★Windows NT/2000應急響應不完全指南

★Windows NT/2000應急響應不完全指南

*******************************
*author:ayazero               *
*mail:drdos@163.com           *
*homepage:overflow.nease.net  *
*team:www.ph4nt0m.net         *
*******************************

$MS每出一個大漏洞，什么webdav,rpc-dcom,搞機器一族就會馬上出動，在人們尚未反應過來之前，把盡可能多的機器占為己有。
即使是一般程度安全加固的系統也沒有對抗未知或潛在漏洞的能力，被搞定也是沒辦法的事。本文主要介紹如何應付此類突發事件。
應急響應有一半是非技術的內容，制定一個合理的響應策略是至關重要的！記?。含F在開始對受害系統的每一部操作都可能改變
已存在的證據或是導致敏感信息的丟失！

★Windows NT/2000應急響應不完全指南

*******************************
*author:ayazero               *	
*mail:drdos@163.com           *
*homepage:overflow.nease.net  *
*team:www.ph4nt0m.net         *
*******************************

$MS每出一個大漏洞，什么webdav,rpc-dcom,搞機器一族就會馬上出動，在人們尚未反應過來之前，把盡可能多的機器占為己有。
即使是一般程度安全加固的系統也沒有對抗未知或潛在漏洞的能力，被搞定也是沒辦法的事。本文主要介紹如何應付此類突發事件。
應急響應有一半是非技術的內容，制定一個合理的響應策略是至關重要的！記?。含F在開始對受害系統的每一部操作都可能改變
已存在的證據或是導致敏感信息的丟失！

==============
創建響應工具包
==============
如果API，DLL都被入侵者修改替換了，那么系統的輸出是不可信的。我們進行響應必須以高度可信賴的程序執行命令，
為了防止執行木馬命令，并且不改變受害系統上的重要信息，比如cmd.exe的最后訪問時間，我們應該用自己的工具集。
因為圖形界面[GUI]控制臺的操作往往會發生不可預料的結果，所以我們更偏向于使用命令行的工具。相對于UNIX而言，
因為不涉及不同體系結構及程序編譯的兼容性問題，所以這個過程是相對簡單的。
建議包括如下工具：
cmd.exe 	NT/2000命令解釋器
loggedon 	顯示遠程和本地連接的用戶
rasusers	顯示哪些用戶具有權限訪問NT工具箱命令(NTRK)
netstat		列出監聽端口
fport		端口進程關聯工具
pslist		列出運行進程列表
listdll		列出運行進程依賴的動態連接庫
nbtstat		列出最近10分鐘NetBIOS的連接
arp		顯示最后一分鐘連接的系統MAC地址
kill		中止進程,NTRK包含
md5sum		md5校驗和工具
rmtshare	顯示可訪問共享區的NTRK命令
nc/cryptcat	再熟悉不過的東西了:)
doskey		顯示cmd命令歷史工具
clearcase/" target="_blank" >cca.exe		檢驗克隆管理員賬號的工具
auditpol	審核策略命令行工具
reg		注冊表轉儲工具
regdump		將注冊表轉換成文本的工具
pwdump		轉儲SAM數據庫工具
ntlast		監視登陸成功和失敗的工具
sfind		檢測NTFS文件流隱藏文件的工具
dumpel		日志轉儲工具
......把你認為需要的都添加進去

======================
保存初始響應獲得的信息
======================
把現場信息保存在不易改變的介質上。比如用nc.exe將要保存的信息傳輸的另一個系統。在我們自己的系統上執行:
C:\>nc -l -p 666 > pslist.txt
在受害系統上執行:
D:\>pslist | nc 192.168.0.12 666
確認I/O完成時,用Ctrl+C中斷連接。如果需要非常嚴格的完整性確認,則需要用md5sum對這些數據校驗一次.

注意:響應期間不能隨意插拔網線,關閉或重啟系統,因為某些信息將在這些動作之后全部丟失,采取什么措施是
應該在響應之前就想好的,不至于在誤操作后后悔莫及!

