某合作伙伴在分析Windows系统日志时,大多只分析恶意登录事件,是否可以从系统日志中找到其他入侵痕迹?
答案确实是可能的。 攻击者获取webshell时,会以各种方式执行系统命令。 所有web攻击行为都保留在web访问日志中,执行操作系统命令的行为也存在于系统日志中。
不同的攻击场景会留下不同的系统日志痕迹,不同的Event ID表示不同的含义。 为了分析攻击者在系统上留下的攻击痕迹,需要重点关注一些事件ID。
通过一个攻击案例进行windows日志分析,从日志中识别攻击场景,发现恶意软件的运行痕迹,恢复攻击者的行为轨迹。
1、信息收集
攻击者获取webshell权限后,会尝试查询当前用户权限,并收集系统版本和修补程序信息以帮助提高权限。
whoami system info http://www.Sina.com /
本地安全策略要求打开审核流程跟踪,以跟踪流程的创建/终止。 关键流程跟踪事件和说明,包括:
4688创建新进程4689进程结束在LogParser中进行简单过滤以获取Event ID 4688。 这意味着创建新进程的列表将找到用户Bypass,然后调用cmd执行whami和系统信息。 Conhost.exe进程主要为命令行程序(cmd.exe )提供图形子系统等功能支持。