如何檢視電腦是否被入侵（如何檢視電腦被攻擊記錄）

搜尋公眾號：暗網黑客

可領全套網路安全課程、配套攻防靶場

所以，憑什麼說我的主機被入侵了呢？

0×01 紅隊滲透流程

知攻擊才能懂防守，以作為攻擊方的紅隊視角：

作為攻擊者，當你拿到主機的一般使用者許可權後你會做什麼？

那當然是收集資訊，然後儘可能的獲得更高的許可權了

攻擊手段有千萬種，往往脫離不了以下規則：

1.儘可能的獲取有用的資訊。 –>敏感檔案被訪問

2.修改Windows相關配置以達到自身的目的。 –>系統配置被修改

先梳理一下滲透測試中常見的一些姿勢：

那麼以上流程，在藍隊的視角里就是如下情況：

收集資訊：

執行cmd指令

執行powershell指令碼，指令

提權：

進行程式除錯（如：privilege::debug)

某系統程序記憶體佔有率異常增加.

許可權維持：

SAM檔案被訪問

lsass.exe 程序被除錯

某些埠被程序開啟/轉發

登錄檔被修改

賬戶資訊有變動

橫向滲透：

進行遠端登入/命令執行

與域內主機的通訊流量增加

smb流量增加

後滲透

日誌丟失

0×02 藍隊排查流程

作為藍隊，應該以怎樣的思路判斷自己的主機已經淪陷了呢？

以下為總結的一些常規操作：

著重分析一下這些操作的具體方法：

登錄檔排查

# 開機自啟 HKCU:/Software/Microsoft/Windows/CurrentVersion/Run HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce # winrm後門 HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System # Logon Scripts後門 HKCU/Environment/ # 服務項 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

安全配置排查

# 檢查防火牆策略 netsh firewall show config # 檢查埠，程序連招 netstat -ano | findstr "[port]" tasklist | findstr "[pid]" # 檢查系統安裝的補丁 systeminfo

# Applocker應用控制策略檢查，檢視是否對敏感目錄使用了適當的規則

Applocker用於限制某些目錄下應用程式，指令碼等的執行。

# 開啟方式

執行->secpol.msc

此處可參考微軟官方文件：
       https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-defender-application-control/applocker/working-with-applocker-rules

防禦Applocker繞過

常見的繞過方式有Regsv***.exe繞過 和 msxsl.exe執行指令碼繞過

禁止這兩個檔案的使用即可

UAC (User Account Control)

在命令列中輸入gpedit.msc檢視本地組策略，找到路徑 計算機配置->Windows設定->安全設定->本地策略->安全選項

排查安全策略是否配置妥當

例如，通過如下選項可配置當某程式要以管理員身份執行時彈出UI介面

PowerShell執行策略

#在powershell中執行如下指令 #檢視策略 Get-ExecutionPolicy #更改策略 Set-ExecutionPolicy -Scope CurrentUser Restricted #設定執行策略為允許單獨的命令，但不會執行指令碼。 Get-ExecutionPolicy -List #檢視當前的執行策略

繞過Powershell執行策略的方式有很多種，甚至直接在後面加上 -ep Bypass 就可以執行powershell指令碼。可見微軟並沒有將該策略當做一種嚴格安全防護。因此這裡不再贅述。

ASR (Attack surface reduction，攻擊面減少規則)

適用Windows版本（windows較低版本中找不到對應的函式）

Windows 10 專業版、版本 1709或更高版本

Windows 10 企業版、版本 1709或更高版本

Windows Server、版本1803（半年度頻道）或更高版本

Windows Server 2019你可以使用組策略、PowerShell 和 MDM Csp 配置這些設定

# 執行powershell # 設定ASR規則 Set-MpPreference -AttackSurfaceReductionRules_Ids-AttackSurfaceReductionRules_Actions Enabled # 禁用ASR規則 Add-MpPreference -AttackSurfaceReductionRules_Ids-AttackSurfaceReductionRules_Actions Disabled

示例GUID：

阻止所有 Office 應用程式建立子程序
       D4F940AB-401B-4EFC-AADC-AD5F3C50688A

阻止執行可能混淆的指令碼
       5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

阻止從 Office 巨集呼叫 Win32 API
       92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

阻止 Office 應用程式建立可執行內容
       3B576869-A4EC-4529-8536-B80A7769E899

阻止 Office 應用程式將程式碼注入其他程序
       75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

阻止 JavaScript 或 VBScript 啟動下載的可執行內容
       D3E037E1-3EB8-44C8-A917-57927947596D

阻止來自電子郵件客戶端和 Web 郵件的可執行內容
       BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