==============
一些易失的數據
==============
系統日期和時間，用time;date獲??；
最近運行的進程列表，用pslist獲??；
最近打開的套接字列表，用netstat獲??；
與已打開套接字關聯的應用程序，用fport工具獲??；
當前登陸用戶列表，用loggeden工具獲??；
當前或最近與系統建立連接系統列表，用arp,nbtstat獲??；
可以制作如下批處理文件：
time /t
date /t
loggedon
netstat –an
fport
pslist
nbtstat –c
time /t
date /t
不排除你響應期間那個家伙還在活動。
確保自己正在使用安全的命令獲取數據，使用開始菜單?運行：我們自己的cmd.

如果需要建立司法鑒定副本,可以使用Safeback,EnCase等流行工具創建該副本。
EnCase：http://www.guidancesoftware.com

============
獲取現場日志
============
使用NTRK的auditpol查詢系統中存在什么樣的審核策略。如果沒有就不必浪費時間了。
如果打開了系統的登陸和注銷審核，ntlast工具可以監視系統中所有成功和失敗的登陸。
NTRK的dumpel工具用于獲取日志。例:
確定日志系統	A:\>auditpol
  	列出遠程系統的成功登陸	A:\>ntlast -r
  	轉儲安全日志 A:\>dumpel -l security -t 

==========
注冊表操作
==========
以下操作的項目包括需要獲取的系統重要信息，攻擊者可能修改的地方，以及為后續操作的所作的查詢等。
可以把以下內容保存為腳本使用。
reg query"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList"
reg query"HKLM\SAM\SAM\Domains\Account\Users\Names"
reg query"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
reg query"HKLM\Software\SYSTEM\ControlSet001\Control\ComputerName\ComputerName"
reg query"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CSDVersion"
reg query"HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonLegalNoticeText"
reg query"HKLM\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown"
reg query"HKlM\System\CurrentControlSet\Service\LanmanServer\Shares"
reg query"HKCU\Software\Microsoft\Office.0\PowerPoint\RecentFileList"
reg query"HKCU\Software\Mircosoft\Windows\CurrentVersion\Explorer\RecentDocs"
reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\RunService"
reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce"
reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\load"
reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\Run"
reg query"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit"
reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\RunService"
reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce"
reg query"HKCU\Software\Microsoft\Telent\LastMachine"
reg query"HKCU\Software\Microsoft\Telent\Machine1"
reg query"HKCU\Software\Microsoft\Telent\Machine2"
reg query"HKCU\Software\Microsoft\Telent\Machine3"
reg query"HKLM\Software\Mircosoft\Windows NT\CurrentVersion\CSDVersion"

================================
獲得所有文件修改，訪問，創建時間
================================
例:
dir /t:a /a /s /o:d c 	C盤所有文件訪問時間的遞歸列表
dir /t:w /a /s /o:d d 	D盤所有文件修改時間的遞歸列表
dir /t:c /a /s /o:d e 	E盤所有文件創建時間的遞歸列表
以上列表在后期分析中會非常有用。

===================
確保獲取admin的密碼
===================
現場響應可能遇到令你尷尬的事情，必要時用pwdump轉儲SAM后用LC4破解，
或者用chntpw離線密碼編輯器直接修改密碼。Chntpw是個linux程序，允許瀏覽和改變
NT/2K的SAM數據庫的密碼。
Chntpw：http://home.eunet.no/~pnordahl/ntpasswd/

========
內存轉儲
========
RAM中可能存在非常重要的證據，關于內存轉儲的具體內容，請訪問以下URL:
NT-->http://support.microsoft.com/support/kb/articles/Q235/4/96.ASP
2000-->http://support.microsoft.com/support/kb/article/Q254/6/49.ASP

