当前位置:  >> 首页/产品服务

Windows操作系统常见入侵排查和应急处置

  作者:昆明市网络安全协会 王炜昕 张曦文 查红泽 王郑斯尧、 金融机构 高明旭   日期:2024-07-10 09:53

      网络安全事件应急处置,是指在出现网络安全事件时,我们能够及时采取适当的措施和方法对事件进行有序应对和妥善处理,以最大限度地降低突发网络安全事件带来的损失,并能够根据应急过程改进安全事件应对策略和计划。 应急处置是一项复杂的专业工作,他涉及众多相关网络安全法律法规、技术标准、专业知识,同时还要综合运用人力和物力进行统一的指挥,来确保处置行动的快速、及时、有序。本文将以常见Windows安全事件为例,逐一列出常用排查分析手段,期望能帮助各单位有效遏制潜在威胁,强化单位的协同作战能力与快速响应机制。以下内容仅供学习交流,有不足之处,请与作者联系,欢迎交流指正。

一、Windows常见安全事件

当操作系统遭受入侵或破坏,可能会表现出多种异常,例如:1、浏览器主页被篡改浏览器默认首页或是点击网页连接被引导到一个指定的浏览网页2、浏览器无法上网网络物理连接正常的情况下,却出现不能访问3、恶意广告和软件增多。桌面无故出现广告弹窗或自动安装较多桌面软件。4、操作系统运行异常。包括系统自动重启、无故死机、不执行命令、干扰内部命令的执行、打不开文件、强制启动软件、系统蓝屏、程序崩溃等。5、文件异常。主要包括文件重命名、删除、替换内容、颠倒或复制内容、丢失部分程序代码、写入时间空白、分割或假冒文件、丢失文件簇和丢失数据文件、文件被加密勒索等。

二、Windows常见安全事件应急处置流程

当发现本单位电脑操作系统被入侵或破坏后,我们应及时开展以下动作:

(一)隔离受影响的系统

第一时间切断受影响的电脑或网络系统与外界的联系,防止黑

客进一步攻击和数据泄露。可以通过关闭无线网卡、断开网络连接、拔掉网线等方式实现。如果可能,将受影响的物理设备从网络中隔离出来,以防止攻击扩散到其他系统。

(二)进行入侵排查和处置,收集证据

收集攻击的证据,包括攻击的时间、方式、来源、受影响的系

统和数据等信息。这些信息对于后续的调查和追踪至关重要。确保所有相关的系统日志、安全日志和可能包含攻击痕迹的文件都被妥善保留。

(三)通知汇报

及时通知安全领导小组、相关业务部门、法务部门、公关部门等,共同应对和黑客攻击带来的风险和影响。

(四)进行风险评估

对攻击造成的风险进行评估,包括可能的数据泄露、业务中断、声誉损失等。根据评估结果,确定恢复工作的优先级,优先处理对业务影响最大的系统和数据。

(五)制定并执行恢复计划

从可信的备份介质中恢复用户数据、系统和应用服务。确保在恢复过程中遵循最小权限原则,只恢复必要的系统和数据。在恢复过程中,加强安全防护措施,包括更新补丁、加强访问控制、加密重要数据等。恢复后,验证系统是否正常运行,并观察是否有其他扫描、探测等。本文针对入侵排查和应急处置进行详述。

三、Windows常见安全事件分析手段

(一)网络连接排查

1. 排查异常连接

1.1使用操作系统的网络管理工具(如Windows的任务管理器中的“网络”选项卡)查看当前的网络连接状态。特别注意那些未知或不熟悉的网络连接,尤其是那些显示为“监听”或“已建立”状态的连接。

1.2使用netstat -ano命令查看当前的网络连接状态,特别是关注处于ESTABLISHED状态的连接。在某些情况下,系统可能会出现大量的ESTABLISHED状态连接,这可能是由于长连接未正确关闭、连接池管理不当或遭受攻击等原因造成的。

1.3使用Wireshark分析流量,主要分析下当前主机访问了哪些域名、URL、服务,或者有哪些外网IP在访问本地主机的哪些端口、服务和目录,又使用了何种协议等等。

1.4使用如Nmap、Masscan等端口扫描工具来检测目标服务端口存在的安全隐患,特别关注常见的服务端口(如22、3389等)是否有异常连接。

排查浏览器是否连接到了未知的端口,特别是那些不在常用范围内的端口(如80、443之外的端口)。

1.5对照端口号列表(如IANA官方端口号分配表)判断端口号是否被用于非标准或非预期的用途。IANA(Internet Assigned Numbers Authority,互联网号码分配机构)负责分配和管理互联网上的各种资源,包括端口号。

IANA将端口号分为几类,包括已知的(也称为系统端口)、已注册的以及动态和(或)专用端口。以下是关于IANA官方端口号分配表的详细说明:

1.5.1系统端口(0-1023):

这些端口由IANA控制,为已知服务所保留。这些服务通常是系统级的,如FTP(21号端口)、SSH(22号端口)、HTTP(80号端口)、HTTPS(443号端口)等。端口通常用于系统进程或服务,普通用户的应用程序应避免使用这些端口,以免与系统服务冲突。

1.5.2已注册端口(1024-49151):

指由IANA列出,并已注册给特定的服务或应用程序的端口。普通用户执行的普通用户进程或程序可以使用这些端口。在选择端口时,建议在这个范围内选用已注册的端口,以避免可能与其他应用程序或系统服务正在使用的端口冲突。

1.5.3动态和(或)专用端口(49152-65535):

这些端口是动态分配的,或者留作专用用途。普通用户应用程序可以在这个范围内选择端口。

2.分析异常连接

2.1分析那些不常见或未知的端口,是否存在异常的流量模式。利用威胁情报平台或与其他组织进行信息共享,查询目标端口是否已被列为恶意端口。

2.2使用IP地址查询工具(如IP地址查询网站)了解IP地址的归属地和用途。

2.3使用DNS黑名单、IP黑名单、URL黑名单等黑名单服务,排查待判断的IP地址是否出现在已知的恶意IP列表中。

2.4查看IP地址的访问模式、频率和行为,识别是否存在大量的尝试登录、频繁进行网络扫描、和请求、异常的用户代理等恶意行为等。

2.5参与公共威胁情报平台或与其他组织进行信息共享,获取最新的恶意IP地址信息和相关威胁情报。

2.6分析端口流量中的数据包内容,查找可能的恶意负载或命令。使用字符串搜索、正则表达式匹配等方法来识别恶意代码或指令等。

2.7特别注意那些可能被恶意软件利用的协议,如DNS、HTTP、SMTP等。分析协议的具体行为,包括数据包的发送和接收顺序、请求和响应的内容等。查找与正常协议行为不符的异常行为,如未经授权的访问尝试。

3.应急处置

3.1断开网络连接、关闭系统或将其置于隔离网络中来实现。

3.2更新防火墙、IDS和IPS规则。

3.3高危端口关闭。

(二)系统进程排查

1.排查可疑进程

1.1进程通常结合网络查看异常,使用netstat -ano命令找到了一个可疑的连接或端口,使用任务管理器(在“详细信息”标签页中,查看“PID”列)或更强大的工具(如Process Explorer)来查找与PID相对应的进程名称。

1.2可以使用procexp获取进程比较详细的信息,比如真实路径、加载的 DLL 文件等、CPU 和内存使用情况等,查看可疑的进程及其子进程,如没有签名验证信息的进程、没有描述信息或描述异常的进程、CPU或内存资源占用长时间过高的进程等。

1.3通过Pslist对比各进程的启动时间,找出那些启动时间明显偏离正常范围的进程。特别关注那些在用户未进行任何操作的情况下突然启动的进程,或者启动时间远远晚于系统启动时间但行为异常(如高CPU使用率、网络活动频繁等)的用户进程,以此来进一步缩小恶意进程排查范围。

1.4通过PCHunter,点击进程模块,查看所选中的进程,注意没有签名项的进程,以及可疑进程、隐藏服务、被挂钩函数等。PCHunter也可以查看可疑进程的dll模块, 看是否有可疑的恶意模块,模块查看也支持签名校验。

1.5异常进程可能会有不寻常的执行行为,如频繁创建和终止子进程、尝试访问受限制的系统资源或文件、在非预期的时间启动或运行等。使用进程监控工具观察进程行为,注意任何异常或可疑的活动。

