Windows安全應(yīng)急響應(yīng)方法

◆吳宇佳 黃克敏 徐 偉

(貴州航天計(jì)量測(cè)試技術(shù)研究所 貴州 550009)

1 安全事件相關(guān)知識(shí)

網(wǎng)絡(luò)安全事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對(duì)社會(huì)造成負(fù)面影響的事件。數(shù)據(jù)泄露、高危漏洞、網(wǎng)絡(luò)攻擊以及相關(guān)的網(wǎng)絡(luò)犯罪呈現(xiàn)新的變化，個(gè)人安全意識(shí)缺乏、企業(yè)安全投入不足，也加重了網(wǎng)絡(luò)安全事件所帶來(lái)的損失和影響。自2017年4月國(guó)內(nèi)爆發(fā)大規(guī)模的勒索病毒以來(lái)，截至目前勒索病毒并未徹底完全被清除，而是逐漸演化為多個(gè)“變種”版本，繼續(xù)威脅著信息系統(tǒng)的安全。不止勒索病毒，近兩年數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件也接連不斷發(fā)生：2018年，F(xiàn)acebook爆出，因安全系統(tǒng)漏洞而遭受黑客攻擊，導(dǎo)致3000萬(wàn)用戶信息泄露。其中，有1400萬(wàn)人用戶的敏感信息被黑客獲取。這些敏感信息包括：姓名、聯(lián)系方式、搜索記錄、登錄位置等。2019年，有人在推特上爆料稱，一個(gè)包含2.02億中國(guó)求職者簡(jiǎn)歷信息的數(shù)據(jù)庫(kù)泄露，被稱為中國(guó)有史以來(lái)最大的數(shù)據(jù)曝光之一；2019年，據(jù)說(shuō)抖音APP，遭人拿千萬(wàn)級(jí)外部賬號(hào)密碼惡意撞庫(kù)攻擊，其中上百萬(wàn)賬號(hào)密碼與外部已泄露密碼吻合。在網(wǎng)絡(luò)安全事件發(fā)生后，網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力的強(qiáng)弱不僅關(guān)系著互聯(lián)網(wǎng)企業(yè)的生存與否，還關(guān)系著眾多網(wǎng)民個(gè)人信息泄露和網(wǎng)絡(luò)財(cái)產(chǎn)損失。在網(wǎng)絡(luò)安全事件發(fā)生后的應(yīng)急響應(yīng)過(guò)程中對(duì)安全事件的識(shí)別定性是安全事件處理過(guò)程中不可缺少重要環(huán)節(jié)。網(wǎng)絡(luò)安全事件根據(jù)其所采用的攻擊技術(shù)和造成的結(jié)果可將網(wǎng)絡(luò)安全事件分為如下表1所示的類別：

表1 網(wǎng)絡(luò)安全事件類別表

2 Windows安全應(yīng)急響應(yīng)

一些中小企業(yè)發(fā)生網(wǎng)絡(luò)安全事件后，發(fā)現(xiàn)不能通過(guò)基本的技術(shù)手段恢復(fù)系統(tǒng)的正常運(yùn)行，從公司運(yùn)行的成本考慮，直接對(duì)應(yīng)用服務(wù)器或是計(jì)算機(jī)進(jìn)行重做系統(tǒng)，重新部署應(yīng)用系統(tǒng)。這樣的做法完全忽略了應(yīng)急響應(yīng)的作用，導(dǎo)致后面新部署的應(yīng)用系統(tǒng)仍然可能遭遇同樣的安全事件。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的目的是查明造成安全事件的原因，清除病毒、后門，協(xié)助業(yè)務(wù)應(yīng)用系統(tǒng)重新恢復(fù)上線運(yùn)行，下面從技術(shù)的角度闡述 W indows系統(tǒng)應(yīng)急響應(yīng)的需要檢查的事項(xiàng)。

2.1 系統(tǒng)賬號(hào)檢查分析

（1）檢查系統(tǒng)是否存在新增或可疑賬號(hào)

查看方法：右擊“計(jì)算機(jī)”—“管理”—“本地用戶和組”或是打開(kāi)“cmd”—輸入“l(fā)usrmgr.msc”命令，對(duì)用戶和組的每個(gè)賬號(hào)逐一排查，特別是Administrators組中的賬號(hào)，如若發(fā)現(xiàn)立即禁用或刪除。

（2）檢查是否存在隱藏或克隆賬號(hào)

