Windows的进程排查比较复杂,所以放在前面来先讲。
正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率):
图片内容不重要,重要的是那么多进程,如何排查出可疑进程呢?下图是我开了冰蝎随便执行几个命令后的进程截图,这个工具是Process Explorer,推荐大家看看,windows查进程很方便。我环境出了点问题,本来想拿c2套个壳来调用别的进程进行隐藏的,但逻辑差不多,可以看到
配合cmd命令 :
代码语言:javascript代码运行次数:0运行复制tasklist /m分析dll调用,排查免杀、dll劫持这种情况,主体的一个逻辑就是查看是否有可疑文件调用了windows敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考:
C:\Windows\system.ini
C:\windows\system32\drivers\etc\hosts
C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
C:\Program Files\mysql\my.ini //Mysql配置
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\Windows\php.ini //php配置信息
C:\Windows\my.ini //Mysql配置信息
端口排查端口是通信的一环,排查进程绕不开端口排查,直接netstat:
代码语言:javascript代码运行次数:0运行复制netstat -ano | findstr EST命令的意思是查询端口并匹配出正在使用中的端口,截图因为这是up的个人电脑,端口乱点很正常,但是正经来说服务器端口一定是经过整理、收束,不会随便开来使用,通过监测异常开放的端口和异常连接的端口就可以分析出是否存在反弹shell(这个后面一篇讲Linux会讲到)、木马外联等,这里也附上常见木马使用端口:
https://blog.csdn.net/netuser1937/article/details/53609608?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171747152216800225583680%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=171747152216800225583680&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-53609608-null-null.142^v100^pc_search_result_base5&utm_term=%E5%B8%B8%E8%A7%81%E6%9C%A8%E9%A9%AC%E7%AB%AF%E5%8F%A3&spm=1018.2226.3001.4187
大家自行前往。
挖矿病毒排查单独把挖矿放出来讲是因为up见的实在太多了,之前做狗网管(安全运维管理)的时候,经常在后台爆出xxx领导中了挖矿病毒,全是去网上下载盗版软件、小说,乱点不明广告网页的时候中的招,这类特别好排查,因为挖矿病毒显著的特征就是启用时会使机器高负载运行,极其占用资源,很容易就被态感或者其他安全设备捕获到流量,屡见不鲜,所以遇到占用高的不明进程优先排查挖矿。
其次由于挖矿的需求,攻击者多为大范围撒播挖矿木马,对外联ip进行威胁情报查询时看tag一看一个准的,时至今日很小概率会有人突然拿出一台清清白白的服务器进行挖矿,太低智了;又由于是大范围攻击,用的手段可能是比较偏向钓鱼、引诱等,中招的大部分是自己不小心,真打进了再中上挖矿木马的也一定有别的痕迹,排查难度中等吧。
总结:
以上路数主要从免杀角度去分析攻击者伪装,事实上到了内网渗透下马子这个环节市面上百分之90以上的红队不可能做得到毫无痕迹,不可能隐藏得完全和系统融为一体,意义上不大,拿了分不就行了哪有那么多完美主义,而那些游离于规则外的小毛贼更不可能了,小打小闹还免杀呢,真正有实力的大师傅咱也分析不起,啃下这99%的情况就好。附上window白进程供各位师傅参考:
actmovie.exe
dap.exe
agentsvr.exe
DavCData.exe
ASPNET_WP.exe
dcfssvc.exe
AcctMgr.exe
ddcman.exe
acrobat.exe
defwatch.exe
acrord32.exe
delayrun.exe
AcroTray.exe
devenv.exe
ACSd.exe
devldr.exe
ADGJDET.exe
Dwm.exe
AdobeUpdateManager.exe
explorer.exe
ADService.exe
EnergyCut-EnergyCut.exe
ADService.exe
fast.exe
agent.exe
grpconv.exe
agrsmmsg.exe
grovel.exe
AgtServ.exe
hidserv.exe
aim.exe
iexplore.exe
aim95.exe
imapi.exe
alogserv.exe
inetinfo.exe
anvshell.exe
internat.exe
AOLacsd.exe
kernel32.exe
AOLDial.exe
launch32.exe
aom.exe
loadwc.exe
apntex.exe
Locator.exe
asfagent.exe
logonui.exe
ashWebSv.exe
lsass.exe
astart.exe
mad.exe
ati2evxx.exe
mapisp32.exe
ATIevxx.exe
msdtc.exe
ATIPtaxx.exe
msiexec.exe
Atrack.exe
msoobe.exe
aupdate.exe
mstask.exe
autochk.exe
mprexe.exe
avconsol.exe
msconfig.exe
AVENGINE.EXE
msgsrv32.exe
avgserv.exe
MSMMsg.exe
avgw.exe
mstinit.exe
avpcc.exe
mmc.exe
avsynmgr.exe
mmtask.tsk
btwdins.exe
System
backweb-137903
ndisuio.sys
backweb-8876480
netdde.exe
bacstray.exe
ntoskrnl.exe
blackd.ex
ntvdm.exe
bpcpost.exe
pchschd.exe
BRMFRSMG.EXE
pstores.exe
brss01a.exe
rasautou.exe
bttnserv.exe
rdpclip.exe
ccmexec.exe
regsvc.exe
cidaemon.exe
regsvr32.exe
clisvcl.exe
rnaapp.exe
cmd.exe
rpcss.exe
Control.exe
rsvp.exe
csrss.exe
rundll.exe
conime.exe
rundll32.exe
ctfmon.exe
runonce.exe
ca.exe
RegCertTool.exe
calc.exe
sapisvr.exe
carpserv.exe
savedump.exe
CCAP.EXE
scanregw.exe
ccapp.exe
scardsvr.exe
ccevtmgr.exe
services.exe
ccproxy.exe
smss.exe
ccpxysvc.exe
snmp.exe
ccregvfy.exe
spoolss.exe
cdac11ba.exe
spoolsv.exe
cdantsrv.exe
srvany.exe
cfd.exe
svchost.exe
cfgwiz.exe
systray.exe
cftmon.exe
tapisrv.exe
charmap.exe
taskmgr.exe
cleanup.exe
tlntsvr.exe
cli.exe
tcpsvcs.exe
cmanager.exe
Userinit.exe
cmmpu.exe
WinLogon.exe
Companion.exe
WMIADAP.EXE
comsmd.exe
Wmiexe.exe
cpd.exe
wmiprvse.exe
crypserv.exe
wscntfy.exe
cthelper.exe
wuaclt.exe
ctnotify.exe
WUAUBoot.exe
ctsvccda.exe
Wuauclt.exe
cvpnd.exe
wuaudt.exe
ddhelp.exe
WUCrtUpd.exe
dfssvc.exe
1xconfig.exe
dllhost.exe
3dm2.exe
dos4gw.exe
dotnetfx.exe
dumprep.exe
dadapp.exe
dadtray.exe
damon.exe