主机入侵痕迹排查服务中重点、关键的关键排查项

, 调查思路

在攻防演练中，一线工程师在实施主机入侵追踪调查服务时，可能会面临时间紧迫、任务紧迫、需要排查的主机数量众多等问题。为了保证实施者能够在有限的时间内高效、有保障地完成对主机入侵痕迹的检查，我总结了一些自己的经验。项目，仅供参考。

1.1 资产初步筛选

一般情况下，客户的资产很多，想要查看所有资产主机的入侵痕迹，基本上是不现实的。在你把它们都检查完之后，攻击者已经做了他们应该做的，他们想要的目的也早了。到达。那么我们应该如何处理大量的客户资产呢？

首先，在调查之前，作为项目经理，你应该与客户进行良好的沟通，获得授权，并确认调查范围和调查计划和方法。如果客户不指示或不同意，那么以下操作属于非法操作，有的甚至是非法的。

在征得客户同意后，我们会根据资产的风险等级、资产的重要性、攻击者的攻击思路、方法和目标选择倾向，初步筛选出资产进行调查。建议从以下资产范围中进行选择：

①被俘资产：对于此前在红蓝对抗、攻防演练或真实黑客攻击中被俘的主机，被俘资产应作为排查重点。

②互联网上暴露的漏洞资产：从互联网上暴露的资产中筛选出频繁使用高危漏洞的组件/应用程序（如JBoss、Shiro等组件）。还有一点需要注意的是，客户是否有有效的资产管理，是否能够清楚的识别出哪些资产使用了哪些组件，如果没有，只能通过之前的渗透测试结果来过滤掉易受攻击的资产。

③关键资产：可导致大量主机丢失的域控制器等中心化资产。

1.2 确定要检查的资产

建议在一周内检查主机数量少于20台的主机，排查主机入侵痕迹。如果初步筛选的资产数量远大于20台主机，则需要对资产进行二次筛选。如果有资产丢失，可以将要检查的主机范围设置为丢失的资产；如果没有资产丢失，可以将要检查的主机范围指定为易受攻击的资产，可以根据客户的实际情况进行调整。

需要注意的是，如果被调查的资产包括已经被入侵的资产，需要向客户索取历史攻防演练/应急报告。检查时要结合历史报告内容和使用说明书进行检查，特别注意历史报告中的攻击者信息。入侵痕迹是否已被彻底清除。

1.3入侵追踪调查

在实际情况下，攻击者在攻击时会使用不同的攻击方法、攻击思路和行为。无论是考虑实施成本还是效率，很难通过非常详细和全面的检查项目来进行主机入侵追踪调查。，但我们可以从一些常见的行为特征和攻击中可能产生的关键项来检查。

对于主机入侵痕迹的排查，主要从网络连接、进程信息、后门账户、计划任务、登录日志、自启动项、文件等方面进行。例如，如果存在幸存的后门，则主机可能会发起与 C2 的网络连接，因此您可以从网络连接故障排除开始。如果出现网络连接异常，则一定是恶意进程在运行，可以通过网络连接定位到对应的进程。，然后根据流程定位恶意文件。如果攻击者试图维护主机的控制权限，他可以通过添加后门帐户、修改自启动项或添加计划任务来维护权限。相应地，我们可以找到相应的入侵痕迹。

二、检查什么2.主机

攻击者一般使用+s +h命令来隐藏恶意程序，因此需要在查看痕迹前打开“工具–文件夹选项–查看”。按照下图中的设置显示所有文件。

2.1.1网络连接

故障排除步骤：

在 CMD 中执行 -ano 查看当前的网络连接。

这种情况一般是正常的，只有80和443端口，一般是正常服务开放的端口。

分析方法：

如果网络连接是，当前主机可能已关闭：

1、主机有部分端口（常见如端口22、445、3389、6379等）或内网段有大量主机的所有端口发起网络连接尝试。这种情况一般是当前主机被攻击者使用。作为跳板，对内网进行端口扫描或密码暴力破解等攻击。

2、主机和外网IP已经建立连接（状态）或者正在尝试建立连接（状态）。您可以先查询IP位置。如果IP是国外IP或者属于各个云厂商，需要重点关注。此外，您可以通过威胁情报（等）查询该IP是否已被标记为恶意IP。

3、如果不能直接从网络连接上判断连接是否异常，可以根据网络连接找到对应的进程ID来判断进程是否异常。如果从进程中无法判断，可以进一步找到进程对应的文件，将对应的文件上传到()进行检测。比如上面截图中内网扫描的进程ID是2144，在任务管理器中找到对应的文件是.exe。

上传到检测的结果是一个恶意文件。

如果查看网络连接，任务管理器只能看到某个命令行工具（如cmd）进程与外部IP建立了会话，而看不到该进程对应的运行参数。在这种情况下，可以使用对操作参数的进一步观察。执行脚本的痕迹如下所示。

