windows简单入侵排查

客户内网被撸了，需要援助,调查发现:
1.内部网络中，出现大量内网攻击行为，主机、服务器对内部主机进行同网段扫描，漏洞攻击；
2.内部主机对外网地址445端口进随机扫描；
3.内部主机大量访问外网恶意威胁地址； 共发现25台主机、服务器感染木马病毒

1.处置ms17-010漏洞

1.1.定位感染PC终端、服务器，永恒之蓝扫描工具
对内网进行全网扫描，定位存在漏洞地址，修复漏洞。漏洞检测工具：
链接：https://pan.baidu.com/s/1-6EiM3qOCNWO3R8uC12UUw 密码：nsut

1.2.下载漏洞补丁并安装。
漏洞补丁及安装：
出“NSA武器库免疫工具”(http://dl.360safe.com/nsa/nsatool.exe)，能够一键检测修复NSA黑客武器攻击的漏洞；对XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。
漏洞补丁：
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2.处置感染终端

（1）感染主机、服务器，建议进行备份处理后，断网进行漏洞处理和病毒木马处理。安装杀软，建议对其进行全盘杀毒；手工排查，安全人员手工排查恶意文件、注册表、启动项、异常服务器等内容；如感染终端未运行重要业务，建议对其备份后格式化重新安装操作系统。
2.1.手工排查可疑进程：
任务管理器查看：

ProcessExplorer等进程工具查看可疑进程

还可以直接在cmd下手工查杀
查看已经建立的进程

netstat -ano | find “ESTABLISHED” （可以查看建立过的连接发现可疑IP）

tasklist|findstr “2228”回车，查看是哪个进程或者程序占用了2228端口，或者是我们打开任务管理器，切换到进程选项卡，在PID一列查看2228对应的进程是谁，结果是：YoudaoMote.exe

结束该进程：在任务管理器中选中该进程点击”结束进程“按钮，或者是在cmd的命令窗口中输入：taskkill /f /t /im Tencentdl.exe
2.2.注册表、启动项进行排查
自起程序目录：
Win10开机自启路径

C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
或者是
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

win 7自启

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

查看以下可能木马藏身的注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"

另外木马也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下，这个键值应该是”%1 %“，如果是这样trojan.exe “%1 %“，那么木马就会自动启动了
（注：Trojan.exe在木马程序的意思）
发现刻意进程删除并重新启动机器。
2.3.取证分析
2.3.1.recent相关文件分析
通过分析查看用户最近打开分析可疑文件
a) C:\Documents and Settings\Administrator\Recent
b) C:\Documents and Settings\Default User\Recent
c) 开始,运行 %UserProfile%\Recent
2.3.2.查看已经建立的进程
netstat -ano | find “ESTABLISHED” （可以查看建立过的连接发现可疑IP）

2.3.3. 系统信息
Windows 的计划任务，看是否有可疑任务：
SCHTASKS
Windows 的帐号信息，如隐藏帐号等
使用net user(查看可疑账号)
如果是影子账户：
在注册表查看。
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Name
2.3.4.入侵IP查找
打开事件管理器（开始—管理工具—事件查看/开始运行eventvwr）主要分析安全日志
事件日志：“Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational”、“Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational”。分析可以得到啥时候被远程登陆，以及获取到远程登陆的人是谁。

也可以借助它自带的日志分析功能：