0x01 系统账号安全

可疑账号

  1. 运行 > lusrmgr.msc

发现新增了一个可疑账号
image-20210716153832230.png

查找隐藏账号

  1. 运行 > compmgmt.msc

如果用户名以$结尾则为隐藏用户,如下
image-20210716154232928.png

0x02 恶意进程

网络连接对应进程

  1. cmd > netstat -anb

image-20210716160105437.png

异常端口、进程

  1. 使用netstat -ano查看当前连接,定位可疑的ESTABLISHED
  2. 根据netstat定位出PID再使用tasklist定位程序
  4. cmd > tasklist | findstr "PID"

image-20210716160105437.png
image-20210716160132285.png
查看进程

  1. 运行中输入msinfo32,找到软件环境 -> 正在运行任务 -> 根据上面的信息查正在运行的进程 
  3. 查看可疑的进程及其子进程。可以通过观察以下内容:
  4. > 没有签名验证信息的进程
  5. > 没有描述信息的进程
  6. > 进程的属主
  7. > 进程的路径是否合法
  8. > CPU或内存资源占用长时间过高的进程

image-20210716160530970.png

计划任务

  1. 控制面板 -> 管理工具 -> 任务计划程序
  2. 运行 > taskschd.msc
  3. cmd > schtasks
  5. 存放计划任务的文件
  6. C:\Windows\System32\Tasks\
  7. C:\Windows\SysWOW64\Tasks\
  8. C:\Windows\tasks\
  9. *.job(指文件)

image-20210716161527984.png

服务进程

  1. 服务 > services.msc

image.png

使用D盾查杀

可疑账号
image-20210716170529589.png
可疑进程
image-20210716170623907.png
可疑IP、端口
image-20210716170550887.png

0x03 日志分析

Windows安全日志

  1. 运行 > eventvwr.msc
  3. 控制面板 -> 系统和安全 -> 查看时间日志 -> 查看本地日志 -> Windows日志 -> 安全
  5. 重要的事件 ID(安全日志,Security.evtx
  6. 4624:账户成功登录
  7. 4648:使用明文凭证尝试登录
  8. 4776:远程登陆日志
  9. 4778:重新连接到一台 Windows 主机的会话
  10. 4779:断开到一台 Windows 主机的会话

发现多个异常时间登录事件
image-20210716153107165.png

导出日志使用工具进行分析

Windows安全日志导出
image-20210716155236414.png

使用Log Parser工具进行分析
Download Log Parser 2.2 from Official Microsoft Download Center

  1. LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings, 8, '|') as LogonType,EXTRACT_TOKEN(Strings, 17, '|') AS ProcessName,EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM 日志位置 where EventID=4624"

image-20210716164919704.png

0x04 文件分析

文件时间属性分析

image-20210716164919704.png

可疑目录及文件分析

  1. cmd > type %systemroot%\System32\drivers\etc\hosts    # 查是否设置了host域名劫持
  2. 运行 > %UserProfile%\Recent                             # 这个目录保存着近期打开过的文件

临时文件

  1. # 看是否有可疑的程序,临时目录所有用户都能写入
  2. C:\Windows\Temp                                        
  3. 运行 > %temp%

开机自启

  1. 开机自启目录
  2. C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 
  4. 注册表自启
  5. 计算机\HKEY_LDCAL_MACHLNE\SOFTHARE\Microsoft\Windows\CurrentVersion\Run
  6. 计算机\HKEY_CURRENT_USER\SOFTHARE\Microsoft\Windows\CurrentVersion\Run

0x05 WEB服务分析

WebShell分析

使用D盾进行查杀
image-20210716170324020.png

使用河马WebShell查杀工具
image-20210716170304214.png
image-20210716165837542.png
image-20210716165837542.png

image-20210716170001663.png

WEB中间件日志

  1. C:\phpStudy\Apache\logs\error.log
  3. 根据上面查杀工具得到的攻击者写入了shell文件,我们使用这个关键字去查日志得出攻击者的IP192.168.0.128

image-20210716171314864.png

0x06 攻击者溯源

攻击者IP

整理上面的数据我们得到两个IP,一个是局域网内的IP,一个是外网的IP

IP 备注
192.168.0.128 WEB攻击IP
8.x.x.x 木马后门IP

微步情报

https://x.threatbook.cn/
image-20210716174906143.png
发现历史解析记录

  1. 96xxx.xx

image-20210716174906143-1626441221586.png
查询域名得到攻击者姓名

  1. W xxxxxxx

image-20210716175327385.png

IPC备案

因为这个IP是国内阿里云的,很大概率已经备过案了,所以去查询该域名的历史备案信息,最终得到攻击者中文名
备案历史记录 - 站长工具 (chinaz.com)

  1. xxx

image-20210716181731430.png

网安备案

查询网站安备号得到攻击者物理地址
http://www.chaicp.com/wangan.html

  1. xxxxxx

image-20210716182317103.png

公开情报

使用Google搜一波,发现了一个网安相关的网站(结合上面的信息,这个人应该是玩网安的,所以在使用搜索引擎的时候注意网安相关的信息就好了)
image-20210716184108573.png
虽然404了但是已经或得到了攻击者的学校官网
image-20210716184449164.png
这个学校的地址刚好的攻击者网安备案地址一致,那么就能肯定这个就是攻击者的学校。
下一步就是查找这个学校相关的QQ群打入内部或者看他们学校的学生系统有没有什么漏洞了。

信息整理

  1. IP:8.x.x.x
  2. 姓名:xxxx
  3. 学校:xxxxxxxxx学院
  4. 地址:xxxxx