文章目录
题目
题目如上图,我们的CEO的电脑在一次网络钓鱼攻击中被攻破。攻击者特意清除了PowerShell日志,所以我们不知道他们执行了什么。你能帮助我们吗?
Windows日志分析
下载所需文件,解压后可以看到一堆Windows事件日志文件.
由于题目已经告诉我们,Powershell日志被攻击者清除了,所以想从这些日志里面查找执行了哪些powershell指令。可以根据文件名过滤出含有powershell
的文件,如下:
如上图可看到文件名包含powershell
的文件共有4个,但其中的Microsoft-Windows-PowerShell%4Operational.evtx
文件的大小为5M多,其他几个都是差不多70KB,所以我们优先查看Microsoft-Windows-PowerShell%4Operational.evtx
。
evtx
文件在Windows下是有自带工具打开的,这个工具就是事件查看器。打开日志文件后,可以看到有"警告" 和 “信息” 两种告警级别的信息。我们这里优先观察 “警告” 级别的日志。
将"警告"级别的日志按照时间排序后,一开始我们就能看到使用PowerSploit 这款基于Powershell的后渗透工具的记录。
在事件ID为4104
的日志记录里,可以看到使用PowerSploit执行了很多后渗透的工作(因为目前笔者对Powershell不熟,所以无法分析出都做了些什么)。而在事件ID为4100
的日志记录里,可以看到使用了Mimikatz
这款工具,但被反病毒软件阻止了。
我们可以在事件ID 4104
的其中一条日志记录中找到flag: