“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
先进入组织,然后打开文件夹选项,把隐藏文件显示勾选上。
检查启动项:是否有可疑的开机启动项-autoruns(无文件驻留nopass)
6种方法:
1、文件目录:C:\Users\x\AppData\Roaming\Microsoft\Windows\Start 菜单\程序\启动
2、直接搜索启动
3、命令行查看win+r 输入:msconfig、wmic startup list full
4、检查注册表:
当前系统启动项:程序安装时的设定
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run
一般不是C盘的启动项其他都是开机多余的,右键就可以看到删除字样
当前电脑开机启动项:用户自定义的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
系统盘C盘的开机启动项建议不要更改,一般是输入法或者网卡的信息
5、检查正在运行的服务
任务管理器 优先检查正在运行的服务
6、组策略:计算机配置-脚本(启动 关闭)
gpedit.msc
目录:C:\Windows\System32\GroupPolicy\ Machine\Scripts。
异常计划任务排查:
1、命令查看
(1)at
(2)schtasks.exe:
参数解释: /Create 创建新计划任务。/Delete 删除计划任务。/Query 显示所有计划任务。/Change 更改计划任务属性。/Run 按需运行计划任务。/End 中止当前正在运行的计划任务。/ShowSid 显示与计划的任务名称相应的安全标识符。/? 显示此帮助消息。/TN 计划任务名称/SC 执行周期MINUTE: 1 到 1439 分钟。HOURLY: 1 - 23 小时。DAILY: 1 到 365 天。WEEKLY: 1 到 52 周。/ST 指定运行任务的开始时间/TR 指定运行程序的路径
创建计划任务 Schtasks /Create /TN 计划任务的名字 /SC HOURLY /ST 时间 /TR 指定程序
删除计划任务 Schtasks /Delete /TN 计划任务名字
schtasks /query 默认也是展示所有的计划任务
(3)taskschd.msc
(4)目录查看:
C:\Windows\System32\Tasks 该目录一个文件对应一个任务
2、图形化查看
查看路径: 控制面板\所有控制面板项\管理工具\任务计划程序。
检查历史痕迹
1、查看最近打开文件
(1)C:\Users\用户名\Recen
(2)win+r, 输入 recent
(3)win+r %userprofile%/AppData/Roaming/Microsoft/Windows/Recent/
(4)文件历史记录:控制面板\系统和安全\文件历史记录 (要事先启用才记录)
2、检查临时异常文件
(1)C:\Users\用户名\AppData\Local\Temp
(2)win+r,输入:%temp%:
3、浏览器历史记录:攻击者拿下服务器后,会访问内网(更多是用来下载恶意文件) 通过时间来进行筛选。
(1)查看分析可疑建立连接的IP 和 端口 可以使用工具Tcpview
netstat -ano | find “ESTABLISHED” 已经建立连接
netstat -abno|findstr "LISTENING" 开启监听的连接
查看SYN包 C2服务器关闭,有规律的对外发送SYN包
netstat -ano
(2)定位可以连接的程序名字
根据ID定位:
tasklist /svc | find “PID号”
tasklist | findstr “PID”
定位可疑程序路径 :
命令 wmic process | findstr "xxx.exe"
图形任务管理器---进程—进程右键—打开文件所在位置找到想要定位的程序就可以
(3)杀死可疑程序
taskkill /PID号
PID号 /T
killall
taskkill /im 进程名 /f 解释:im 立即 f 强制
(4)wmic 查询进程:
查询所有进程 wmic process list brief
查询进程名和ID wmic process get name,processid,executablepath
根据ID 查进程名和路径 wmic process where processed=”进程ID” get name, executablepath
也要注意防患进行dll劫持 有一些合规的进程一直会告警 就可以排查是否存在dll劫持。
命令操作:Win+R,eventvwr.msc
导航到:应用程序和服务日志 > Microsoft > Windows > TerminalServices- RemoteConnectionManager,右键单击“Operational”并选择“筛选当前日志”。 远程桌面服务的事件ID是1149,然后输入1149过滤日志。
2、检查注册表:是否有可疑新增用户
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
命令检查 lusrmgr.msc
3、图形化检查
可能会遇到的问题:
1、win11本地用户和组不见了怎么办
(1)、用鼠标右键点击任务栏中的开始图标,在弹出的列表中打开运行,然后在运行中输入mmc,点击确定按钮
(2)、进入页面之后,在页面中点开文件选项,在弹出的选项表中打开添加/删除管理单元
(3)、打开之后,在页面中找到并点击本地用户和组选项,再点添加按钮
2、打不开注册表中的目录(权限限制):
HEKY_LOCAL_MACHINE\SAM\SAM
然后右键点击"权限",允许Administrator读取:
再次访问即可:HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User
(1)安全日志类型:
Logon/Special Logon 登录/特殊登录
User Account Management 用户帐户管理
Security Group Management 安全组管理
Security State Change 安全状态改变
Authentication Policy Change 身份验证策略更改
Audit Policy Change 审核策略更改
System Integrity 系统完整性
Other Policy Change Events 其他政策变更事件
Other System Events 其他系统事件
常用事件pid:
4624 – 帐户成功登录:记录帐户成功登录事件,有助于识别正常或潜在可疑的登录活动。
4625 – 帐户登录失败:记录帐户登录失败事件,通常用于识别暴力破解或未经授权的登录尝试。
4634 – 帐户注销:当用户注销时记录此事件,帮助跟踪用户会话的持续时间和活动模式。
4648 – 使用显式凭据登录:当进程使用显式凭据访问资源时生成,常用于检测远程登录或可疑凭据使用。
4663 – 对象访问尝试:记录访问或修改文件、文件夹或注册表的操作,常用于监控敏感资源的访问情况。
4688 – 新进程创建:当启动新进程时生成,适合识别未经授权或可疑进程(如恶意软件)。
4698 – 创建计划任务:表明创建了新的计划任务,攻击者可能会利用它来实现持久化。
4720 – 创建新用户帐户:当新的用户帐户被创建时触发,可能用于识别未经授权的用户添加行为。
4732 – 将用户添加到安全组:当用户被添加到安全组时生成,可能表明权限提升。
4769 – Kerberos服务票证请求:常用于跟踪用户访问服务的情况,适合检测异常服务访问活动。
(2)注意登录成功和失败记录:4624、4625
类型2:自己登录 、类型3:网络登录,别人连自己
2、系统日志
日志路径:Windows 2000/2003/XP日志路径: C:/Windows/System32/Config/*.evt
WindowsVista/7/10/2008日志路径: C:/Windows/System32/winevt/Logs/*.evtx
该路径下存放所有系统日志evt文件, 无法进入系统时用PE引导拷贝出来, 在用其他系统的事件查看器打开查看。
这只是常规个人排查思路和方法,具体发生事件的时候可以借助安全设备快速定位查杀。
最后给大家安利一个C盘清理工具“Dism”,可以快速清理非必要文件,方便快捷。
链接:https://pan.baidu.com/s/1xsVl23Hu9I9EH5SpfCOs5A
提取码:akvv
