蓝队应急响应姿势之Windows

Windows 环境下蓝队应急响应需快速定位威胁、控制影响并恢复系统安全。以下是系统化的操作流程与技术要点，结合实战场景整理：

系统基础信息
- 执行 systeminfo获取 OS 版本、补丁状态、运行时长，识别未修复的高危漏洞（如永恒之蓝对应的 MS17-010）。
- 通过 msinfo32查看硬件配置和加载驱动，排查异常模块。
用户与权限
- 显性账户：net user和 lusrmgr.msc检查新增账号（如伪装成 "$system" 的克隆账户）。
- 隐藏账户：
  - 注册表路径 HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\Names对比用户数量。
  - 使用 wmic useraccount get name,Sid检测 SID 重复的克隆账号。
- 特权组：net localgroup administrators确认管理员组权限归属。
进程与网络
- 可疑进程：
  - tasklist /svc查看进程关联服务，结合 netstat -ano定位异常 ESTABLISHED 连接（如外联 C2 服务器的 443 端口）。
  - 高 CPU/内存占用进程用 Process Explorer分析线程栈和 DLL 注入。
- 端口映射：netstat -anob显示进程 PID 及路径，排查 C:\Windows\Temp下的恶意二进制文件。

自启动项
- 注册表：检查 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的异常值（如伪装的 "Update" 任务）。
- 系统目录：扫描启动文件夹 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup中的快捷方式或脚本。
- 服务：services.msc查看服务属性，重点检查 "ImagePath" 指向非常规路径的服务。
计划任务
- schtasks /query /fo LIST /v列出任务详情，关注以 SYSTEM 权限运行的异常任务（如定时下载 PowerShell 脚本）。
- 图形化检查：taskschd.msc查看任务操作中的命令参数。
WMI 与 DLL 劫持
- 使用 Autoruns检查 WMI 订阅和 AppInit_DLLs 键值，排查无签名的 DLL。

文件系统痕迹
- 时间反序：dir /tc查看文件属性，若修改时间早于创建时间（常见于 Webshell 篡改）则标记可疑。
- 临时目录：检查 %TEMP%和 %AppData%下的 PE 文件（如 svchost.exe的恶意变种）。
- Recent 文件夹：%UserProfile%\Recent分析近期访问文件，定位攻击者操作痕迹。

日志深度挖掘

安全日志（Event ID 筛选）：

本地化扫描工具
- D 盾：检测 Webshell 和隐藏账户，支持注册表深度扫描。
- 火绒剑：分析进程行为链，追踪恶意代码注入。
- Autoruns：全面检查自启动项、驱动、浏览器插件。
在线沙箱与威胁情报
- 上传可疑文件至 VirusTotal 或 微步云沙箱，获取多引擎检测报告和关联 APT 组织情报。

立即隔离
- 断网：禁用网卡或防火墙阻断出站（netsh advfirewall set allprofiles state on）。
- 进程冻结：暂停恶意进程（taskkill /PID <pid> /F），避免触发自毁机制。
清除与恢复
- 删除持久化项：清理注册表、任务计划中的恶意条目。
- 补丁修复：针对漏洞部署热补丁（如未打补丁的 ZeroLogon）。
- 备份还原：使用 Veeam 从干净备份恢复加密数据。
加固措施
- 关闭高危端口：禁用 135/445 等端口（netsh firewall set portopening TCP 445 disable）。
- 强化认证：启用 LAPS 管理本地管理员密码，配置网络级别身份验证（NLA）。