0X00背景

闲来无聊排查流量设备,啥攻击都没有!!!那就看哈流量设备的日志

dport:"445"
dport:"3389"
dport:"22"

在排查3389时候。。怎么发现有外网RDP内网IP。

然后我赶紧问了下现场的运维,很好没有映射3389到外网IP。

紧接着我就向他们要来了外网IP,然后我自己排查:

1619085088100

我的个姑奶奶,气煞我也!

然后赶紧让他们关了外网的端口映射,然后上机子排查!

0X01应急开始

下面就是基础的Windows应急响应了:

先是查看用户有哪些:

query user 查看在线用户
net user 查询存在哪些用户  但是看不到隐藏用户

没什么异常,regedit打开注册表。

到HKEY_LOCAL_MACHINE\SAM\SAM下面。但是看不到这下面的文件呢。

根本点不开像这样一样:

1619085255737

下面压根没有分支了咋个排查隐藏用户。

哎呀我去要用管理员身份运行注册表!!!!

\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\

然后就可以看到有哪些用户了。

只有administrator和guest用户。。不过guest用户不应该被禁用吗。

猜测是否删除了隐藏用户。去到C:\Users目录下看是否存在用户的桌面。。

搞忘了。用户都没了其对应的桌面肯定也没了。

随即排查下网络连接。一如既往的正常连接。唯一有一个mmc.exe跟很多内网机器进行3389连接。

查了下:

mmc.exe是系统管理程序的一个框架程序。OK够了应该是正常的。

然后就是tasklist。没有恶意进程。

紧接着排查下计划任务:

schtasks

也没有恶意的计划任务。

最后实在没得法。因为在流量监控设备上看到的有对应时间的RDP。所以长枪直入打开了日志管理器:

1619085799187

打开之后我重点看的安全日志。对照流量设备上的时间看那段时间的登录信息。

这儿记录下,事件ID4624登录成功,4625登录失败:

1619085909514

但是在排查登陆用户的时候我发现了很多SYSTEM用户登陆成功。一开始我怀疑是提权成功后才有SYSTEM用户登录,直到我看了下自己的电脑:

1619085959272

我这儿才反应过来很多系统进程也会被记录一次登陆成功的事件。所以排除这一个猜忌。

然后就是连接刚刚说的找对应时间外网IP的登录,发现都是administrator用户的登录。后头和运维人员联系了该IP的使用人员才得知他们私自开放了外网映射然后有远程的业务。随即我向他们确认了下administrator用户的密码是否安全后。终止了这一次应急。只有暂时认为这是一次正常的事件了。

0x02后续

后续的话继续看流量设备的日志排查这个主机的IP是否对其他内网主机有恶意行为。最后没有发现恶意行为,可以稍微放心一点了。收工!!!