查看方法：“開(kāi)始”菜單—“運(yùn)行”—輸入“regedit.exe”打開(kāi)注冊(cè)表—賦權(quán)后查看賬戶信息或是直接使用專為IIS設(shè)計(jì)的一個(gè)主動(dòng)防御的保護(hù)軟件D盾工具（不限于D盾工具），如若發(fā)現(xiàn)隱藏或克隆賬號(hào)，立即禁用或刪除。注冊(cè)表檢查系統(tǒng)賬號(hào)如圖1，D盾檢查系統(tǒng)賬號(hào)如圖2。

圖1 注冊(cè)表檢查系統(tǒng)賬號(hào)

圖2 D盾檢查系統(tǒng)賬號(hào)

（3）查看當(dāng)前已登錄的賬號(hào)

查看方法：開(kāi)始”菜單—“運(yùn)行”—輸入“cmd”—輸入“query user”，查看當(dāng)前是否有異常的登錄賬號(hào)，如若發(fā)現(xiàn)，停用后刪除。

2.2 系統(tǒng)啟動(dòng)項(xiàng)檢查分析

查看系統(tǒng)中是否存在可疑的啟動(dòng)項(xiàng)，特別是開(kāi)機(jī)自啟動(dòng)的啟動(dòng)項(xiàng)。查看方法：（1）“開(kāi)始”菜單—“運(yùn)行”—輸入“msconfig”命令—系統(tǒng)配置“啟動(dòng)”菜單，查看啟動(dòng)項(xiàng)目。如若發(fā)現(xiàn)異常的啟動(dòng)項(xiàng)，應(yīng)當(dāng)禁用，并到命令顯示的路徑將文件刪除。啟動(dòng)項(xiàng)檢查如圖3所示。

圖3 啟動(dòng)項(xiàng)檢查

（2）檢查注冊(cè)表：“開(kāi)始”菜單—“運(yùn)行”—輸入“regedit.exe”打開(kāi)注冊(cè)表，查看開(kāi)機(jī)啟動(dòng)項(xiàng)是否正常，特別應(yīng)注意注冊(cè)表的以下三項(xiàng)：

“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entVersionRun”“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”“HKEY_LOCAL_MACHINESoftwareMicros oftWindowsCurrentVersionRunonce”

檢查是否有異常的啟動(dòng)項(xiàng)，如若發(fā)現(xiàn)，直接刪除異常啟動(dòng)項(xiàng)。

（3）檢查組策略：“開(kāi)始”菜單—“運(yùn)行”—輸入“gpedit.msc”，查看系統(tǒng)的本地組策略，組策略檢查如圖4所示。

2.3 系統(tǒng)計(jì)劃任務(wù)檢查分析

查看方法：（1）“控制面板”—“管理工具”—“任務(wù)計(jì)劃程序”或直接“運(yùn)行”—輸入“taskschd.msc”—“任務(wù)計(jì)劃程序”，逐個(gè)檢查正在運(yùn)行的程序，發(fā)現(xiàn)異常，先禁用在刪除。（2）“開(kāi)始”菜單—“運(yùn)行”—輸入“cmd”—輸入“ at”檢查計(jì)算機(jī)與網(wǎng)絡(luò)上其他計(jì)算機(jī)之間的會(huì)話或者計(jì)劃任務(wù)并確認(rèn)連接是否為正常。計(jì)劃任務(wù)檢查如圖5所示。

圖4 組策略檢查圖

圖5 系統(tǒng)計(jì)劃任務(wù)檢查圖

2.4 系統(tǒng)端口、服務(wù)和進(jìn)程檢查分析

（1）系統(tǒng)端口檢查分析

查看端口的連接情況，是否存在可疑連接或遠(yuǎn)程連接（如3389端口或轉(zhuǎn)換后的遠(yuǎn)程連接端口），是否存在對(duì)外映射的端口等，重點(diǎn)查看135、137、138、139、445等端口。具體查看方法：在cmd環(huán)境下，輸入“netstat-ano”查看當(dāng)前活動(dòng)所有連接，然后針對(duì)可疑連接通過(guò)netstat -ano | findstr “port”查看端口對(duì)應(yīng)的PID，最后通過(guò)tasklist | findstr “PID” 查看PID進(jìn)程所對(duì)應(yīng)的應(yīng)用程序，如若可疑，則打開(kāi)“任務(wù)管理器”—“進(jìn)程”下找到對(duì)應(yīng)的應(yīng)用程序—右鍵“打開(kāi)文件位置”，找到對(duì)應(yīng)程序停用后刪除。

