【應急響應】主機應急響應與電子取證
0×0 背景
隨著主機安全的問題日漸突顯,挖礦勒索後門等病毒隱蔽手法越來越多種多樣,僅僅依靠傳統的安全工具不能完全查殺出相關惡意程式。安全事件具有突發性,複雜性與專業性,基於windows的一些執行機制人工排查安全事件需要從多個方面去檢查與清除,拋磚引玉提出以下思路供參考。
0×1 檢查思路
惡意程式本身有網路行為,記憶體必然有其二進位制程式碼,它要麼是程序的 DLL /如此模組,通常為了保活,它極可能還有自己的啟動項,網路心跳包。 總之,可以歸結為如下 4 點要素:流量,記憶體,程序,啟動項再加上外部資訊,如威脅情報,就可以形成比較完整的證據鏈。
0X2 病毒查殺
定位到可能存在惡意軟體的主機後,首先先使用防毒軟體或者 EDR 工具進行全盤掃描查殺一些簡單常見熱門的病毒一般都被收錄在熱門的特徵庫裡面,掃描出來就可以以最小的時間成本識別與解決惡意檔案。
根據一些防毒軟體的報警就可以標識出惡意軟體的型別與名字,如下圖
為此一個蘭塞姆(勒索)型別的Wannacry(想哭)家族的病毒樣本,對於此類情況往往可以直接一鍵處理較為簡單。
0×3 流量
無論是挖礦病毒,僵屍網路,肉雞, CC 伺服器,內網傳播等惡意行為都需要與其他主機進行通訊,則本地必須呼叫相應的網站連結。包括本地地址,本地埠,遠端地址,遠端埠等操作。如果遠端地址為一個惡意網站,便可以輕易獲取到系統的中毒程序,方便快捷的定位問題。
檢查系統的連線情況使用 netstat 命令或者藉助一些成熟的工具如PChunter ,TCPViewer 有利於更加直觀的檢視程序情況。
通過此圖可以發現 mssecsvc.exe 對大量隨機的外網IP 的445 埠進行SYN 包的探測,這是Wannacry 病毒的傳播過程。
對於一些其他的通訊過程流量,我們往往需要通過其他方式來識別,這裡推薦的Wireshark 的抓包工具進行抓包識別惡意流量,以下為Nmap的的埠掃描的資料包。
0×4 程序
病毒檔案在系統中執行必定依賴於exe可執行程式,windows當中簡單的將程式分成三大類:
1. Windows核心程序 // 如
2.系統程序// svchost.exe(Windows服務主程序) 、lsm.exe(本地回話管理器)
3.使用者程序 // qq.exe(騰訊QQ主程式) 、chrom.exe(Google瀏覽器)
主要有三種模式在系統中執行:
1.病毒自己的exe程式
2. 注入到系統程式
3. 其他方式
這裡可以使用PChunter工具對程序進行檢視識別,如下的這個Wmipvrse.exe無廠商簽名且名字有點詭異。
常規方式可以通過百度檢視一下,或者計算一下程式的Md5數值之後上Virustotal進行進一步確認,通過一些網友的評論與一些威脅情況往往可以判斷出一些可疑的檔案。
使用工具計算一下檔案的hash數值,建議提取Md5格式如下:
D2A4D1247752FB186841FF4C2985341B
然後上virustotal進行檢視網址如下:
平臺能夠準備識別,並提示型別Misc.Riskware.BitCoinMiner(比特幣挖礦機),英語不好可百度之。
還有一些其他類似於dll注入、PE檔案注入、無檔案攻擊、驅動注入、MBR感染等其他方式這裡不多做討論,特殊情景需要特殊處理。
0×5 自啟動項
病毒為了實現保活,不可避免會新增或修改啟動項、服務項,因此啟動項也是非常重要的入手調查點。黑客為了保持病毒能夠開機啟動、登入啟動或者定時啟動,通常會有相應的啟動項。
這裡可以通過藉助工具autoruns進行檢視,主要檢查點為開機自啟動與計劃任務以及一些系統服務。
比如這個登錄檔
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run處的有一個偽裝成Chrome的C:\Windows\servicecrsssr.vbs的啟動項,就是病毒的自己新增的,定位到路徑後直接刪除。
比如這個登錄檔
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run處的有一個偽裝成Chrome的C:\Windows\servicecrsssr.vbs的啟動項,就是病毒的自己新增的,定位到路徑後直接刪除。
0×6 記憶體
惡意程式執行在windows系統當中必然會載入到系統記憶體當中,程式可以通過獲取到系統程序與使用者程序的PID之後,需要根據系統的Pid匯入系統當中的PE檔案進行確認,這裡使用pd進行dump檔案。
下載連線如下:
這裡輸入pd64.exe -pid 可疑程序pid -o 輸出路徑:
後續可以進一步使用IDA(互動式反彙編器專業版人們常稱其為IDA Pro,或簡稱為IDA)或者ollydbg(od反彙編工具)對PE進行分析匯出的檔案列表如下:
0×7 總結
1.選擇合適的工具可以減少大量的成本,君子生非異也 善假於物也。
2.心上學,事上練、知行合一、少度娘、多谷歌。