前言
“
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
本文来自团队成员Challenger师傅。
”
Part 1
“
Windows应急不太可能只手敲命令吧,快速应急需要运用各种工具才能快速发现问题,这里是应急工具包:
链接:
https://pan.baidu.com/s/1Y2oyrerR7S5x0h1KNDNWLw
提取码:
hexg
用得比较多的是火绒剑,卡巴斯基,火绒,D盾,(PCHunter一般发现外联地址或者进程可疑才上,其它工具看服务器性能,性能差查杀就上一个工具好了)
大佬总结的应急笔记(非常全但很多时候会给多个ip上机,按他的笔记可能效率太低):
https://github.com/Bypass007/Emergency-Response-Notes
微步沙箱:
https://s.threatbook.cn
自己的模板
总结:
1,网络有外联ip但对应进程正常。
2,木马查杀异常,5个有问题文件但非近期创建且排查出可能是误报。
3,host文件被修改为挖矿地址,非红队
对业务人员处置建议:
1.对非业务风险文件删除,2.修改host文件,删除恶意地址,
3.账号登录无异常
(查看事件查看器→查看管理员登录时间和4625登录失败 4624登录成功 4720 — 账户创建筛选日志–》事件id)4625,4624,4720查看管理员登录正常
Aspx系统账号未知,但早已禁用
查看服务器无隐藏账号、克隆账号。
2.网络连接异常
(主要看是否外联ip,是否和内网可疑沦陷或攻击ip有联系,有就查相关进程,D盾会自动更新也可能有外联是D盾的ip,这微步查就知道)
存在外联ip,但相关进程正常
14x.1xx.x79.xx
对应进程,java.exe,无异常
上PCHunter
发现进程模块是火绒公司但还是查一下
对可疑模块排查,查杀,创建时间非近期,正常非恶意
创建时间非近期
3.进程无异常
(主要看签名,是否外联ip,进程文件创建时间,不放心可以查杀或者沙箱跑一下,这个火绒剑结合PCHunter看)
4.计划任务,启动项无异常
计划任务为微软的无异常
启动项非近期创建无异常,而且为正常软件
5.Host文件异常
被修改过,为恶意挖矿木马地址
6.木马查杀异常
dc:后跟日期,检查创建时间为1999年01月01日,后缀为.txt的文件。
dm:后跟日期,检查修改时间为1999年01月02日,名称包含te和.的文件。
da:后跟时间,检查访问时间为1999年01月03日的文件
Webshell扫描异常,对可疑jsp文件排查,发现非近期创建,打开查看是注释里的eval误报,看是web系统自身文件沙箱检查正常
Vbs非近期创建,沙箱检也检测正常(这个后来业务也说是他们业务文件)
