我的主机是不是被gank了？Windows入侵排查初探

所以，凭什么说我的主机被入侵了呢？

0×01 红队渗透流程

知攻击才能懂防守，以作为攻击方的红队视角：作为攻击者，当你拿到主机的一般用户权限后你会做什么？那当然是收集信息，然后尽可能的获得更高的权限了

攻击手段有千万种，往往脱离不了以下规则：

1.尽可能的获取有用的信息。 –>敏感文件被访问

2.修改Windows相关配置以达到自身的目的。 –>系统配置被修改

先梳理一下渗透测试中常见的一些姿势：

那么以上流程，在蓝队的视角里就是如下情况：

收集信息：

执行cmd指令

执行powershell脚本，指令

提权：

进行程序调试（如：privilege::debug)

某系统进程内存占有率异常增加.

权限维持：

SAM文件被访问

lsass.exe 进程被调试

某些端口被进程打开/转发

注册表被修改

账户信息有变动

横向渗透：

进行远程登录/命令执行

与域内主机的通信流量增加

smb流量增加

后渗透

日志丢失

0×02 蓝队排查流程

作为蓝队，应该以怎样的思路判断自己的主机已经沦陷了呢？

以下为总结的一些常规操作：

着重分析一下这些操作的具体方法：

注册表排查 # 开机自启 HKCU:SoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce # winrm后门 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem # Logon Scripts后门 HKCUEnvironment # 服务项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 安全配置排查 # 检查防火墙策略 netsh firewall show config # 检查端口，进程连招 netstat -ano | findstr "[port]" tasklist | findstr "[pid]" # 检查系统安装的补丁 systeminfo