==================
線索可能存在的地方
==================
通常需要注意以下幾個方面：
核心結構的中不穩定數據
零碎空間；可以從先前刪除且不能恢復的文件中獲得信息 
空閑或未分配的空間，可以從中找到被刪除的文件
被損壞或難以訪問的簇
邏輯文件系統
事件日志
注冊文件
不是由Windows Event Log Service管理的應用程序日志
交換文件:pagefile.sys
特殊應用程序文件，比如瀏覽器緩存
應用程序臨時文件
回收站
打印機緩存
收發的郵件

================
鑒定受害系統映像
================
如果有條件，盡量不要在原介質上直接操作，原因就是盡量不破壞原始數據。
可以選擇在Win9x中用NTFSDOS查看，或者在Linux中裝入原映像，并且以只讀方式安裝：
[root@ay4z3ro foo]# mount -t ntfs -r /dev/hdb /mnt/checkdevice
用Samba建立共享后再用客戶端連接做查詢分析。

================
檢查所有相關日志
================
NT/2K維護三個獨立日志文件：系統日志，應用程序日志，安全日志。
檢查這些日志獲得以下信息:
訪問特定文件的用戶，
成功登陸系統的用戶，
試圖登陸系統但沒有成功的用戶，
特定應用程序的使用，
審核策略的變更，
用戶權限的變化.
安全日志事件ID:
NT-->http://www.microsoft.com/technet/support/kb.asp?ID=174074
2000-->http://www.microsoft.com/windows2000/library/resources/reskit/ErrorandEventMessages/default.asp
NT/2000默認沒有配置安全事件的日志審核，如果系統管理員沒有自行添加策略，真的只能說是一大遺憾? 
檢查IIS日志，例如：\winnt\system32\logfiles\w3svc1
除此以外還要查看諸如以.log結尾的其他日志。
大多數入侵者都會修改或刪除日志，理論上也能做得很干凈，但是說起來簡單的事往往真正動手時就會有各種各樣的問題，懶惰，
疏忽或者是由于用了跳板來攻擊而自覺清高，多多少少就給我們留下了抓他們尾巴的證據。尤其是在某個家伙在趁熱打鐵的作
“批量生產”時，這種問題就更加明顯。

==========
關鍵字搜索
==========
針對某個具體事件，可能會有一些ID,phrase與此事件密切相關，執行關鍵字搜索可以找到更多的信息。
關鍵字可以是很長的ASCII字符串，包括攻擊者后門密碼，用戶名，MAC地址或IP.Encase軟件提供一種物理層次的字符串搜索功能。

============
檢查相關文件
============
例如：臨時文件，高速緩存文件，跟蹤最近使用文件的注冊文件，回收站和許多存儲運行時期數據的其他位置

====================
確定關鍵性事件的日期
====================

首先確定事件發生的時間范圍，然后根據重要文件的改動，日志中的掃描和攻擊行為時間受害者的報告等確定事件發生的最小時間范圍。
使用ntfsflst工具可以列出目標驅動器所有的目錄和文件，以及它們的最近訪問時間，修改時間和創建時間。同時還提供md5校驗功能。
如果前端還有IDS,Firewall記錄，調整IDS系統時間與受害系統時間一致，然后可以做同步分析。
找出突發事件前后創建和被修改的文件可能會有驚喜地發現哦！

================
恢復被刪除的文件
================
使用修復工具：
NTFS文件系統上使用的恢復工具是：
File Scavenger：http://www.quetek.com/prod01.htm

還原回收站：
檢查回收站X:\RECYCLER\目錄下有個以SID(安全標識符)為目錄名的隱藏子目錄下的內容該文件夾下有個隱藏文件info是個二進制文件，
保存了被刪文件的真實文件名，時間/日期到RECYCLER目錄的映射,可以使用EnCase,Internet Explorer History Viewer等軟件查看該文件。

