Windows安全應急響應方法

◆吳宇佳 黃克敏 徐 偉

(貴州航天計量測試技術研究所 貴州 550009)

1 安全事件相關知識

網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統或者其中的數據造成危害，對社會造成負面影響的事件。數據泄露、高危漏洞、網絡攻擊以及相關的網絡犯罪呈現新的變化，個人安全意識缺乏、企業安全投入不足，也加重了網絡安全事件所帶來的損失和影響。自2017年4月國內爆發大規模的勒索病毒以來，截至目前勒索病毒并未徹底完全被清除，而是逐漸演化為多個“變種”版本，繼續威脅著信息系統的安全。不止勒索病毒，近兩年數據泄露等網絡安全事件也接連不斷發生：2018年，Facebook爆出，因安全系統漏洞而遭受黑客攻擊，導致3000萬用戶信息泄露。其中，有1400萬人用戶的敏感信息被黑客獲取。這些敏感信息包括：姓名、聯系方式、搜索記錄、登錄位置等。2019年，有人在推特上爆料稱，一個包含2.02億中國求職者簡歷信息的數據庫泄露，被稱為中國有史以來最大的數據曝光之一；2019年，據說抖音APP，遭人拿千萬級外部賬號密碼惡意撞庫攻擊，其中上百萬賬號密碼與外部已泄露密碼吻合。在網絡安全事件發生后，網絡安全事件應急響應能力的強弱不僅關系著互聯網企業的生存與否，還關系著眾多網民個人信息泄露和網絡財產損失。在網絡安全事件發生后的應急響應過程中對安全事件的識別定性是安全事件處理過程中不可缺少重要環節。網絡安全事件根據其所采用的攻擊技術和造成的結果可將網絡安全事件分為如下表1所示的類別：

表1 網絡安全事件類別表

2 Windows安全應急響應

一些中小企業發生網絡安全事件后，發現不能通過基本的技術手段恢復系統的正常運行，從公司運行的成本考慮，直接對應用服務器或是計算機進行重做系統，重新部署應用系統。這樣的做法完全忽略了應急響應的作用，導致后面新部署的應用系統仍然可能遭遇同樣的安全事件。網絡安全應急響應的目的是查明造成安全事件的原因，清除病毒、后門，協助業務應用系統重新恢復上線運行，下面從技術的角度闡述 W indows系統應急響應的需要檢查的事項。

2.1 系統賬號檢查分析

（1）檢查系統是否存在新增或可疑賬號

查看方法：右擊“計算機”—“管理”—“本地用戶和組”或是打開“cmd”—輸入“lusrmgr.msc”命令，對用戶和組的每個賬號逐一排查，特別是Administrators組中的賬號，如若發現立即禁用或刪除。

（2）檢查是否存在隱藏或克隆賬號

查看方法：“開始”菜單—“運行”—輸入“regedit.exe”打開注冊表—賦權后查看賬戶信息或是直接使用專為IIS設計的一個主動防御的保護軟件D盾工具（不限于D盾工具），如若發現隱藏或克隆賬號，立即禁用或刪除。注冊表檢查系統賬號如圖1，D盾檢查系統賬號如圖2。

圖1 注冊表檢查系統賬號

圖2 D盾檢查系統賬號

（3）查看當前已登錄的賬號

查看方法：開始”菜單—“運行”—輸入“cmd”—輸入“query user”，查看當前是否有異常的登錄賬號，如若發現，停用后刪除。

2.2 系統啟動項檢查分析

查看系統中是否存在可疑的啟動項，特別是開機自啟動的啟動項。查看方法：（1）“開始”菜單—“運行”—輸入“msconfig”命令—系統配置“啟動”菜單，查看啟動項目。如若發現異常的啟動項，應當禁用，并到命令顯示的路徑將文件刪除。啟動項檢查如圖3所示。

圖3 啟動項檢查

（2）檢查注冊表：“開始”菜單—“運行”—輸入“regedit.exe”打開注冊表，查看開機啟動項是否正常，特別應注意注冊表的以下三項：

“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entVersionRun”“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”“HKEY_LOCAL_MACHINESoftwareMicros oftWindowsCurrentVersionRunonce”

