系统安全事件日志取证工具:Logon Tracer

admin 2021年3月9日08:20:27评论356 views字数 2714阅读9分2秒阅读模式

系统安全事件日志取证工具:Logon Tracer


一.前言
LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。此工具将在登录相关事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。这样,可以查看在哪个帐户中尝试登录以及使用哪个主机。(用于可视化分析恶意登录Windows系统的安全日志取证工具,以加强Windows系统服务器的安全。)


相关事件ID:
4624:成功登录
4625:登录失败
4768:Kerberos身份验证(TGT请求)
4769:Kerberos服务票证(ST请求)
4776:NTLM身份验证
4672:分配特殊权限


二.Docker的安装(docker)

1.开启docker服务:service docker start

2.拉取logontracer镜像:docker pull jpcertcc/docker-logontracer 

系统安全事件日志取证工具:Logon Tracer

3.运行镜像(其中LTHOSTNAME值对应修改为本地IP)

docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 -e LTHOSTNAME=192.168.233.222 jpcertcc/docker-logontracer

4.连接Neo4j数据库
浏览器访问http://[本机IP地址]:7474
访默认账号neo4j/neo4j,接着要求修改密码,输入新密码即可

系统安全事件日志取证工具:Logon Tracer

做到这一步时,可能会遇到即使正确输入默认密码后仍一直提示账号密码错误,这时可以修改neo4j.conf配置文件,取消验证机制,该文件在conf目录下

docker exec -it 32e0f2911d1e1 /bin/sh (其中7882c4e3dab1为容器ID号,通过docker ps -a可查看)

vi conf/neo4j.conf

找到文件内容:#dbms.security.auth_enabled=false
将前面的#号去掉,修改为dbms.security.auth_enabled=false

(重启镜像才生效,当前可以暂时不重启,因为下面还有需要重启的地方,到时一次重启即可。)

5.访问LogonTracer界面
此时,通过上述4步之后LogonTracer的Docker环境已经搭建好并可以正常运行,但是,我的防火墙默认禁止转发策略,访问不了8080页面,需要修改为允许转发

系统安全事件日志取证工具:Logon Tracer

系统安全事件日志取证工具:Logon Tracer

浏览器访问:http://[本机IP地址]:8080

系统安全事件日志取证工具:Logon Tracer

由于打开的页面中有2个JS文件调用的是远程网址,这2个网址由于一些原因在国内无法正常访问,所以,在通过浏览器访问首页后,点击“Upload Event Log”按钮是无反应的,那就无法上传日志文件,这就是需要解决的坑
第一处JS:
解决办法:直接修改系统的hosts文件,手动将域名cdn.rawgit.com解析到151.139.237.11上,该网址就可以正常访问了

执行命令:vim /etc/hosts然后在hosts文件中添加一行:151.139.237.11 cdn.rawgit.com

系统安全事件日志取证工具:Logon Tracer

第二处JS:
解决方法:进入Docker镜像编辑index.html模板文件
执行命令:

docker exec -it 32e0f2911d1e /bin/sh (其中32e0f2911d1e为容器ID)

进入Docker镜像的终端内执行命令,编辑模板文件:

vi /usr/local/src/LogonTracer/templates/index.html

将https://ajax.lug.ustc.edu.cn/ajax/libs/jquery/3.2.1/jquery.min.js修改为

https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js

系统安全事件日志取证工具:Logon Tracer

6.重启Docker镜像

docker restart32e0f2911d1e (其中32e0f2911d1e为容器ID)

7、再次访问LogonTracer界面
点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击“Browse”选择日志文件,然后点击“Upload”,进行上传。这时候就完美解决了上传按钮点不了的问题了

系统安全事件日志取证工具:Logon Tracer

这样就已经成功运行并使用LogonTracer对日志文件进行分析了

系统安全事件日志取证工具:Logon Tracer

三.Logon Tracer的功能
1.在LogonTracer界面左侧,就是对日志文件进行分析的功能选项

系统安全事件日志取证工具:Logon Tracer

All Users:查看所有用户登录信息(一般登录类型3或10)
SYSTEM Privileges:查看管理员账户登录信息(登录类型3)
NTLM Remot Logon:查看NTLM远程登录信息(登录类型10)
RDP Logon:查看RDP远程桌面登录信息(登录类型10)
Network Logon:查看网络登录信息(登录类型3)
Batch Logon:查看批处理登录信息(登录类型4)
Service Logon:查看服务登录信息(登录类型5)
Ms14-068 Exploit Failure:MS14-068漏洞利用失败信息
Logon Failure:查看登录失败信息
Detect DCsync/DCShadow:查看删除 DCsync/DCShadow信息
Add/Detect Users:查看添加/删除用户信息
Domain Check:域检查信息

Audit Policy Change:查看审计策略变更信息

2.在页面右侧,显示着用户及其重要性的等级

系统安全事件日志取证工具:Logon Tracer


对于此排名,LogonTracer会对事件日志图执行网络分析,并根据每个节点的“中心性”创建排名。中心性是指示每个节点与网络中心的接近度的索引。由于被攻击帐户用于对许多主机执行登录尝试,因此它们往往具有更高的中心性。因此,通过比较中心性,可以识别可能受影响的帐户/主机
对于每个节点,链接到主机(绿点)并带有一行账户信息(红/蓝)表示已使用主机登陆

红色:SYSTEM权限帐户
蓝色:标准用户帐户
绿色:主机/ IP地址

3.日志筛选过滤器

在界面顶部就是日志筛选过滤器,可以根据用户名、主机名和IP地址等对日志进行筛选

系统安全事件日志取证工具:Logon Tracer

也可以过滤显示时间段及事件ID,事件出现的次数

系统安全事件日志取证工具:Logon Tracer

4.创建时间轴
按时间顺序显示事件日志,以用户名及时间轴划分

系统安全事件日志取证工具:Logon Tracer

由于并非所有上述事件ID都使用默认设置进行记录,因此需要启用审核策略以保留此类日志,建议启用审核策略

5.Diff Graph(差异扩散图)
选择要比较额2个不同的时间日期,以图形化对其进行差异分析

系统安全事件日志取证工具:Logon Tracer

系统安全事件日志取证工具:Logon Tracer




系统安全事件日志取证工具:Logon Tracer


本文始发于微信公众号(连接世界的暗影):系统安全事件日志取证工具:Logon Tracer

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月9日08:20:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   系统安全事件日志取证工具:Logon Tracerhttp://cn-sec.com/archives/284832.html

发表评论

匿名网友 填写信息