恢復.tmp文件：
很多應用程序都生成臨時文件，檢查所有擴展名為.tmp的文件。

檢查注冊表Unistall Registry子鍵

============
檢查交換文件
============
HKLM\System\CurrentControlSet\Session Management\ClearPageFileAtShutdown
0表示關閉系統時交換文件不會被覆蓋，
1表示關閉系統時所有非活動頁面都會被0覆蓋，
交換文件大部分內容為二進制格式，可能沒什么大用，對交換文件執行字符竄搜索可能會找到有用信息。

================
檢查快捷方式文件
================
使用NTRK的chklnks.exe檢查那些曾經安裝卻找不到的文件。查看"C:\Document and Setting\Username\我最近的文件\"下指向
最近打開文件的快捷方式,該目錄為隱藏目錄。

如果必要還可以使用低層工具恢復文件系統。

========================
鑒定未授權的用戶帳號和組
========================
檢查現存賬號中的非法用戶；
用NTRK中的userstat檢查域控制器中所有的域賬號，尋找可疑的項目；
檢索安全日志中ID為624，626，636，642的項目，分別為：添加新賬戶，啟用賬戶，改變組，改變用戶；
用net user命令可以查看用戶最后登陸時間等信息；
用CCA.exe工具檢查賬號是否被克隆過；
檢查\winnt\profile\目錄，如果賬號存在而以該帳號命名的子目錄不存在，則該帳號還沒有登陸過系統，
如果用戶目錄存在而該帳號不在用戶列表中，則說明用戶ID曾經存在而已被刪除，
檢查HKLM\SOFTWARE\Mircrosoft\Windows NT\CurrentVersion\ProfileList下的SID值，跟蹤被刪除的ID。

============
鑒定非法進程
============
使用NTRK的pslist命令列出進程表，listdlls工具將提供運行中進程的完整命令行參數，fport顯示端口與進程的關聯，
用殺毒軟件掃描后門程序，用嗅探器分析異常的通信流量并找出與之對應的進程，以上操作要求對NT/2000的基本進程非常熟悉，
否則識別過程將變得很困難。

==================
找出異?；螂[藏文件
==================
NTFS文件流特性可能被用于隱藏惡意文件，示例：
C:\>cp trojan.exe some.jpg:trojan.exe
刪除原來的trojan.exe，這樣trojan.exe就被隱藏了，cp為NTRK命令。
用sfind或Streams工具可以找出被隱藏的文件，
另外EnCase在打開文件時會自動識別流文件。

================================
檢查守護進程，遠程控制和遠程訪問
================================
NT自身不提供遠程命令行訪問的能力，而2000自帶一個telnet服務器（后來還有SSH服務器）。
檢查所有外部可訪問入口：文件共享和管理共享(安全日志中匿名訪問共享的事件ID為528)，終端服務，SQL，telnet服務或后門，
第三方ftp守護進程比如Serv-U，web服務，VNC,PCAnywhere和木馬端口。

=====================
檢查Schedular Service
=====================
如果Schedular服務已經被打開，在cmd下簡單執行at命令即可查看計劃任務清單。

============
分析信任關系
============
NT支持不可傳遞或單向的信任，2000提供雙向或可傳遞的信任關系，如果該關系被利用，那么受害范圍將擴大，
此時受信任的系統也被認為是不安全的，并將其同時列入響應對象的范圍。
勘查系統弱點
	檢查各服務，應用程序及補丁的版本，對照bugtraq上已知的漏洞列表，查找系統弱點，從正面挖掘潛在的和可能被忽略漏洞。
這要求響應人員具有一個職業入侵者的相關技能！試圖扮演一個入侵者也能從中發掘對方是如何進入系統的。


工具相關鏈接
loggeden,pslist,listdlls,NTFSDOS,Streams
http://www.sysinternals.com

fport,afind,ntlast,sfind
http://www.foundstone.com

md5sum,cygwin.dll
http://www.cygnus.com

pwdump
http://packetstorm.security.com/Cracker/NT/pwdump2.zip

原文轉自：http://www.kjueaiud.com