转摘Windows系统日志分析——工具篇
前言:
针对Windows主机的应急响应,系统日志分析必不可少。那有什么需要注意的点或者好用的自动化解析工具呢?
安全性日志
其包含各种类型的登录日志、与主机连线日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件等。安全日志是Windows系统日志分析中最重要的日志。
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-23a9aef5933afd49.png)
日志分析:
对于Windows事件日志分析,不同的Event ID代表了不同的意义。比如常见的安全事件ID,4624代表登录成功、4625代表登录失败、4634代表用户注销。
一般来说,安全性日志都会有成千上万条,若不能想要分析的时间段,要以人工方式一一查看,那是一件很痛苦的事情。若能采用视觉化图形显示方式进行分析,比如通过excel或者html,再就重点事件排查,才是事半功倍的方法。
利用工具:
0x01 LogonTracer:
LogonTracer是一个图形化事件日志分析工具,此工具是基于Python所撰写的开源工具,并使用Neo4j作为图形数据库。此工具会将登录事件的主机名称与帐户名称用图形化表示并且对应其关联。
项目地址:[https://github.com/JPCERTCC/LogonTracer](https://links.jianshu.com/go?to=https://github.com/JPCERTCC/LogonTracer)
- 安装过程(以Kali为例):
1、安装neo4j
apt-get install neo4j2、修改配置文件,如下图所示:
vi /etc/neo4j/neo4j.conf[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-145c8bb0e62b00e9.png)
3、启动neo4j,首次登录并修改密码:
neo4j console
http://localhost:74744、下载仓库至本地,安装pip包依赖:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r LogonTracer/requirements.txt5、启动 LogonTracer:
python3 logontracer.py -r -o [端口] -u [用户名] -p [密码] -s [IP 地址]- 导入evtx后,查看效果:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-0e60f4c64cc1cd7d.png)
- 优点:界面简洁,能针对主机与帐号的登录与验证进行分析,并以视觉化分析方式呈现,让使用者可以快速掌握系统登录状况
- 缺点:当日志量庞大时,要进行分析相当不易,分析所需要的时间较多。细节信息相对较少
0x02 FullEventLogView:
FullEventLogView官方版是一款查看Windows事件日志的工具,包括事件描述,支持查看本地计算机的事件、也可以查看远程计算机的事件,并可以将事件导出为text、csv、tab-delimited、html、xml等类型的文件。
我们可以将所要分析的日志都放入在同一文件夹,
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-ea3d4fbc35a4c9c9.png)
可以自定义从时间、事件ID、事件等级等去筛选日志:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-d1ab23efd603ca36.png)
还可以通过excel表格和HTML的方式查看日志:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-5613b6111de3534a.png)
优点:具有强大的筛选功能,能够以HTML和EXCEL格式展示数据
缺点:当数据量较大时,生成的excel文件大小会达到几十M;excel表格中的日志时间没有具体的日期,事情描述太过详细,看起来会很费劲
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-91b0afca71f91254.png)
0x03 windodws-logs-analysis:
项目地址:[https://github.com/dogadmin/windodws-logs-analysis](https://links.jianshu.com/go?to=https://github.com/dogadmin/windodws-logs-analysis)
可以快速的进行一些日志分析,使用的时候需要管理员权限:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-38f4c3f528f7da76.png)
案例:
遥想去年4月,安全设备报警某办公电脑不定时在爆破域控,并且客户告知去年也发生了同样的情况,也是同样的IP,于是从域控拷贝系统日志进行分析,筛选事件ID4625:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-b6214044d526648a.png)
从日志信息来看,登录用户名为Administrator,登录类型为3,状态码为0xC000006D,子状态码为0xC000006A,验证方式为NTLM
通过登录类型判断为网络登录,通过状态码判断因使用错误的密码而登录失败。然后为了判断是否为爆破行为,找到那台办公电脑使用wireshark进行全天数据抓包:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-f698cc6e381ce6ac.png)
提取NetNTLMv2 Hash,然后利用hashcat还原密码:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-f8402d5709747212.png)
通过抓包还原的密码发现都是同一个,正常来说,如果是爆破行为,那密码肯定不一样,谁会闲着爆破同一个密码呢,后跟客户沟通得知该密码为域账号密码。最后猜测可能是这台办公电脑退域的时候没有退干净导致的,后续请运维人员进一步确认发现确实如此
自动化解析脚本编写:
打算用py写一个自动化解析脚本,最后会生成一个excel表格,包括事件记录时间、事件ID、源地址、目标主机、用户名、验证方式、进程、事件描述、登录类型和备注这十列
事件描述、登录类型与备注需要通过json文件来进行映射:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-4c9fbfd4f1c9e0c1.png)
最终实现效果:
[图片地址]:(https://upload-images.jianshu.io/upload_images/21474770-55b0ac960bef066b.png)
解锁登录和远程登录一样,成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录,如下图所示,从中可以看到ID为4624,审核成功,登录类型为7(Unlock)
参考如下:
[4625(F) 帐户登录失败。 (Windows 10) - Windows security](https://links.jianshu.com/go?to=https://docs.microsoft.com/zh-tw/windows/security/threat-protection/auditing/event-4625)
[[MS-ERREF]: NTSTATUS Values | Microsoft Docs](https://links.jianshu.com/go?to=https://docs.microsoft.com/zh-cn/openspecs/windows_protocols/ms-erref/596a1078-e883-4972-9bbc-49e60bebca55)
[二刀流Windows日志分析精准掌握资安蛛丝马迹](https://links.jianshu.com/go?to=https://www.netadmin.com.tw/netadmin/zh-tw/technology/84E5EAA4BC494BB6A4B15607E62418A0)
[Windows登录日志详解](https://links.jianshu.com/go?to=https://blog.51cto.com/zhulinu/1859041)
```
===========================
【来源: 简书】
【作者: book4yi】
【原文链接】 https://www.jianshu.com/p/728f503a2398
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。
```