随着网络安全的快速发展,许多互联网公司积极参与到这一领域。 随着《网络安全法》的颁布实施、等级保障2.0等的出台,为网络安全发展提供了有力支撑。 一种事物的快速发展,也会引起其他不利事物的萌芽。 是的,网络入侵的出现,说白了就是一个黑色产品。 例如Facebook泄露8700万用户数据、51job招聘网站求职信息泄露、5亿华住连锁酒店信息泄露、万豪喜达屋用户信息泄露等。
可见,数据经济时代,数据日益走向盈利的边缘。 在互联网高速发展的时代,我们应该如何保护个人信息不被窃取并被不法分子用作筹码? 当我们遇到入侵时,我们应该做什么,第一步应该做什么,如何推进调查过程,是否有应急预案等等,都是我们需要了解的。 在网络保护期间,如果客户遇到入侵,可能不是入侵,而只是流量检测。 客户的第一反应就是拔掉网线、关闭端口、将IP加入黑名单等常规操作。 说实话,这只能暂时解决,不能永远解决。 因此,应对入侵事件需要一个详细的调查流程,可以追溯事件的根源,找出企业内部的危险缺口是由应用程序问题还是业务逻辑缺陷造成的。 说了这么多,我们简单说一下应急响应。 我们来看看Windows紧急情况的处理。
Windows安全紧急响应
攻击者入侵网站必然会对企业的业务系统造成不同程度的破坏。 即使入侵不成功,即使网络良好,访问业务系统也会很慢。 当我们遇到入侵时,我们应该如何排查并找到攻击源头呢? 下面我们可以从以下几个方面来排查windows主机的故障。
1)是否有异常进程或用户?
2)敏感端口开放状态
3)密码强度
4)日志分析
5)启动项、服务、定时任务异常
6)注册信息
7)其他
处理信息
我们输入tasklis或者打开任务管理器来查看进程信息。 我们可以根据CPU使用率、内存使用率、启动事件等初步判断异常信息,并根据PID找到异常进程。 执行该命令可以查看进程名、路径和pid。 然后使用find或findstr查找pid对应的路径。 wmic 进程获取名称、可执行路径、processid|findstr pid。 如果发现相应的可疑文件,我们可以使用多个检查引擎,看看是否有异常进程。
除了上面的命令查询之外,我们还可以使用D-shield来检测主机中的异常信息。 需要注意的是没有签名验证信息的进程、没有描述信息的进程、进程的所有者、进程的路径是否是合法的CPU或者长期占用过多内存资源的进程等。提醒一下,D-shield需要连接到互联网。 一般管理员在创建临时账户的时候不会创建隐藏账户,所以一旦发现隐藏账户,顺着线索,查看该账户的操作日志(如果日志完好的话,这里重要提醒一下,不仅主机一定要开启日志记录)功能,还有日志审计服务器)。
我们无法通过命令来查询这样的隐藏帐户。 我们只能去注册表查看是否有隐藏账户。 在DOS命令行输入regedit查找注册表位置,找到如下位置:
HKEYLOCALMACHINESAMSAMDomainsAccountUsersNames
敏感端口开放状态
敏感端口指的是攻击者喜欢的端口,比如3389、445、135、139、1433、1521、3306等,如果这样的端口暴露在公网服务器上,后果不堪设想。 今年,3389 0day-CVE2019-0708在网络防护初期就出现了,当时引起了不小的震动。 虽然我们现在拥有的只是一个导致易受攻击的主机蓝屏的脚本,但很多人可能已经有能力这样做了。 getshell利用工具已经可用,但尚未发布。
我们以3389远程桌面服务端口为例。 当我们知道攻击者通过远程桌面登录服务器后,我们就可以查看他们是如何登录的? 首先我们需要询问3389是否对外网开放,是否启用了地址白名单限制,密码是否为弱密码等,我们看一下服务器日志中记录了哪些内容。 与管理员沟通后发现密码是123456? ? ? ? ? 这是什么操作? 结合日志分析发现,攻击者前期进行了密码破解攻击。 这是一台 2003 年的服务器,我无法计算失败登录事件的数量。 如果是这种情况,我们需要与客户沟通,在不影响业务的情况下封堵3389端口并修改密码强度。 小白提醒我,即使管理员修改了3389端口,攻击者仍然会通过端口扫描被扫描出来。 为了防止这种情况发生,我们可以采用白名单策略,绑定MAC地址,并设置尝试登录失败次数来锁定用户。 当然,还有更好的策略来限制爆炸。
日志分析
日志分析的前提是服务器启用了日志审计策略,记录用户的失败和成功。 进行安全基线检查时会发生这种情况。 前期给客户排查问题时,我们向客户索要运维故障时间日志,但他们说日志缺失或者没有记录。 更可笑的是注册表修改桌面路径,只记录了登录事件,并没有记录用户执行的操作。 这真是一个神奇的操作。 言归正传,我们首先复制服务器的应用日志、安全日志、程序日志,在本地分析入侵者信息或者故障信息。
对于Windows事件日志分析来说注册表修改桌面路径,不同的EVENT ID代表不同的含义。 以下是一些常见安全事件的摘录:
我们可以根据事件ID过滤我们需要的事件:
我们输入事件ID:4625来过滤日志,发现事件ID:4625,事件数量为175904,即用户登录失败175904次,所以这台服务器的管理员账号可能遭遇了暴力攻击猜测。
您可以使用eventlog事件来查看计算机开关机的记录:
1. 在“开始”菜单上,指向“所有程序”、“管理工具”,然后单击“事件查看器”;
2、在事件查看器中,点击“系统”,查看系统日志;
3、在系统日志右侧的操作中,点击“过滤当前日志”,输入要过滤的事件ID。
其中,事件ID 6006、ID 6005、ID 6009代表机器处于不同状态(开机、关机)的情况。
我们输入事件ID:6005-6006来过滤日志,发现2018/7/6 17:53:51左右有两条记录,这是我刚刚重启系统的时间。
推荐使用Log Parser工具进行分析,我个人觉得比较方便。 以下是常用的查询命令,可以作为参考:
1、查询登录成功事件
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID“从c: Security.evtx中选择*,其中EventID = 4624”
指定登录时间范围内的事件:
暂无评论内容