您的位置 首页 网络安全

HVV之windows应急笔记

windows应急篇 Windows应急不太可能只手敲命令吧,快速应急需要运用各种工具才能快速发现问题,这里是…

windows应急篇

Windows应急不太可能只手敲命令吧,快速应急需要运用各种工具才能快速发现问题,这里是应急工具包:

链接:https://pan.baidu.com/s/1Y2oyrerR7S5x0h1KNDNWLw

提取码:hexg

用得比较多的是火绒剑,卡巴斯基,火绒,D盾,(PCHunter一般发现外联地址或者进程可疑才上,其它工具看服务器性能,性能差查杀就上一个工具好了)

大佬总结的应急笔记(非常全但很多时候会给多个ip上机,按他的笔记可能效率太低):

https://github.com/Bypass007/Emergency-Response-Notes

微步沙箱:

https://s.threatbook.cn

自己的模板

总结:1,网络有外联ip但对应进程正常,2,木马查杀异常,5个有问题文件但非近期创建且排查出可能是误报,3,host文件被修改为挖矿地址,非红队

对业务人员处置建议

1.对非业务风险文件删除,2.修改host文件,删除恶意地址,

  1. 账号登录无异常

(查看事件查看器→查看管理员登录时间和4625登录失败 4624登录成功 4720 — 账户创建

筛选日志–》事件id)

4625,4624,4720

查看管理员登录正常

Aspx系统账号未知,但早已禁用

查看服务器无隐藏账号、克隆账号。

2.网络连接异常

(主要看是否外联ip,是否和内网可疑沦陷或攻击ip有联系,有就查相关进程,D盾会自动更新也可能有外联是D盾的ip,这微步查就知道)

存在外联ip,但相关进程正常

14x.1xx.x79.xx

对应进程,java.exe,无异常

上PCHunter

发现进程模块是火绒公司但还是查一下

对可疑模块排查,查杀,创建时间非近期,正常非恶意

创建时间非近期

3.进程无异常

(主要看签名,是否外联ip,进程文件创建时间,不放心可以查杀或者沙箱跑一下,这个火绒剑结合PCHunter看)

4.计划任务,启动项无异常

计划任务为微软的无异常

启动项非近期创建无异常,而且为正常软件

5.Host文件异常

被修改过,为恶意挖矿木马地址

6.木马查杀异常

dc:后跟日期,检查创建时间为1999年01月01日,后缀为.txt的文件。

dm:后跟日期,检查修改时间为1999年01月02日,名称包含te和.的文件。

da:后跟时间,检查访问时间为1999年01月03日的文件

Webshell扫描异常,对可疑jsp文件排查,发现非近期创建,打开查看是注释里的eval误报,看是web系统自身文件沙箱检查正常

Vbs非近期创建,沙箱检也检测正常(这个后来业务也说是他们业务文件)

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/1828/
头像

作者: Challenger

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...
联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部