一、概述
在进行了初步的应急响应后,我们会得到可疑的恶意代码、日志文件、可能还有其他的记录。这个时候,我们就要进一步对这些文件进行分析:对恶意代码进行逆向、分析日志文件、梳理入侵时间线和入侵路径等。本文为针对Windows日志进行的分析取证。
二、Windows日志简介
Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下,主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。
这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%system32services.exe)启动并管理。
 |
常用日志:
1.系统日志(System.evtx)
系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。
 |
2.安全日志(Security.evtx)
安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。在安全日志里面筛选事件ID5156日志,可以看到本机在什么时候访问了其他服务器的3389端口。
 |
3.应用日志(Application.evtx)
应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。
查看日志:右键我的电脑-管理-系统工具-事件查看器,或win+r:eventvwr,查看”事件查看器”-“Windows日志”。
4. PowerShell日志
在执行任何PowerShell命令或脚本时,无论是本地还是通过远程处理,Windows都会将事件写入以下三个日志文件:
Windows PowerShell.evtxMicrosoft-Windows-PowerShell/Operational.evtxMicrosoft-Windows-PowerShell/Analytic.etl
*左右滑动查看更多
启用日志记录:
管理模板 -> Windows组件 -> Windows Powershell*左右滑动查看更多
 |
查看powershell日志:
win+r输入eventvwr,应用程序和服务日志 -> Microsoft -> Windows -> PowerShell
*左右滑动查看更多
 |
存储路径为:
%SystemRoot%System32WinevtLogsMicrosoft-Windows-PowerShell%4Operational.evtx*左右滑动查看更多
 |
事件ID:4104,记录执行powershell脚本完整内容,无法还原混淆后内容;
有一些用于控制 PowerShell 加载配置文件和运行脚本的条件,有助于防止恶意脚本的执行的策略:
RemoteSigned:
需要可信发布者对从 Internet 下载的脚本和配置文件(包括电子邮件和即时消息程序)进行数字签名才可运行脚本,不要求在本地计算机上编写的脚本(不是从 Internet 下载的)具有数字签名(默认设置);
AllSigned:
要求所有脚本和配置文件都由受信任的发布者签名,包括在本地计算机上编写的脚本;
Bypass:
没有任何内容被阻止,也没有警告或提示。
Restricted:
允许运行单个命令,但不允许运行脚本。
Undefined:
未设置执行策略,若所有作用域中的执行策略都是Undefined,则执行策略是Restricted。
Unrestricted:
未签名的脚本可以运行。
5. Windows远程管理日志
Windows远程管理(WinRM)日志记录了Windows远程管理服务的所有操作。
事件查看器-应用和程序日志-windows-Microsoft-Windows-Windows RM/Operational.evtx*左右滑动查看更多
远程管理日志主要存在以下文件:
Microsoft-Windows-Windows Remote Management/Operational.evtxMicrosoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational.evtxMicrosoft-Windows-TerminalServices-RemoteConnectionManager/Operational.evtxMicrosoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx
*左右滑动查看更多
三、 日志”登录类型”解析
当我们分析用户登录记录的时候就会发现,在Windows系统的安全日志中,有一个“登录类型”的说明。其实这个登陆类型就是记录了用户登录到Windows系统的方式,一般我们需要关注以下常见事件ID类型:1149 —— 用户认证成功。
4624 登录成功4625 登录失败,如果有人尝试破解系统密码,可以看到大量连续登录失败信息4726 删除用户4722 账号启用4725 账号禁用4723 修改密码4724 重置密码4634 注销成功4647 用户启动的注销4672 管理员登录4720 创建用户,使用系统漏洞攻击成功后,往往会创建一个用户,方便远程登录4732 加入安全组,常见于将新用户加入管理员组4733 移除出安全组4684 通过登陆界面登陆的
*左右滑动查看更多
 |
登录类型2:交互式登录(Interactive)
所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
场景:本地电脑登录、PSEXEC、KVM登录。
登录类型3:网络(Network)
当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
场景:IPC、WMIC、WinRM。
登录类型5:服务(Service)
在Windows系统中,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。
登录类型7:解锁(Unlock)
你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
场景:解锁。
登录类型8:网络明文(NetworkCleartext)
这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据笔者所知,只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
登录类型10:远程交互(RemoteInteractive)
当我们通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。场景:3389登陆、SharpRDP。
登录类型 11 :缓存登录(CachedInteractive)
缓存登录,主要针对域登录用户。在域中,使用域帐户登录到电脑时,需要域控制器进行验证,如果笔记本电脑临时带出,无法使用域控制器验证身份,Windows 缓存了最近 10 次交互式域登录的凭据的哈希值,当没有可用的域控制器时,系统会尝试使用这些哈希来验证身份。
用户变更日志:
C:WindowsSystem32winevtLogs一般重点关注security.evtx、setup.evtx、system.evtx这三个日志。
四、场景1:系统启动和登录日志
主机开机启动时会产生启动日志:
登录用户时产生的登录日志:
【事件ID 4776】计算机试图验证帐户的凭据。记录了登陆用户名、来源机器名。
【事件ID 4684】试图使用显式凭据登录。同样记录了登陆用户名、来源机器名、来源地址。
【事件ID 4624】登陆成功。登陆类型2,也就是在本地键盘上进行的登录。
【事件ID 4672】为新登录分配了特殊权限。记录了登陆用户名、登陆用户权限。
五、场景2:远程控制
IPC连接 登陆一次,登陆类型3PSEXEC 登陆两次,一次IPC连接、登陆类型3。一次模拟客户端登陆,登陆类型2WMIC 登陆四次,登陆类型都为3WinRMI 登陆一次,登陆类型3SharpRDP 登陆两次,一次登陆类型3,一次登陆类型10
*左右滑动查看更多
以IPC连接登录为例:
此时已经成功建立IPC连接,既然涉及到账号密码的登陆,就需要查看安全日志:
有两条【事件ID 4625】记录,为帐户登陆失败,与我们的操作符合,然后是登陆成功的,登录一次产生3条日志。这里与场景1对比,就少了一个【事件ID 4648】,因为我们不是通过登陆界面进行登陆的。
【事件ID 4776】计算机试图验证帐户的凭据。记录了登陆用户名、来源机器名。
【事件ID 4672】为新登录分配了特殊权限。记录了登陆用户名、登陆用户权限。这里就不截图了。
【事件ID 4624】登陆成功。
这里记录了:
登陆的用户名:Administrator登录类型:3 网络(Network)来源主机名:FOXYU_PC来源IP:192.168.80.1
六、推荐日志分析工具
LogParser 工具可以快速分析日志情况。这个工具主要是通过解析logparser查询出来的数据,所以第一步就是去微软官方下载一个logparser日志查看工具。安装就是直接全部下一步就可以了。
下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
*左右滑动查看更多
LogonTracer是一款用于可视化分析Windows安全事件日志寻找恶意登录的工具。它会将登录相关事件中找到的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来。通过这种方式,可以看到哪个帐户中发生过登录尝试以及哪个主机被使用。基于此研究,该工具可以可视化与Windows登录相关的上述事件ID。
项目地址:https://github.com/TheKingOfDuck/logonTracer
*左右滑动查看更多
往期回顾
原文始发于微信公众号(安恒信息安全服务):九维团队-青队(处置)| Windows主机日志分析
