【DFIR】數字取證與事件應急響應---初識

應急響應

　　適用於負責現場應急，找出可疑的程序，惡意代碼的安全工程師。這些可疑惡意程序或代碼由另外的專家進行逆向分析。

前言

　　首先，什麼是DRIF?

　　DRIR：Digital Forensics and Incident Response，翻譯過來就是=>數字取證與事件應急響應。

　　當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時，急需第一時間進行處理，使企業的網絡信息系統在最短期內恢復正常工做，進一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防範措施，爲企業挽回或減小經濟損失。  

　　常見的應急響應事件分類：

web入侵：網頁掛馬、主頁篡改、Webshell、博彩劫持

系統入侵：病毒木馬、勒索軟件、遠控後門

網絡攻擊：DDOS攻擊、DNS劫持、ARP欺騙

 概要

須要取證的點：

　　一、系統日誌、網站訪問日誌（搜索log文件）、本地用戶狀況（是否有隱藏、克隆用戶）。

　　二、保存系統當前信息：

systeminfo >c:\sysinfo.txt
netstat -ano >c:\net.txt
tasklist >c:\task.txt
net user >c:\user.txt
xcopy %systemroot%\system32\winevt\logs\*  C:\eventlog

　　三、使用Process Monitor、Autorun、Tcpview等工具，保存記錄文件。PClog和Process Explorer選擇性保存。

可在現場簡單檢查，把可疑的程序打包回來分析。

　　四、檢查webshell結果（最好能把網站整個文件夾拷貝回來）。

jsp後門刪除了還會有.class緩存保留，命名方式爲_xx__jsp.class，可恢復。

　　五、系統內存、鏡像

Readline、DumpIt（這兩個都是適用於低內存系統）,電腦重啓將會使內存丟失。

 

 

將以上幾個須要取證的數據打包回來過後分析。

☆注意：全部軟件都必須以管理員身份運行。

 

 

ps：電腦畫圖命令：mspaint（在沒有word的狀況下用畫圖軟件保存截圖）

聯想拯救者屏幕截圖： Fn+Win+PrtSc2,前提是關閉數字鍵盤

其餘系統屏幕截圖快捷鍵：Ctrl+PrtScSysRq、Alt+PrtScSysRq

命令行打包（在沒有壓縮軟件的狀況下）：

 

 

應急分析

　　分析方法：

找到各類可疑的IP、進程、域名、URL，搜索相關IOC，而後檢查相關可疑位置。

　　檢查思路：

惡意程序自己有網絡行爲，內存必然有其二進制代碼，它要麼是進程的 DLL /如此模塊，一般爲了保活，它很可能還有本身的啓動項，網絡心跳包。

總之，能夠歸結爲以下 4 點要素： 網絡 鏈接， 進程， 啓動項，內存再加上外部信息，如 威脅情報，就能夠造成比較完整的證據鏈。

 

詳細的流程和方法參考參考連接第二篇：

現場分析：

　　當發生安全事件時，咱們去到現場須要作的有如下幾個點：

一、查看殺毒軟件、防禦軟件的查殺、隔離、告警日誌。（若是有）

二、查看各類服務應用如：FTP、SSH、數據庫、RDP。（是否攻擊者開啓及是否存在弱口令）

三、檢查是否有防火牆、行爲管理器等防護設備，查看相應告警。

這三個點我常常忘的，所以單獨列出來作個記錄。

而後就根據咱們的檢查思路來：

　　這裏惡意腳本樣本爲利用msf生成的一個後門。

網絡鏈接：

　　思路：檢查是否存在異常的ip、端口如國外的ip，不經常使用的端口。

常規的使用命令netstat -ano。這裏推薦兩款工具：

一、D 盾 _web 查殺工具

二、TCPview

進程：　　

病毒文件在系統中運行一定依賴於exe可執行程序，主要有三種模式在系統中運行：

1. 病毒本身的exe程序
2. 注入到系統程序
3. 其餘方式

　　思路：重點檢查沒有廠商名字、沒有 簽名驗證信息、沒有 描述信息、CPU 或內存資源佔用長時間太高的進程的進程。檢查可疑進程的屬主、 路徑是否合法。常規的使用命令tasklist 。這裏一樣介紹幾款工具：

一、Process Explorer

ps：當你在磁盤上發現一個惡意的DLL，而且想知道是否有運行進程使用了這個DLL時，可使用Find => find Handle on DLL 功能。

一些常見的DLL：

• Ntdll.dll：若是一個可執行文件載入了這個文件，這意味着做者企圖使用那些不是正常提供給windows程序使用的函數。如隱藏功能和操做進程等任務會使用這個接口。
• Wsock32.dll和Ws32.dll：這個兩個是聯網ＤＬＬ，訪問其中任一個DLL的程序很是可能鏈接網絡，或是執行網絡相關的任務。
• Wininet.dll：這個DLL包含了更高層次的網絡函數，實現瞭如FTP、HTTP和NTP等協議。

