Эта статья посвящена реагированию на инциденты в системах Windows. Используя данную информацию, человек может обнаружить большое количество атак на первичном уровне. Расследование проводится для получения любых цифровых доказательств.
Что такое реагирование на инциденты?
Реагирование на инциденты можно определить как последовательность действий, предпринимаемых при возникновении инцидента компьютерной или сетевой безопасности.
Это своего рода события безопасности, которые могли произойти из-за:
- Несанкционированного использования системных привилегий и конфиденциальных данных;
- Сбоя системы или похищения пакетов;
- Наличия вредоносного ПО или любой другой хакерской программы.
Учетная запись пользователя
При реагировании на инциденты очень важно исследовать активность пользователя. Это нужно для определения наличия какой-либо подозрительной деятельности с учетной записи пользователя или получения каких-либо ограниченных разрешений, предназначенных только пользователю. Проверив учетную запись, человек может получить ответы на такие вопросы, как какой пользователь в данный момент вошел в систему и какая у него учетная запись.
Способы просмотра учетных записей пользователей следующие:
Чтобы проанализировать записи локального пользователя в GUI, следует нажать на кнопки «Windows+R», затем ввести данную комбинацию символов и знаков:
lusrmgr.msc
Теперь человек нажмет на кнопку «ОК». После этого он сможет увидеть учетные записи пользователей и их описания.
Чтобы увидеть учетные записи пользователей системы и их типы, необходимо запустить командную строку от имени администратора и ввести команду:
net user
Имя Net localgroup используется для управления локальными группами пользователей в системе. С помощью этой команды администратор может добавлять локальных или доменных пользователей в группу, удалять их из группы, создавать новые группы и удалять существующие.
Следует открыть командную строку, запустив ее от имени администратора, затем ввести следующее:
net localgroup administrators
Это делается для того, чтобы увидеть локальные учетные записи пользователей, их имена, если они подключены, и описание. Нужно теперь запустить PowerShell от имени администратора:
Get-LocalUser
Процессы
Чтобы увидеть список всех процессов, запущенных в системе, человек может использовать для этой цели команду «tasklist». Введя ее, пользователь способен получить список процессов, использующих память, их время выполнения, имена файлов изображения, запущенных служб.
Для просмотра процессов можно использовать следующие методы: чтобы проанализировать уже запущенные процессы в графическом интерфейсе, следует нажать на кнопки «Windows+R», а затем ввести следующее:
taskmgr.exe
Теперь пользователь нажмет на кнопку «ОК» и сможет увидеть все запущенные процессы в его системе, а также проверить, есть ли какой-либо ненужный запущенный процесс.
Чтобы увидеть все запущенные процессы с их идентификаторами (PID), именем сеанса и объемом используемой памяти, надо запустить командную строку от имени администратора и ввести:
tasklist
Чтобы получить список всех активных процессов, запущенных на локальном компьютере, нужно открыть PowerShell от имени администратора и ввести следующее:
get-process
Система Windows обладает чрезвычайно мощным инструментом с командой инструментария управления Windows (WMIC). Wmic очень полезен, когда речь заходит о реагировании на инциденты. Этого инструмента достаточно, чтобы заметить некоторые аномалии в системе. Эта команда может использоваться как в командной строке, так и в PowerShell при запуске от имени администратора. Синтаксис wmic process list full.
После того, как человек определит, какой процесс отвечает за странную сетевую активность, нужно получить более подробную информацию об идентификаторах «родительского» процесса, его имени. Необходимо открыть PowerShell от имени администратора и ввести следующее:
wmic process get name,parentprocessid,processid
Чтобы получить путь к процессу Wmic, пользователь откроет PowerShell и введет:
wmic process where 'ProcessID=PID’ get CommandLine
Службы
Чтобы определить, есть ли в системе пользователя какая-либо аномальная служба или какая-то из них работает неправильно, он может просмотреть все свои службы.
Чтобы просмотреть их в графическом интерфейсе, нужно нажать на «Windows+R» и ввести:
services.msc
Теперь человек нажмет на кнопку “ОК”, чтобы увидеть весь список процессов.
Чтобы просмотреть весь список служб, запущенных в данный момент в своей системе, надо открыть командную строку от имени администратора и ввести следующее:
net start
Чтобы посмотреть, работает ли служба, и получить более подробную информацию, такую как ее имя, отображаемое имя, следует ввести:
sc query | more
Если пользователю нужен список запущенных процессов со связанными с ними службами в командной строке, он откроет командную строку от имени администратора, а затем введет:
tasklist /svc
Планировщик задач
Планировщик задач — это компонент Windows, который предоставляет возможность планировать запуск программ или любых скриптов в заранее определенное время или через заданные промежутки времени. Пользователь может просмотреть эти запланированные задачи, иногда они имеют высокие привилегии и выглядят подозрительно.
