0x01 前言
本篇文章共3400字,完全阅读全篇约8分钟,州弟学安全,只学有用的知识
本次环境将从大赛内与实战环境相结合去了解在应急响应中Windows日志分析的几个关键点,符合大赛及真实环境案例,本次环境感谢Zeal大哥思路和灵感建议,本次环境中遇到的问题感谢0xE4师傅出手解决,本次环境将从WEB层面的日志分析到主机内的几种关键日志分析和重点功能进行排查
题目描述:某台Windows服务器遭到攻击者入侵,管理员查看发现存在大量rdp爆破的请求,攻击者使用了不同位置的IP(此处模拟),进行爆破并成功,并成功进入了系统,进入系统后又做了其它危害性操作,请根据各题目完成填写
* 本次环境仅供学习参考,答案不重要,重要的是思路
* 感谢转发、点赞、在看、收藏,您的每一次支持都是我更新的动力
镜像下载地址:
百度网盘: https://pan.baidu.com/s/1AR8nQaTFxhzvxONmLKQ0qQ
提取码:52zd
夸克网盘:https://pan.quark.cn/s/29851fc7aceb
提取码:8JeP
天翼网盘: https://cloud.189.cn/t/jQJbeu6ZBBzq (访问码:il8x)(不限速)
一定主要看下方注意事项和题目哦,镜像已上传至玄机平台,关注我后回复 '邀请码' 即可获取
系统: Windows 7
CPU: 2颗
内存: 2G
空间: 保证不低于5G
其它傀儡机: 段内
账号/密码: winlog/winlog123
注意: 远控软件内IP为虚拟IP,如在进行进程中没有找到相关外连,应该是由于连接超时造成的断开了,重启环境服务器或软件即可继续对外发起请求,请见谅
注意: 按照题目提示可以根据系统功能分析,或桌面工具进行辅助分析
注意: winlog用户在操作关于系统权限功能时,一定要使用管理员权限打开工具再去执行
如: cmd直接打开则可能无法进行操作系统权限性操作,需右击cmd-使用管理员权限打开,才可以,其它工具也如此
注意: 题目中shell如需在本地分析,提前关闭杀毒软件,会被杀掉,非免杀
题目:
1. 审计桌面的logs日志,定位所有扫描IP,并提交扫描次数
2. 审计相关日志,提交rdp被爆破失败次数
3. 审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交
4. 提交黑客创建的隐藏账号
5. 提交黑客创建的影子账号
6. 黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字
7. 提交远程shell程序的连接IP+端口,以IP:port方式提交
8. 黑客使用了计划任务来定时执行某shell程序,提交此程序名字
题目 |
答案 |
审计桌面的logs日志,定位扫描IP,并提交扫描次数 |
flag{6385} |
在桌面下有logs目录,目录中有access.log和error.log文件,这是nginx的日志,我们注意分析access.log,error是在服务出问题,比如出现500/502/504之类的故障才写入
观察其特征,127.0.0.1为本地IP,搭建后进行测试,192.168.150.1后面的url为业务站点IP(此处可以自行开启phpstudy进行测试)
接着就是192.168.150.33这个IP,通过url看到不正常的编码和后面的user-agent为nmap,判断这是傀儡机对web端口进行的web探测
再往下看就是192.168.150.67这个IP,最明显的特征就是WEB字典扫描,404的特征码以及各种漏扫特征,如ThinkPHP的payload
目前已知这两个IP为扫描特征,再往下看没什么特征了,而且这是在模拟,数据少,实战中这样看眼花也找不出来,所以此处我将access.log拖出来使用cmder进行查看,当然各位师傅也可以使用其它工具,比如脚本或者Linux命令进行排查,这里使用命令
awk '{print $1}' access.log | sort | uniq -c | sort
以IP的为基准进行排序,看到192.168.150.67扫描最多,我们将它和192.168.150.33进行相加得出共扫描次数为6395次
题目 |
答案 |
审计相关日志,提交rdp被爆破失败次数 |
flag{2594} |
通过事件日志进行查看,快捷键WIN+R输入 'eventvwr.msc' 进入事件查看,点击安全,可以看到账户类操作日志
然后根据要求进行筛选,事件ID为4625,可以看到登录失败次数为2594次
当然了,如果想要更好的分析,可以将当前筛选日志进行导出,我这里导出到了桌面
然后根据桌面准备的辅助工具 FullEventLogView 导入分析
导入后可以快速分析到对方爆破的IP地址,至于为啥有的请求没有IP,我怀疑是爆破工具的问题
题目 |
答案 |
审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交 |
flag{192.168.150.1&192.168.150.128&192.168.150.178} |
继续审核日志,登录失败日志ID为4625,而成功日志ID为4624,我们继续筛选,这里建议使用刚刚工具分析(这个问题在HVV面试时经常会被问到)
已知为164个事件,使用工具导入此日志文件,根据爆破时间,这里进行降序查看