這裏須要說明記錄一下這個工具和另一個工具Process Monitor的區別：

• Process Explorer：進程瀏覽器，列出全部活躍的進程、被進程載入的DLL、各類進程屬性和總體系統信息。

　　主要用於：查看進程的簽名信息、進程的字符串信息、搜索加載惡意DLL的進程、分析惡意文檔、經過屬性窗口中的鏡像（Image）標籤來定位惡意代碼在磁盤上的位置。

• Process Monitor：進程監視器，監控註冊表、文件系統、網絡、進程和線程行爲。

　　主要用於：分析惡意代碼，可以監控到運行了惡意代碼以後，該惡意代碼是否啓動了其餘的進程、是否進行了網絡鏈接以及在系統上作了什麼操做，包括註冊表和文件訪問。

 

二、D 盾 _web 查殺工具

 

 

三、PcHunter

功能齊全，能夠查看網絡鏈接狀況，啓動項和進程信息等。遇到一些隱藏的病毒木馬，直接打開目錄沒法找到的，也能夠用這個工具進行查找和定位，去除隱藏屬性。也可嘗試命令行查找。

 

　　實例測試MSF進程注入功能：

利用migrate命令將後門注入到其餘進程

　　TCPView檢測網絡鏈接，根據可疑進程名和可疑網絡鏈接能夠定位到meterpreter後門進程。

　　可是查找對應的PID找不到相應的進程。 

這個時候要用到PCHunter，這個比較底層的工具。查找對應網絡鏈接能夠直接查到對應進程路徑。

 

加載後，你能夠開始搜索Meterpreter使用的關鍵指標，如ws2_32.dll和metsrv.dll。ws2_32.dll是用於處理網絡鏈接的Window Sockets Library，而metsrv.dll是默認的Meterpreter服務。這兩個dll是用於網絡鏈接的，而everything這個進程是沒有網絡鏈接的，可是卻調用了這兩個dll文件，那麼就有問題了。

 

　　針對MSF的後門，這裏再推薦一款工具：Meterpreter_Payload_Detection.exe，可自行在GitHub上搜索下載。

利用Meterpreter_Payload_Detection.exe檢測工具，經過掃描內存檢測Meterpreter沒法檢測的有效負載。

 

 

啓動項：

　　思路：檢查啓動項、計劃任務、服務

　　一、檢查服務器是否有異常的啓動項。
檢查方法：
a、登陸服務器，單擊【開始】>【全部程序】>【啓動】，默認狀況下此目錄在是一個空目錄，確認是否有非業務程序在該目錄下。

b、單擊開始菜單 >【運行】，輸入 msconfig，查看是否存在命名異常的啓動項目，是則取消勾選命名異常的啓動項目，併到命令中顯示的路徑刪除文件。

c、單擊【開始】>【運行】，輸入 regedit，打開註冊表，查看開機啓動項是否正常，特別注意以下三個註冊表項：

HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversionrun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

檢查右側是否有啓動異常的項目，若有請刪除，並建議安裝殺毒軟件進行病毒查殺，清除殘留病毒或木馬。
d、利用安全軟件查看啓動項、開機時間管理等。
e、組策略，運行 gpedit.msc。

　　二、檢查計劃任務
檢查方法：
a、單擊【開始】>【設置】>【控制面板】>【任務計劃】，查看計劃任務屬性，即可以發現木馬文件的路徑。
b、單擊【開始】>【運行】；輸入 cmd，而後輸入at，檢查計算機與網絡上的其它計算機之間的會話或計劃任務，若有，則確認是否爲正常鏈接。

　　三、服務自啓動
檢查方法：
單擊【開始】>【運行】，輸入 services.msc，注意服務狀態和啓動類型，檢查是否有異常服務。

 

這裏推薦使用Autorun

 

內存：

 略！待補充

 

最終須要拷貝回來取證的有以下：

 

 

附錄：

之前作得一張思惟導圖，懶得改，直接參考上面的就行。

 

 

 

參考連接：

【主機應急響應與電子取證的經驗分享】https://www.freebuf.com/vuls/182220.html
【windows 應急流程及實戰演練】https://www.secpulse.com/archives/76534.html

 

笨鳥先飛早入林，笨人勤學早成材。

轉載請註明出處：
撰寫人：fox-yu  http://www.cnblogs.com/fox-yu/