阻止可執行檔案，除非它們滿足流行、年齡或受信任列表條件
       01443614-cd74-433a-b99e-2ecdc07bfc25對勒索軟體使用高階防護
       c1db55ab-c21a-4637-bb3f-a12568109d35

阻止從 Windows 本地安全機構子系統（lsass.exe）偷竊的憑據
       9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

阻止從 PSExec 和 WMI 命令發起的程序建立
       d1e49aac-8f56-4280-b9ba-993a6d77406c

阻止從 USB 執行的不受信任和未簽名的程序
       b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

阻止 Office 通訊應用程式建立子程序
       26190899-1602-49e8-8b27-eb1d0a1ce869

阻止 Adobe Reader 建立子流程
       7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c通過 WMI 事件訂閱阻止永續性
       e6db77e5-3df2-4cf1-b95a-636979351e5b

以上程式碼及資料均參考自微軟的官方文件：
   https://docs.microsoft.com/zh-cn/windows/security/threat-protection/microsoft-defender-atp/customize-attack-surface-reduction

使用者許可權分配

檢視其中是否有使用者獲得異常的授權

該配置中的程式除錯如果沒有需要儘量置為空，Mimikatz的privilege::debug便是藉助該配置的不妥當才得以提權

檢查程序

Process Explorer

排查當前程序

可以右鍵選擇Check VirusTotal，

軟體會把當前檔案上傳至VirusTotal進行線上查毒

並將結果返回至軟體

D盾

賬號：檢查當前使用者/使用者組

埠：是否有不該開啟的埠被開放

程序：是否有可疑程序

均可在D盾中輕鬆檢視，在此不再贅述

檔案訪問記錄

訪問本地目錄 C:/Users/[使用者名稱稱]/AppData/Roaming/Microsoft/Windows/Recent

程式執行記錄

訪問本地目錄 C:/Windows/prefetch

可以看到有許多.pf，pf檔案是一些預讀檔案，用於提高程式的載入速度。

有沒有感覺新安裝的遊戲，第二次開啟要比第一次開啟玩載入速度快。

可以使用工具WinPrefetchView進行檢視，該軟體會自動定位系統中的上述資料夾並讀取內容

可以很清晰的檢視到執行過的程式(隱私考慮。某些地方就打碼了

雙擊便可檢視詳細資訊，如建立時間，上一次的執行時間，程式所在路徑等，

選中上方程式在下方可以檢視該程式訪問的檔案（此處以chrome為例）

事件檢視器

#開啟事件檢視器

eventvwr.msc

# 部分重點排查ID

1102稽覈日誌已清除

4608Windows啟動

4609Windows關閉

4624帳戶已成功登入

4625帳戶登入失敗

4657登錄檔被更改

4696向程序分配令牌

4697系統中新增服務

4698建立計劃任務

4699刪除計劃任務

4700啟用計劃任務

4704分配使用者許可權

4706為域建立新信任

4713Kerberos策略被更改

4716可信域資訊被修改

4719系統稽覈策略已更改

4720建立使用者帳戶

4723嘗試更改帳戶密碼

4724嘗試重置帳戶密碼

4726使用者帳戶已被刪除

4739域策略已更改

4741建立計算機帳戶

異常的計劃任務

檢視定時任務

開始->執行taskschd.msc 檢視定時任務。

檢視自啟動程式

開始->執行msconfig.exe，檢視自啟動程式。

Powershell / cmd執行記錄

Windows將cmd指令歷史和powershell指令歷史存到了一個檔案中， 預設的儲存位置如下：

C:/Users/[使用者名稱]/AppData/Roaming/Microsoft/Windows/PowerShell/PSReadLine/ConsoleHost_history.txt

使用殺軟

安裝殺軟進行全面的查殺

0×03 一些總結

以前一直在做逆向，近期才開始學內網安全方面的知識。

不少初學者包括我在內都有一些疑問，日誌被攻擊者刪除了怎麼辦？

上面這些操作是不是就沒有意義了？

查過一些資料，目前有不少已經開發的出的

如：堡壘機可以在內網儲存日誌資訊的產品，一些有價值的攻擊目標也往往會部署這些安全產品來應對網路安全問題。

寫這篇文章是做一個短期的總結，個人水平有限

若分享的文中有錯誤還望各位大佬斧正。

如果分享的這些知識能幫到各位看官就再好不過啦~

web安全體系化視訊教程，線上免費觀看！

進群 領工具 靶場=掃碼直接領

0×04 參考資料

https://www.cnblogs.com/backlion/p/9484950.html

https://www.cnblogs.com/pshell/p/7741823.html

https://lengjibo.github.io/Persistence/

https://blog.csdn.net/weixin_34216036/article/details/92367818?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/microsoft-defender-atp/customize-attack-surface-reduction

作者：IceyHac

轉載自：
   https://www.freebuf.com/articles/system/238860.html