1.6如果一个进程试图获取管理员权限或执行只有管理员才能执行的操作,这可能表明该进程有异常行为。检查进程的权限设置,确保其符合正常的安全策略。

2.分析异常与伪装进程

2.1进程名字异常指的是某些进程的名字不符合常规命名规则,可能表现为随机生成、包含非标准字符或后缀、以及模仿系统进程名但存在细微差别等。这些异常名字的进程往往高度可疑,可能是恶意软件的一部分。

例如:某感染环境,打开任务管理器,发现有大量名字随机的进程,如hrlB3.tmp、hrlCC.tmp、hrlCD.tmp、hrlC3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。不仅文件后缀不是典型的exe,名字也是随机产生的,这种肯定是异常进程。

2.2以下是一些常见的文件进程名以及伪装名:

伪装名与实际名非常相似,但实际上是病毒或恶意软

2.3异常进程的名字可能表现为随机生成的字符串,没有明确的

含义或规律。进程文件后缀可能不是典型的.exe,而是.tmp、.scr等其他后缀,或者没有后缀。参考系统的正常进程列表,对比当前运行的进程,找出可能伪装的恶意进程。使用进程监控工具观察伪装进程的行为模式。伪装进程可能会尝试执行与合法进程相似但具有恶意目的的操作。注意任何不寻常或可疑的行为模式。检查伪装进程的网络活动,特别是与外部地址的通信。伪装进程可能会尝试与恶意服务器通信以传输数据或接收指令。

2.4验证进程路径是否位于系统目录或受信任的软件安装目录下。例如,在Windows中,可能是C:\Windows\System32等。

如果进程路径位于不常见的目录或包含大量随机字符,则可能是异常的。将进程的路径与已知的安全软件库、病毒库或社区提供的黑名单进行比对,以确认该进程是否为恶意软件。

2.5对进程的数字签名进行验证,确保其来自可信的发布者。伪造或缺失的数字签名可能是伪装进程的标志。

2.6系统日志中可能会记录进程的异常行为,如错误消息、警告或安全事件的记录。定期检查系统日,查找与异常进程相关的条目。

2.7关注如sethc.exe(粘滞键程序)等,在Windows系统中,如果sethc.exe被替换为cmd.exe,入侵者可以按下五次Shift键来启动命令提示符。

3.应急处置

3.1使用在线资源(如VirusTotal)或威胁平台检测进程的可执行文件是否已知为恶意。一旦确认某个进程为恶意进程,应立即终止其运行,并清除相关文件和注册表项。

3.2使用进程监控工具,如Process Monitor实时监控进程。

(一)系统启动项排查

1.排查可疑启动项

1.1使用工具如Autoruns排查“登录”、“计划任务”、“服务”等选项卡下的启动项。特别注意那些没有数字签名或签名异常的启动项。

1.2使用PCHunter的“启动信息”模块,查看并分析启动项的数字签名、文件信息等。重点关注未签名或签名非微软启动项。

1.3访问系统启动文件夹,查看是否有非业务程序或未知程序的快捷方式。

1.4检查注册表中的开机启动项和服务项,看是否有未知的、可疑的启动程序或服务:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

1.5使用事件查看器,查看系统日志、安全日志等。查找与启动项相关的警告或错误事件,特别是那些与恶意软件活动相关的日志条目。

2.分析可疑启动项

2.1启动项中的程序名称和路径是判断其合法性的重要依据。如果程序名称模糊、路径指向非系统或常用软件目录(如C:\Program Files),则可能是恶意的。

2.2将启动项中的程序文件路径复制到杀毒软件中进行扫描,以检测是否存在恶意代码或病毒。

3.应急处置

3.1右键单击可疑的启动项,选择“禁用”选项。这将阻止该启动项在系统启动时自动运行,但不会删除其文件。

3.2如果确定某个启动项是恶意的,并且其文件位于系统或用户目录下,可以尝试直接删除该文件。在删除之前最好先备份重要数据,以防万一误删重要文件。

3.3使用杀毒软件。

(二)系统账号排查

1.排查账号

1.1系统账号

使用本地用户和组管理工具查看系统中的所有用户账号。特别注意那些名称不明确、拼写错误、与业务无关或突然出现的账号。

1.2默认账号

审查每个账号的权限设置,特别是那些具有高权限(如管理员权限)的账号。

查看是否有账号被添加到了敏感的安全组(如Administrators组)。

排查默认账号(如Administrator、Guest等)是否被启用,以及是否设置了强密码。

1.3隐藏账号

注册表排查:打开注册表编辑器(regedit),导航到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names路径,查看是否有未在net user命令中显示的账号。