2.1.2 敏感目录

故障排除步骤：

检查攻击者喜欢上传的目录中的可疑文件。

分析方法：

1、每个盘符下的临时目录，如C:TEMP、C:\Temp等。

2、%%，在文件夹窗口地址栏输入%%，回车即可打开当前用户的目录。

例如用户对应的%%目录为C:Users\。您可以根据修改日期对在相对较近的时间内发生更改的文件进行排序和过滤。

3、浏览器下载目录

4、用户最近的文件%%，例如对应目录为C:Users\

5、回收站，如C盘下的回收站C:$.Bin

对于脚本文件，可以直接查看内容来判断是否是恶意的。如果遇到exe可执行文件，可以将对应的文件上传到()进行检测。

2.1.3 后门文件

故障排除步骤：

查看粘滞键exe；

查看注册表中镜像的键值。

分析方法：

1、查看粘滞键exe

检查C:\\下sethc.exe文件的创建和修改时间是否正常怎么看电脑的系统日志，如下图。一般来说，系统文件的创建时间和修改时间应该是一样的，sethc的创建时间和修改时间是不同的。已替换为后门文件。由于攻击者可以修改文件时间，上述简单粗暴的判断方法可能不可靠。可以将 sethc 复制并上传到 VT 以检测损坏情况。

2、查看注册表中镜像的键值

检查注册表中“\\NT\Image File”下的所有exe项中是否有key，如果有key，将其key值对应的程序上传到VT进行检测。如下图所示，攻击者利用图像劫持的方式在sethc.exe项中新建一个key值指向.exe。攻击效果是当连续按shift键5次时，sethc.exe不会被执行，而是执行被劫持的.exe文件。因此，如果在排查过程中发现了某个键值，则可以认为指定的文件是后门文件，上传VT后会确认其危害性。

这里没有key，有下图：

2.1.4个后门账号

故障排除步骤：

打开以查看注册表中的帐户；

检查组内是否存在授权异常的账号。

分析方法：

检查注册表中HKLMSAMSAM\UsersNames 中是否有多余的账号（可以请客户运维人员判断该账号存在的必要性）。一般情况下，只有用户才能查看上述路径的SAM权限，需要用户授权才能打开完整路径。右键SAM，为用户添加完全控制权限（下图权限操作方法适用于win7及以上操作系统）：

、XP等低版本系统，请使用以下流程为群组添加权限。

带有 $ 符号的帐户特指隐藏帐户（例如 aaaa$）。在正常业务中无需创建隐藏帐户。可以判断所有带有$符号的账户都是后门账户。然后在客户运维的协助下检查其他异常账户。

如下图所示，除了可以直接判断的aaaa$之外，root账号也是一个高度关注的对象。（注：aaaa$中的key值0x3ea表示账号对应Users表中对应值的表，删除账号时需要一并删除）

注意：异常账号被删除后，需要移除之前授权的SAM权限。

检查组内是否存在授权异常的账号。比如一般情况下guest用户是禁用的，普通应用账号（,,,mysql）不需要在组内。如下图，执行命令net user guest，查看guest账号信息。如果开启了guest账号，并且管理员组的成员中有guest用户，需要询问客户运维人员是否开启guest账号，是否需要加入管理组。必须的，否则可以认为攻击者在启用后将系统自己的用户guest作为后门账户，并将其权限提升到管理员组。

执行net查看管理员组是否有异常账户：

2.1.5个自启动项

故障排除步骤：

使用工具查看自启动项

查看组策略中的脚本

查看注册表中的脚本、程序等

查看各个账号自启动目录下的脚本、程序等

查看服务中的可执行文件路径

分析方法：

1、使用：

使用该工具可以更全面地查看系统中的自启动项。当客户授权将故障排除工具上传到可能被入侵的主机时，该工具可用于进行详细的自启动项故障排除。在调查中，我们主要关注粉红色的物品。建议及时与客户运维人员核对，排除业务需要的正常自启动项目。如下图，在栏目中，查看粉红色的条目，发现普通sethc被劫持为cmd，键值（默认为空）与名称.exe关联（效果是当 cmd 启动时，相关程序将静默运行）。劫持sethc可以确认为入侵痕迹，

另外，这个工具非常好用，特别小怎么看电脑的系统日志，可以直接上传文件到VT进行检测。

2、查看组策略：

如果不能使用工具只能手动检查，可以检查常见自启动项中是否有异常文件。打开.msc–计算机配置/用户配置–设置–脚本，可以设置服务器启动/关闭或用户登录/注销时执行的脚本。需要检查下图中1、2处的脚本是否有添加脚本。

我这里没有脚本。

2.1.6 日志

工程师基本都是看日志的，日志也只是那些，比较简单，就不赘述了。我主要写几个比较重要的点，这样我们就可以基本检查是否有异常登录了。

故障排除步骤：

在登录日志中查看暴力破解的痕迹；

在账户管理日志中查看账户新增和修改痕迹；

在远程桌面登录日志中查看登录跟踪。

文章来源:http://www.toutiao.com/a6902974639727854093/

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。