <pid>
啟動項、計劃任務、服務#
啟動項#
啟動文件夾
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\當前用戶\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
註冊表
REG query HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
REG query HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
REG query HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
REG query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
REG query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
REG query HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
msconfig
組策略:gpedit.msc
計劃任務#
taskschd.msc
自動動服務#
services.msc
可疑文件#
對可疑目錄進行時間排序
是否新增用戶目錄
find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|(gunerpress|(base64_decoolcode|spider_bc|shell_exec|passthru|($_\POST[|eval (str_rot13|.chr(|${"_P|eval($_R|file_put_contents(.*$_|base64_decode'
grep -i -r eval($_post /app/website/*
find /app/website/ -type f|xargs grep eval($_post
臨時文件:c:\windows\temp\
最近文件:% UserProfile%\Recent
查看特定時間內對上傳目錄的訪問請求
findstr /s /m /I “UploadFiles” *.log
補丁信息#
systeminfo
病毒查殺#
殺毒軟件
D 盾 - webshell 查殺
日誌分析#
前提:有日誌留存,伺服器本身的日誌,安全設備留存的攻擊日誌
系統日誌:eventvwr.msc,工具:log parser
日誌位置:
%SystemRoot%\System32\Winevt\Logs\
主要日誌包括應用程序、安全、系統日誌等,日誌默認大小 20484K(20M),超出的部分將覆蓋過期的日誌。
事件 ID#
見擴展 1
每個登錄成功的事件都會標記一個登錄類型,不同的登錄類型代表不同的登錄方式
| 登錄類型 | 描述 | 說明 |
|---|---|---|
| 2 | 交互式登錄(Interactive) | 用戶在本地進行登錄。 |
| 3 | 網絡(Network) | 最常見的情況就是連接到共享文件夾或共享打印機時。 |
| 4 | 批處理(Batch) | 批處理(為批處理程序保留) |
| 5 | 服務(Service) | 服務啟動(服務登錄) |
| 7 | 解鎖(Unlock) | 屏保解鎖。 |
| 8 | 網絡明文(NetworkCleartext) | 登錄的密碼在網絡上是通過明文傳輸的,如 FTP、IIS 登錄驗證。 |
| 9 | 新憑證(NewCredentials) | 使用帶 / Netonly 參數的 RUNAS 命令運行一個程序。 |
| 10 | 遠程交互,(RemoteInteractive) | 通過終端服務、遠程桌面或遠程協助訪問計算機。 |
| 11 | 緩存交互(CachedInteractive) | 緩存域證書登錄 |
web (中間件) 日誌:日誌分析工具,腳本過濾分析
工具#
殺毒軟件
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
微步威脅情報:https://x.threatbook.cn
安恒雲沙箱:https://sandbox.dbappsecurity.com.cn/
D 盾 - webshell 查殺:http://www.d99net.net/index.asp
深信服 webshell 檢測:http://edr.sangfor.com.cn/backdoor_detection.html
thor-lite:https://www.nextron-systems.com/thor-lite/
內存馬掃描:https://github.com/c0ny1/java-memshell-scanner
日誌#
EVTX-ATTACK-SAMPLES
日誌分析工具 logparser:https://www.microsoft.com/en-us/download/details.aspx?id=24659
LogParser Lizard:http://www.lizard-labs.com/log_parser_lizard.aspx
Event Log Explorer:https://www.majorgeeks.com/files/details/event_log_explorer.html
Win-Logs-Parse-tool:https://github.com/Clayeee/Win-Logs-Parse-tool
360 星圖:可自動識別 iis/apache/nginx 日誌
下圖為 iis 日誌:
下圖為 apache 日誌
ioc#
參考#
https://github.com/Lorna-Dane/Blue-Team/tree/8e0e2e9dde536bc3941b56f915165db764d7119e
擴展 1 事件 ID#
| 攻擊類型 | 事件 ID |
|---|---|
| 策略更改 | 1102: 清理審計日誌 4719:系統審計策略修改 |
| 帳戶和組枚舉 | 4798:本地用戶組成員已被枚舉 4799:啟用安全的本地組成員已被枚舉 4720:創建用戶 4726:刪除帳戶 4728:將成員添加到啟用安全的全局組中 4729:將成員從安全的全局組中移除 |
| AdminSDHolder | 4780:ACL 已設置在屬於管理員組的帳戶上 |
| Kekeo | 4624:帳戶登錄 4672:管理員登錄 4768:Kerberos TGS 請求 |
| Silver Ticket | 4624:帳戶登錄 4634:帳戶登出 4672:管理員登錄 |
| Golden Ticket | 4624:帳戶登錄 4672:管理員登錄 |
| PowerShell | 4103:腳本塊日誌記錄 400:引擎生命周期 403:引擎生命周期 4103:模塊日誌記錄 600:提供程序生命周期 |
| DCShadow | 4742:計算機帳戶已更改 5137:已創建目錄服務對象 5141:已刪除目錄服務對象 4929:活動目錄複製源命名上下文已刪除 |
| Skeleton Keys | 4673:調用了特權服務 4611:已向本地安全性身份驗證註冊了一個受信任的登錄進程 4688:已創建新進程 4689:進程已退出 |
| PYKEK MS14-068 | 4672:管理員登錄 4624:帳戶登錄 4768:Kerberos TGS 請求 |
| Kerberoasting | 4769:已請求 Kerberos 票據 |
| S4U2Proxy | 4769:已請求 Kerberos 票據 |
| DCSync | 4662:已對對象執行操作 |
| 密碼噴灑 | 4625:帳戶登錄失敗 4771:Kerberos 預身份驗證失敗 4648:嘗試使用明確的憑據登錄 |
| 橫向移動 | 4688:已創建新進程 4689:已退出進程 4624:成功登錄帳戶 4625:帳戶登錄失敗 |
| NTLM | 4776:NTLM 身份驗證 |
| DNSAdmin | 770:DNS 伺服器插件 DLL 已加載 541:已將設置 serverlevelplugindll 在範圍上設置為 150:DNS 伺服器無法加載或初始化插件 DLL |