使用专业工具:使用如D盾_web查杀工具等安全软件,这些工具集成了对克隆账号、隐藏账号检测的功能。

2.应急处置

2.1如果发现可疑账号,应立即禁用或删除该账号,并排查该账号是否有关联的恶意进程或服务。

2.2禁用默认账号,或启用强密码策略。启用账户锁定策略,限制登录失败次数。

2.3启用系统审计,记录账号列表、权限设置和登录日志等。

(三)系统文件排查

1.排查可疑文件

1.1用户目录排查

运行%UserProfile%\Recent(用户最近文档目录),分析用

户最近打开的可疑文件。

1.2排查关键系统文件

重点关注C:\Windows\System32\等系统关键目录,排查是否有未知或异常的文件。

排查应用程序日志,查找与文件操作相关的异常事件,如文件删除、修改等。特别注意系统文件的修改时间,如果某个系统文件的修改时间明显晚于其正常发布时间,可能被恶意替换。

1.3排查临时目录文件

使用文件资源管理器或命令行工具(如cmd或PowerShell)直接访问临时目录。

1.4排查浏览器文件

排查浏览器的历史记录、下载记录和cookie,查找可疑的访

问记录或下载活动。在浏览器的设置或历史记录菜单中找到历史记录页面。注意异常访问的时间点,如深夜或工作时间外的访问。查找是否有未授权的网站访问记录,特别是那些从未访问过的网站、赌博网站或含有恶意代码的网站。如果某些网站的访问频率突然增加,表明可能存在异常行为。

1.5排查System32目录与hosts文件

System32也是常见的病毒释放目录,因此也要排查下该目录。hosts文件是系统配置文件,用于本地DNS查询的域名设置,可以强制将某个域名对应到某个IP上。

1.6排查Prefetch文件夹

关注新生成或频繁访问的文件,使用专门的工具(如Prefetch Parser)来解析这些文件,查看它们与哪些应用程序相关联。

1.7排查特定文件

1. 排查随机生成的文件名、文件大小异常、没有扩展名或扩展名不常见。特别关注.exe、.dll、.sys、.scr和压缩文件(.zip、.rar等)。检查HKEY_CLASSES_ROOT下的文件扩展名键,查看它们是否指向了未知的或可疑的程序。特别是那些常用文件类型的关联,如.exe、.txt等。

在文件资源管理器中,对服务器内各个文件夹的文件按时间进行排序,特别关注最近修改的文件,如修改时间在创建时间之前的文件,可能是被恶意篡改的。

排查文件的隐藏属性和系统属性,有时入侵者会隐藏恶意文件以逃避检测。取消隐藏受保护的操作系统文件选项,并显示隐藏的文件、文件夹和驱动器。通过在控制面板的文件资源管理器选项中设置,或使用命令行attrib -h -s -r 文件名修改文件属性。

2.分析可疑文件

2.1使用如D盾、火绒剑、Process Explorer等专业工具判断文件是否为恶意文件。

2.2使用杀毒软件。

3.应急处置

3.1确认文件为恶意后,将其删除。注意在删除前备份重要数据以防误删。

3.2清空临时目录中的文件,以减少潜在的安全风险。但请注意,在清空前要确保没有正在使用的文件。

3.3禁止非管理员用户访问临时目录。

3.4启用系统的审计功能,记录文件访问和修改行为。

3.5使用系统监视工具:如Process Monitor(Sysinternals

套件中的一款工具),监控文件系统的活动。

(四)系统注册表排查

使用RegRipper等注册表分析工具,帮助自动化地解析和搜

索注册表中的恶意软件痕迹。利用PCHunter、火绒剑等系统分析工具帮助识别和清除恶意软件及其相关的键值。

在本文的最后,我们深刻认识到,保护网络空间安全是一场没有硝烟的战争,需要持续的努力与不懈的坚持。