網(wǎng)絡(luò)攻防項目實戰(zhàn) 課件 4.4系統(tǒng)安全排查

4.4系統(tǒng)安全排查任務(wù)描述云海網(wǎng)絡(luò)安全公司托管的服務(wù)器近期遭受網(wǎng)絡(luò)攻擊，導(dǎo)致服務(wù)器出現(xiàn)運行不穩(wěn)定的情況，工程師小吳決定對系統(tǒng)進行安全排查，結(jié)合系統(tǒng)破壞情況、攻擊者的可能途徑對網(wǎng)絡(luò)連接、可疑進程等進行排查，盡可能確保系統(tǒng)后續(xù)安全穩(wěn)定的運行。通過本任務(wù)學(xué)習，能夠體驗滲透測試工程師在應(yīng)急響應(yīng)過程中對網(wǎng)絡(luò)及進程、可疑用戶、可疑文件、開機啟動項、服務(wù)自啟動等進行排查的工作環(huán)節(jié)。0201任務(wù)準備系統(tǒng)安全排查目錄任務(wù)準備01設(shè)置網(wǎng)絡(luò)實驗環(huán)境打開VMwareworkstation虛擬機軟件，點擊菜單欄中的“編輯”功能，在“虛擬網(wǎng)絡(luò)編輯器”窗口中勾選“僅主機模式”，將DHCP服務(wù)子網(wǎng)IP地址設(shè)置為192.168.200.0,子網(wǎng)掩碼設(shè)置為255.255.255.0。設(shè)置網(wǎng)絡(luò)實驗環(huán)境單擊“DHCP設(shè)置”按鈕，將起始IP地址設(shè)置為“192.168.200.100”，結(jié)束IP地址設(shè)置為“192.168.200.200”，其余選項均為默認設(shè)置。開啟虛擬機操作系統(tǒng)準備好教學(xué)配套資源包中提供的Windows7、kali虛擬機操作系統(tǒng)，將虛擬機網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)連接模式設(shè)置為“僅主機模式”，并啟動操作系統(tǒng)。開啟handler監(jiān)聽模塊在kali操作系統(tǒng)中進行msf框架，開啟handler監(jiān)聽模塊。打開測試程序?qū)⒔虒W(xué)資源庫中的“hack.exe”文件復(fù)制到Windows7操作系統(tǒng)中并雙擊運行該文件。系統(tǒng)安全排查02系統(tǒng)安全排查在Windows7操作系統(tǒng)中按“win+R”鍵打開“運行”功能，輸入“cmd”打開終端命令行窗口，繼續(xù)輸入“netstat-ano”，查看當前的網(wǎng)絡(luò)連接，觀察顯示的結(jié)果推測ESTABLOSHED（連接成功）為可疑，其PID為3628。步驟1排查網(wǎng)絡(luò)連接系統(tǒng)安全排查c系統(tǒng)安全排查方式1：在cmd終端命令行輸入“tasklist/svc|findstr3628”命令進行進程定位，發(fā)現(xiàn)存在Hacker.exe進程，該進程不屬于系統(tǒng)進程且命名陌生，推測其為可疑網(wǎng)絡(luò)連接進程。步驟2排查進程系統(tǒng)安全排查方式2：打開“任務(wù)管理器”，選中Hacker.exe進程，右擊進程在彈出的快捷菜單中，選擇“打開文件位置”選擇。步驟2排查進程c系統(tǒng)安全排查在Windows7操作系統(tǒng)中，右擊“計算機”圖標，在彈出的快捷菜單中選擇”管理”打開計算機管理窗口，雙擊打開“本地用戶和組”選項卡，點擊“用戶”選項，排查其中是否有可疑用戶，在顯示的結(jié)果中發(fā)現(xiàn)未知用戶hacker1可疑用戶。步驟3排查可疑用戶系統(tǒng)安全排查系統(tǒng)安全排查以可疑用戶名為hacker1的為例，若用戶賬號僅是通過命令或用戶管理程序進行刪除，那么系統(tǒng)中仍會有該用戶目錄殘留，目錄中的一些文件會記錄用戶的某些特定行為，可以通過查看這些文件，對該用戶的行為進行追查。步驟4排查可疑文件系統(tǒng)安全排查打開“C:\Users（用戶）\hacker1\Desktop（桌面）”文件夾，可查看hacker1用戶的桌面文件，從中找到了可疑進程Hacker.exe，因此判斷攻擊者通過hacker1用戶登錄目標機系統(tǒng)后，發(fā)送可疑進程Hacker.exe，對目標機進行操作。步驟4排查可疑文件系統(tǒng)安全排查在Windows7操作系統(tǒng)中，點擊“開始”選擇“所有程序”選項卡，點擊“啟動”打開該文件夾，此目錄默認情況下為空目錄，根據(jù)該目錄下有無內(nèi)容確定是否有非業(yè)務(wù)程序。步驟5排查開機啟動項c系統(tǒng)安全排查在Windows7操作系統(tǒng)中，按下“win+R”鍵打開“運行“功能后，輸入“msconfig”打開“系統(tǒng)配置”窗口，點擊“啟動”選項卡，可查看啟動項的詳細信息，發(fā)現(xiàn)其中命名為ipoKBisJUn的啟動項比較可疑。步驟5排查開機啟動項系統(tǒng)安全排查c系統(tǒng)安全排查繼續(xù)在”運行“功能窗口，輸入“regedit”打開“注冊表編輯器”窗口，查看開機啟動項是否有異常，發(fā)現(xiàn)其中命名為ipoKBisJUn的啟動項比較可疑。步驟5排查開機啟動項c系統(tǒng)安全排查在Windows7操作系統(tǒng)中，點擊“開始”，選擇“控制面板”，打開“管理工具”后雙擊“任務(wù)計劃程序”功能，點擊“任務(wù)計劃程序庫”，當前的任務(wù)計劃中沒有發(fā)現(xiàn)異常。步驟6排查任務(wù)計劃系統(tǒng)安全排查按下“win+R”鍵打開“運行“功能后，輸入“services.msc”打開“服務(wù)”窗口，查看是否有異常啟動的服務(wù)，按照狀態(tài)為”已啟動“進行排序。在顯示的結(jié)果中觀察發(fā)現(xiàn)，RemoteDesktopServices服務(wù)處于自動開啟狀態(tài)，說明存在遠程連接。NetworkLocationAwareness服