前沿拓展:
win10退出遠(yuǎn)程
1、第一在切換虛擬桌面的時候,都是點擊Windows10任務(wù)欄的“來自任務(wù)視圖”按鈕。
2、在彈出的窗口中選擇需要切
Xp/2003
540
3
**B遠(yuǎn)程登錄成功
2008/2012/2016/win7/win8/win10
529
3
**B遠(yuǎn)程登錄失敗
2008/2012/2016/win7/win8/win10
4624
3
**B遠(yuǎn)程登錄成功
2008/2012/2016/win7/win8/win10
4625
3
**B遠(yuǎn)程登錄失敗
六、啟動項排查
黑客為了保持**能夠開機(jī)啟動、登錄啟動或者定時啟動,通常會有相應(yīng)的啟動項,因此有必要找出異常啟動項,并刪除之。啟動項的排查,這里引入一個非常好用的工具,工具名字Autoruns(官網(wǎng)www.sysinternals.com)。
1、自啟動項
autoruns查看
注冊表查看
**啟動項
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
一次性啟動項,下次啟動會自動刪除
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
32位程序啟動項
HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
通過以下路徑放置程序也可以自啟動程序
%appdata%MicrosoftWindowsStart MenuProgramsStartup
2、任務(wù)計劃
autoruns查看
微軟自帶工具
taskschd.msc可啟動系統(tǒng)自帶任務(wù)計劃程序,可以查看任務(wù)計劃具體**作,顯示所有正在運(yùn)行的任務(wù),并且可以開啟任務(wù)歷史記錄。
注冊表查看
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTree
有些任務(wù)計劃做了隱藏可通過注冊表查看,這里任務(wù)計劃只有名稱,如果想知道任務(wù)計劃執(zhí)行內(nèi)容,可以結(jié)合任務(wù)計劃歷史記錄日志看判斷。
服務(wù)排查
通過tasklist /svc,可以查看每個進(jìn)程所對應(yīng)的PID和服務(wù)
使用autoruns查看
注冊表查看
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices存儲著所有的服務(wù)啟動項
七、賬戶排查
查看用戶最后一次登錄,修改密碼時間,以及賬戶是否啟動。
net user xxx
通過PCHunter等工具可以查看隱藏用戶,如添加$符號的隱藏賬號,以及克隆賬號。
八、宏**分析處置
現(xiàn)象:
EDR等殺軟報宏**,**名提示類似于W97M、VBA、MSWor、Macro。
分析過程:
根據(jù)文件后綴其實就能看出,該word文檔是帶有宏代碼的,m即為macro。
為了分析腳本內(nèi)容,打開文件就會觸發(fā)腳本運(yùn)行,但如果禁用宏的話,打開文檔是看不到腳本內(nèi)容的。為了以靜態(tài)方式提取樣本,這里會使用到一個分析程序oledump.py(https://github.com/decalage2/oledump-contrib)
oledump.py是一個用于分析OLE文件(復(fù)合文件二進(jìn)制格式)的程序,而word、excel、ppt等文檔是OLE格式文件的,可以用它來提取宏代碼。
先進(jìn)行文件基礎(chǔ)分析,可以看到A3這段數(shù)據(jù)被標(biāo)記為“M”,“M”即表示Macro,說明這段數(shù)據(jù)是帶有VBA代碼的。
python oledump.py SSL.docm
接下來我們就需要將這段VBA代碼提取出來,執(zhí)行以下命令,可以看到VBA代碼就被提取出來了。我們把他重定向到一個文件里即可。
python oledump.py -s A3 -v SSL.docm
這段代碼其實比較簡單。
1.先判斷**作系統(tǒng)位數(shù)設(shè)置不同路徑的rundll32.exe,第二通過CreateProcessA啟動rundll32.exe。
2.通過VirtualAllocEx在rundll32進(jìn)程里申請一段內(nèi)存空間。
3.通過WriteProces**emory將myArray數(shù)組的內(nèi)容,按字節(jié)寫入到剛才申請的內(nèi)存空間。
4.通過CreateRemoteThread在rundll32進(jìn)程創(chuàng)建遠(yuǎn)程線程,入口點為剛才申請的內(nèi)存空間首地址,并啟動該線程。
綜上所述,該代碼為遠(yuǎn)程注入惡意代碼到其他進(jìn)程,可以判斷為**。
九、勒索**
勒索**特征
1、文件被加密成統(tǒng)一后綴,無法使用。
2、桌面存在勒索信息文件,或勒索信息背景。
勒索信息文件里的一串二進(jìn)制字符串,實際上是加密密鑰,但它被其他算法又加密了一層。
加密原理
1.常見的勒索**加密算法為RSA+AES。
2.勒索**運(yùn)行時會隨機(jī)生成一串AES密鑰,用該密鑰來加密文件,加密結(jié)束后,使用RSA公鑰對AES密鑰進(jìn)行加密,保存在本地。
3.解密需要**開發(fā)者提供RSA私鑰,解密本地AES密鑰文件,從而得到AES密鑰來解密系統(tǒng)數(shù)據(jù)。
