在 Windows 系統上進行Incident Response 的重點
在這篇文章整理一下平時在 Windows 主機上進行 incident response (IR)時會注意的幾個重點。還是要提醒一下 IR 與鑑識是有差距的,其中差別會包含到在法院上證據力的呈現,如果要進行鑑識時,請找有通過驗證的實驗室進行,相關內容就不在這篇文章中說明。
在進行 Windows 主機上 IR 時主要可以分為以下幾個方向。
- Windows Event Log
- 帳戶
- 網路連線
- Process
- 啟動與Serveice
- 工作排程
- 檔案
- 註冊檔
檢查 Windwos Event Log
Windows提供日誌功能,將主機執行行為進行記錄。日誌記錄的內容受稽核原則的設定值掌控,除了預設開啟的內容,微軟有另行建議可開啟的稽核內容,可參考微軟建議-監控AD受駭跡證。
在 Windows Event Log 分析時可以檢查的幾個重點:
- 系統登出入 Log
- Process Log
- PowerShell Log
- Application Log
- 防毒軟體 Log
- 防火牆 Log
遠端登入事件
分析遠端登入事件可參考Tracking and Analyzing Remote Desktop Activity Logs in Windows
Process執行分析
分析Event ID 4688,可注意有沒有異常的parent process 呼叫行為。
GUI 的日誌工具
針對windows log除了使用預設的event viewer外,event log explorer 也是較多人使用的工具。
PowerShell 日誌操作
Windows 日誌刪除日誌集中化
攻擊者往往會在攻擊後將入侵軌跡刪除,平時能將 Log 集中保存與管理再利用SIEM建立關聯規則告警,不但可達到即時告警,事後也能有完整的資料可以取得,瞭解事件全貌。
檢查帳戶
- 可疑帳戶的建立
- 是否有帳戶權限異常
檢查網路連線
TCPView - 可看目前電腦中所建立的連線狀況,呈現即時資訊。
檢查重點
- 連線建立的 Process
- 來源位址
- 目標位址
- 連結埠
檢查Porcess
檢查啟動跟服務
檢查「工作排程器」
在搜尋中輸入「Task Scheduler」或「工作排程器」可以開啟在Windows上的排程,從中查找是否有異常的排程內容。
使用 PowerShell 查詢
檢查檔案
- 確認檔案的MAC時間
- 檔案的動靜態分析
檔案的異動絕非一般使用 Windows 檔案總管來確認(當然要是可以直接看出來也很好),請取得MFT檔來分析。
檢查註冊檔
windows 註冊檔的資料夾位置%SystemRoot%\System32\Config
其他
除了Windows提供的工具外,最近發現osquery是一個相當不錯的工具,可利用他Standalone的版本來對主機進行query,取得上述所需要的資料。