檢查是否有異常的啟動項，如若發現，直接刪除異常啟動項。

（3）檢查組策略：“開始”菜單—“運行”—輸入“gpedit.msc”，查看系統的本地組策略，組策略檢查如圖4所示。

2.3 系統計劃任務檢查分析

查看方法：（1）“控制面板”—“管理工具”—“任務計劃程序”或直接“運行”—輸入“taskschd.msc”—“任務計劃程序”，逐個檢查正在運行的程序，發現異常，先禁用在刪除。（2）“開始”菜單—“運行”—輸入“cmd”—輸入“ at”檢查計算機與網絡上其他計算機之間的會話或者計劃任務并確認連接是否為正常。計劃任務檢查如圖5所示。

圖4 組策略檢查圖

圖5 系統計劃任務檢查圖

2.4 系統端口、服務和進程檢查分析

（1）系統端口檢查分析

查看端口的連接情況，是否存在可疑連接或遠程連接（如3389端口或轉換后的遠程連接端口），是否存在對外映射的端口等，重點查看135、137、138、139、445等端口。具體查看方法：在cmd環境下，輸入“netstat-ano”查看當前活動所有連接，然后針對可疑連接通過netstat -ano | findstr “port”查看端口對應的PID，最后通過tasklist | findstr “PID” 查看PID進程所對應的應用程序，如若可疑，則打開“任務管理器”—“進程”下找到對應的應用程序—右鍵“打開文件位置”，找到對應程序停用后刪除。

（2）系統服務檢查分析

查看方法：“開始”菜單—“運行”—輸入“services.msc”或右擊“計算機”—“管理”—“服務和應用程序”—“服務”，查看服務運行情況及啟動類型，是否存在可疑的服務。如若發現可疑服務，將服務停用后禁用。

（3）系統進程檢查分析

查看方法：“開始”菜單—“運行”—輸入“msinfo32”—“軟件環境”—“正在運行任務”，逐個查看進程的路徑、ID、開始時間、文件日期等詳細信息或通過D盾工具查看系統的進程運行情況，特別是著重查看“ CPU或內存資源長時間占用過高的進程”、“沒有簽名的進程”、“異常連接的進程”等，如若發現可疑，則打開“任務管理器”—“進程”下找到對應的應用程序—右鍵“打開文件位置”，找到對應程序停用后刪除。

2.5 系統信息、病毒、漏洞檢查分析

（1）系統信息及漏洞檢查分析

查看當前操作系統版本、系統補丁、系統漏洞及系統上所部署應用系統漏洞等相關信息，分析可能對系統構成風險的因素。

查看方法：“開始”菜單—“運行”—輸入“systeminfo”，查看系統及補丁信息，對系統漏洞檢查應使用漏洞掃描工具對系統進行掃描，并對其中的漏洞及時打補丁進行修復。

（2）系統病毒檢查分析

查看方法：病毒查殺應使用兩種不同的工具，這樣可補充過濾查殺規則不完全情況，增加查殺的準確性和全面性。使用已更新到最新病毒庫的兩種不同廠家的殺毒軟件，全盤進行查殺，對發現的病毒及時處理。對于利用系統漏洞上傳的webshell，使用兩款不同的webshell查殺工具進行查殺，發現后及時處理。

2.6 系統日志檢查分析

系統日志查看，可直接打開事件查看器進行檢查或直接借助日志分析工具，查看時應注意是否存在系統時間被修改、存在日志刪除等情況。

查看方法：（1）“開始”菜單—“運行”—輸入“eventvwr.msc”—“事件查看器”，為了方便查看可對所需日志篩選后將其導出，借助記事本等工具進行查看。（2）將日志導出后借助微軟Log Parser工具對日志進行檢查分析。

另外應注意查看最近打開使用的文件：查看方法：“開始”菜單—“運行”—輸入“%UserProfile%Recent”，查看最近使用的文件。

2.7 綜合分析給出建議

綜合分析上述檢查的結果，給出造成安全事件發生的原因，并在清除病毒、后門后，協助業務應用系統重新恢復上線運行。

3 結語

本文介紹網絡安全事件的種類，并針對市場占有率較大、使用廣泛的 Windows系統在發生網絡安全事件后應急響應的檢查項及檢查方法，為 Windows系統在安全事故發生后的網絡安全應急響應提供實用性的技術支持。