（2）系統(tǒng)服務(wù)檢查分析

查看方法：“開(kāi)始”菜單—“運(yùn)行”—輸入“services.msc”或右擊“計(jì)算機(jī)”—“管理”—“服務(wù)和應(yīng)用程序”—“服務(wù)”，查看服務(wù)運(yùn)行情況及啟動(dòng)類型，是否存在可疑的服務(wù)。如若發(fā)現(xiàn)可疑服務(wù)，將服務(wù)停用后禁用。

（3）系統(tǒng)進(jìn)程檢查分析

查看方法：“開(kāi)始”菜單—“運(yùn)行”—輸入“msinfo32”—“軟件環(huán)境”—“正在運(yùn)行任務(wù)”，逐個(gè)查看進(jìn)程的路徑、ID、開(kāi)始時(shí)間、文件日期等詳細(xì)信息或通過(guò)D盾工具查看系統(tǒng)的進(jìn)程運(yùn)行情況，特別是著重查看“ CPU或內(nèi)存資源長(zhǎng)時(shí)間占用過(guò)高的進(jìn)程”、“沒(méi)有簽名的進(jìn)程”、“異常連接的進(jìn)程”等，如若發(fā)現(xiàn)可疑，則打開(kāi)“任務(wù)管理器”—“進(jìn)程”下找到對(duì)應(yīng)的應(yīng)用程序—右鍵“打開(kāi)文件位置”，找到對(duì)應(yīng)程序停用后刪除。

2.5 系統(tǒng)信息、病毒、漏洞檢查分析

（1）系統(tǒng)信息及漏洞檢查分析

查看當(dāng)前操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、系統(tǒng)漏洞及系統(tǒng)上所部署應(yīng)用系統(tǒng)漏洞等相關(guān)信息，分析可能對(duì)系統(tǒng)構(gòu)成風(fēng)險(xiǎn)的因素。

查看方法：“開(kāi)始”菜單—“運(yùn)行”—輸入“systeminfo”，查看系統(tǒng)及補(bǔ)丁信息，對(duì)系統(tǒng)漏洞檢查應(yīng)使用漏洞掃描工具對(duì)系統(tǒng)進(jìn)行掃描，并對(duì)其中的漏洞及時(shí)打補(bǔ)丁進(jìn)行修復(fù)。

（2）系統(tǒng)病毒檢查分析

查看方法：病毒查殺應(yīng)使用兩種不同的工具，這樣可補(bǔ)充過(guò)濾查殺規(guī)則不完全情況，增加查殺的準(zhǔn)確性和全面性。使用已更新到最新病毒庫(kù)的兩種不同廠家的殺毒軟件，全盤進(jìn)行查殺，對(duì)發(fā)現(xiàn)的病毒及時(shí)處理。對(duì)于利用系統(tǒng)漏洞上傳的webshell，使用兩款不同的webshell查殺工具進(jìn)行查殺，發(fā)現(xiàn)后及時(shí)處理。

2.6 系統(tǒng)日志檢查分析

系統(tǒng)日志查看，可直接打開(kāi)事件查看器進(jìn)行檢查或直接借助日志分析工具，查看時(shí)應(yīng)注意是否存在系統(tǒng)時(shí)間被修改、存在日志刪除等情況。

查看方法：（1）“開(kāi)始”菜單—“運(yùn)行”—輸入“eventvwr.msc”—“事件查看器”，為了方便查看可對(duì)所需日志篩選后將其導(dǎo)出，借助記事本等工具進(jìn)行查看。（2）將日志導(dǎo)出后借助微軟Log Parser工具對(duì)日志進(jìn)行檢查分析。

另外應(yīng)注意查看最近打開(kāi)使用的文件：查看方法：“開(kāi)始”菜單—“運(yùn)行”—輸入“%UserProfile%Recent”，查看最近使用的文件。

2.7 綜合分析給出建議

綜合分析上述檢查的結(jié)果，給出造成安全事件發(fā)生的原因，并在清除病毒、后門后，協(xié)助業(yè)務(wù)應(yīng)用系統(tǒng)重新恢復(fù)上線運(yùn)行。

3 結(jié)語(yǔ)

本文介紹網(wǎng)絡(luò)安全事件的種類，并針對(duì)市場(chǎng)占有率較大、使用廣泛的 Windows系統(tǒng)在發(fā)生網(wǎng)絡(luò)安全事件后應(yīng)急響應(yīng)的檢查項(xiàng)及檢查方法，為 Windows系統(tǒng)在安全事故發(fā)生后的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)提供實(shí)用性的技術(shù)支持。