然后根据分析,查看网络IP地址,排除本机IP,已知登录成功IP地址为
192.168.150.1&192.168.150.128&192.168.150.178
当然了,还有个更方便的方法,事件ID筛选为4648,表示用使用凭据登录,挨个查看会更方便
题目 |
答案 |
提交黑客创建的隐藏账号 |
flag{hacker$} |
黑客攻击者在登录winlog用户成功后,创建了隐藏账号,该账号在命令行是查询不到的
关于隐藏账号在用户组中可以查看到,快捷键WIN+R输入 'lusrmgr.msc',看到用户中hacker$以及属性及所属的组
这里的hackers$本是影子账户,我不知道为什么这里会看到,连续操作了两遍还是这样,但是无法在此处删除的
题目 |
答案 |
提交黑客创建的影子账号 |
flag{hackers$} |
影子账号真实环境中是无法在用户组/netuser/用户面板中看到,但是可以在注册表中看到并删除,快捷键WIN+R 'regedit'
注册表地址:HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames
下图为hackers$对应的权限值/组信息/映射关系及用户相关目录,操作删除后将不存在此用户信息
对这两个目录进行删除,再去刚刚的用户/组 查看将没有了
正常来讲,影子用户确实除注册表,其它地方看不到的,这里可能我操作有问题
当然了,在桌面Dsafe目录下有D盾工具,使用管理员权限运行后,可以快速查询到本系统中存在的影子用户和克隆账户
题目 |
答案 |
提交远程shell程序的连接IP+端口,以IP:port方式提交 |
flag{185.117.118.21:4444} |
在应急响应中应排查对外连接,这一步是必不可少的,使用netstat -nao查看到相应的端口状态,在后面看到可疑连接
由内对外连接,可拿着这个IP去查询到地区为国外的IP,如果说你没看到这个对外连接,说明连接超时了,因为对方本身就没开放这个端口,可重启环境后再次查看到,本身就为了模拟哈
在玄机包括实战中可看到不少的对外连接,这时候怎么排查呢,以玄机为例
1. 根据外联IP地址进行排查,在情报平台进行查询
2. 根据端口进行排查,通常大端口或有特殊意义端口要确认
3. 依次根据PID进行排查,这个下面会讲到
题目 |
答案 |
黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字 |
flag{xiaowei.exe} |
各位应该发现了,开机就外联了,这个时候我们应该联想到自启动,一般排查以下
1. C:UserswinlogAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
快捷命令:WIN+R shell:startup 将预自启动程序放入目录,会自启
2. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
注册表自启动:快捷键:WIN+R regedit 将绝对路径下程序进行字符串值保存会开机自启
3. 搜索计划任务,进入任务计划程序,查看相关启动程序
当然了,在排查这些之前,我们需要知道在跑的程序是哪个,已知PID为2924(注意:此处如果突然没有外连,则是超时,需重启环境,这个没办法,不能做到真上线)
tasklist | findstr "2924"
使用以上命令查看到启动的文件为xiaowei.exe,但是不知道绝对路径如何处置
wmic process get name,executablepath,processid | findstr 2856
通过以上命令可获取PID的执行文件绝对路径,看到目录在
当然了,我们也可以使用 netstat -naob查看进程的启动程序和端口
但是如需查看绝对路径的话还是按照上方方法,这里只是提供多一个方法排查参考
此时,我们继续按照上面思路排查自启动问题,看到自启动方法为注册表开机自启
将xiaowei.exe文件拖出来,拿到ida或者微步沙箱去看一下,明显的木马特征和Cobalt特征
包括到最后面的网络行为特征也能看到外联IP地址
题目 |
答案 |
黑客使用了计划任务来定时执行某shell程序,提交此程序名字 |
flag{download.bat} |
上面已经说了关于计划任务的一些排查思路,按照实战中,攻击队或黑客为了权限维持,不会只放一个远控工具,一般会埋雷进行启动计划任务,根据上方思路排查到,计划任务程序中存在的计划
在每天的晚上23点07会进行下载xiaowei.exe文件,点进去查看执行的程序,可看到执行绝对路径
查看这个bat脚本,最后得到执行全过程,确认下载了xiaowei.exe文件到相关目录,最后每次开机自启xiaowei.exe文件上线
本次环境依据多种实战环境+大赛进行复现,本次只学习其中排查思路,中间出现的一些问题可忽略过滤,有些地方无法做的太完美,希望各位理解,再洗感谢Zeal大哥提供的灵感和思路建议以及0xE4师傅的及时出手解决问题,如您有相关环境或灵感,可在留言区或私信投稿,经使用后可获得神秘礼品
* 如您认为本篇文章质量尚可,麻烦点个赞,点个转发让更多人看到,万分感谢
原文始发于微信公众号(州弟学安全):学习干货|实战学习应急响应之Windows日志分析(附镜像)
评论