所以別寄希望于逆向分析來解密
十、sy**on**
sy**on為windows提供了更強(qiáng)大的**功能,但遺憾的是sy**on只支持2008以后的系統(tǒng)。
sy**on安裝推薦xml文件下載鏈接
https://github.com/SwiftOnSecurity/sy**on-config
最常用的安裝方式
sy**on.exe -accepteula -i -n
但上述方式不支持DNS記錄,而且日志量會過大。
推薦安裝命令,使用上述git里的配置,可支持DNS記錄,并且可自行修改過濾器,記錄自己需要的。
Sy**on64.exe -accepteula -i z-AlphaVersion.xml
卸載
sy**on.exe -u
日志通過**查看器查看,因為sy**on的日志是以evtx格式存儲的。
具體**路徑為
應(yīng)用程序和服務(wù)日志-Microsoft-Windows-Sy**on-Operational
如下圖所示,或者你直接去C盤指定路徑查文件也行
如同windows自帶的系統(tǒng)日志,安全日志有**ID一樣,sy**on日志也有對應(yīng)的**ID,最新版本支持23種**。
Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sy**on service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 13: RegistryEvent (Value Set)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
Event ID 255: Error
案例
常用的有**ID 1,**進(jìn)程創(chuàng)建,惡意進(jìn)程的創(chuàng)建,包括他的父進(jìn)程,PID,執(zhí)行命令等等。
之前遇到過一起,開啟會自動運(yùn)行powershell,但查了啟動項,任務(wù)計劃,wmi都沒發(fā)現(xiàn)痕跡,苦苦無解,第二使用sy**on**進(jìn)程創(chuàng)建,最終**是誰拉起了powershell,往上溯源找到是一個偽造成正常程序圖標(biāo)和后綴的link文件,存放在Startup目錄下,鏈接到存放在另一處的vbs腳本。
下圖即為進(jìn)程創(chuàng)建**日志,可以看到幾個關(guān)鍵點,創(chuàng)建的進(jìn)程,命令行,以及父進(jìn)程
**ID3,**網(wǎng)絡(luò)連接,當(dāng)惡意程序外連CC服務(wù)器或者礦池等**作的時候,可以**到是哪個進(jìn)程發(fā)起的連接。這邊也舉個例子,之前遇到一種**,當(dāng)你去用進(jìn)程管理器或分析工具去查看時,該**會自動退出,防止被檢測到,并且隨機(jī)一段時間重啟,但態(tài)勢感知上發(fā)現(xiàn)確實有挖礦行為,使用sy**on**,當(dāng)他不定時運(yùn)行時,即可捕捉到他連接礦池的行為,從而**到進(jìn)程。
下圖為網(wǎng)絡(luò)連接**日志,可以看到網(wǎng)絡(luò)連接的五元組,和對應(yīng)的進(jìn)程。
**ID22,是這次重磅推出的新功能,DNS查詢記錄,這功能讓應(yīng)急響應(yīng)人員可以很輕松的通過域名**到進(jìn)程,并且你即使開啟了dnscache服務(wù),也能**到原先進(jìn)程。dnscache是一個緩存服務(wù),簡單來講,就是會**其他進(jìn)程進(jìn)行dns解析,并且會緩存解析結(jié)果,下一次解析就不再發(fā)送請求,讀取緩存內(nèi)容返回給指定程序即可。所以大家使用內(nèi)存掃描工具,可能會**到dnscache服務(wù)進(jìn)程。
在監(jiān)測設(shè)備上發(fā)現(xiàn)可疑域名解析時,通過這個功能,可以輕松**到發(fā)起解析的進(jìn)程,從而進(jìn)一步分析進(jìn)程文件是否確實有問題。
如下圖所示,為dns查詢?nèi)罩?,會記錄解析域名和結(jié)果,以及對應(yīng)的進(jìn)程PID和路徑。
拓展知識:
win10退出遠(yuǎn)程
win10系統(tǒng)如何開啟或關(guān)閉遠(yuǎn)程桌面
win10退出遠(yuǎn)程
工具/原料
電腦
windows10**作系統(tǒng)
方法/步驟
在桌面上找到“此電腦”,右鍵選擇“屬性”
打開“屬性”窗口后,在左側(cè)欄找到并點擊“遠(yuǎn)程設(shè)置”
在打開的窗口中,先將“允許遠(yuǎn)程協(xié)助連接這臺計算機(jī)”前面的勾去掉,第二選擇下面的“不允許遠(yuǎn)程連接到此計算機(jī)”,最后點擊確定。
為了保險,將相關(guān)的服務(wù)業(yè)禁用掉。同時按住“win+R”鍵,調(diào)出運(yùn)行窗口,在輸入框中輸入"services.msc",并點擊“確定”
在彈出的”服務(wù)“窗口中找到Remote desktop services這一項,并雙擊。
在彈出的該選項屬性窗口中,啟動類型選擇”禁用“,第二點擊”確定“即可。
END
注意事項
此**作與其他windows版本系統(tǒng)變化不大,其他版本也可參考此**作步驟
本回答被網(wǎng)友采納
原創(chuàng)文章,作者:九賢生活小編,如若轉(zhuǎn)載,請注明出處:http:///121478.html