Чтобы просмотреть планировщик задач в своем графическом интерфейсе, следует перейти по пути C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools и нажать на клавишу Еnter.
Чтобы просмотреть расписание задач в командной строке, нужно запустить ее от имени администратора и ввести:
schtasks
Начальные загрузки
Папка startup в Windows автоматически запускает приложения при входе в систему. Итак, как специалист по реагированию на инциденты, человек должен наблюдать за приложениями, которые автоматически запускаются.
Чтобы просмотреть приложения в меню запуска в графическом интерфейсе, нужно открыть Диспетчер задач и нажать на меню “Startup”. Таким образом, пользователь сможет увидеть, какие приложения включены и отключены при запуске. При открытии следующего пути будет получен такой же результат:
taskmgr
Чтобы просмотреть запускаемые приложения в PowerShell, нужно открыть программу от имени администратора и ввести:
wmic startup get caption,command
Чтобы получить подробный список приложений автозапуска в PowerShell, человек может открыть его от имени администратора и ввести:
Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List
Ключи реестра
Иногда, если есть присутствие вредоносного ПО, его можно найти, взглянув на ключи запуска реестра Windows. Для их просмотра пользователь может открыть редактор реестра.
Человек также может просмотреть реестр локальной машины в PowerShell, запустив его от имени администратора, а затем введя:
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Человек способен просмотреть реестр текущего пользователя в PowerShell, запустив программу от имени администратора и введя следующее:
reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Активные TCP и UDP порты
Как специалист по реагированию на инциденты, человек должен внимательно следить за активными портами TCP и UDP его системы.
Сетевая статистика системы может быть получена с помощью специального инструмента. Проверяются следующие критерии: входящие и исходящие соединения, таблицы маршрутизации, прослушивание портов и статистика использования. Нужно открыть командную строку и ввести:
netstat -ano
В PowerShell с помощью другой команды человек способен увидеть IP-адрес и локальные порты. Пользователь запускает PowerShell и вводит:
Get-NetTCPConnection -LocalAddress 192.168.0.110 | Sort-Object LocalPort
Совместное использование файлов
Как специалист по реагированию на инциденты, пользователь должен убедиться, что каждый общий файловый ресурс является подотчетным и безопасным, а также что нет ненужного общего доступа к файлам.
Чтобы проверить параметры общего доступа в командной строке, нужно ввести:
net view \\<localhost>’
Чтобы просмотреть общий доступ к файлам в PowerShell, можно ввести:
Get-SMBShare
Файлы
Чтобы просмотреть файлы, которые могут быть вредоносными или заканчиваться определенным расширением, человек может использовать команду “forfiles“. Forfiles — это утилита командной строки. Она идет в комплекте, начиная с Microsoft Windows Vista. В то время управление несколькими файлами через командную строку было трудной задачей, так как большинство команд выполнялось для работы с отдельными файлами.
Чтобы посмотреть файлы с указанием их пути в командной строке, следует ввести:
forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"
Чтобы просмотреть файлы без их пути и более подробной информации о конкретном расширении файла и дате его модификации, можно ввести следующее:
forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"
Чтобы проверить наличие файлов, измененных за последние 10 дней, пользователь введет:
forfiles /p c: /S /D -10
Чтобы проверить файлы, размером меньше 6 МБ, пользователь может воспользоваться полем поиска Проводника и ввести:
size:>6M
Настройки межсетевого экрана
Специалист по реагированию на инциденты должен постоянно обращать свое внимание на конфигурацию и параметры межсетевого экрана и регулярно поддерживать их в актуальном состоянии.
Чтобы просмотреть конфигурацию межсетевого экрана и входящий и исходящий трафик в командной строке, нужно ввести:
netsh firewall show config
Чтобы просмотреть настройки межсетевого экрана для текущего профиля в командной строке, следует ввести:
netsh advfirewall show currentprofile
Сеансы с другими системами
Чтобы проверить сведения о сеансе, созданном в других системах, нужно запустить командную строку и ввести:
net use
Открытые сеансы
Чтобы просмотреть все открытые сеансы системы и получить подробную информацию об их продолжительности, необходимо запустить командную строку и ввести:
net session
Записи журнала
Чтобы просмотреть записи журнала в графическом интерфейсе, пользователь может открыть средство для просмотра событий и проанализировать журналы. Нужно нажать на кнопки “Windows+ R” и ввести:
eventvwr.msc
Чтобы экспортировать определенные журналы или определенные события, следует ввести:
wevtutil qe security
Чтобы получить список журналов событий в PowerShell, нужно ввести:
Get-EventLog -List
Далее пользователь введет конкретное событие и получит более подробную информацию о нем.
Заключение
Следовательно, можно использовать эти команды, будучи специалистом по реагированию на инциденты, и держать свои системы подальше от возможных угроз.
Автор переведенной статьи: Jeenali Kothari
