实战学习应急响应之Windows日志分析(附镜像)

admin 2024年8月21日13:17:01评论50 views字数 4574阅读15分14秒阅读模式

 

0x01 前言

    本篇文章共3400字,完全阅读全篇约8分钟,州弟学安全,只学有用的知识

    本次环境将从大赛内与实战环境相结合去了解在应急响应中Windows日志分析的几个关键点,符合大赛及真实环境案例,本次环境感谢Zeal大哥思路和灵感建议,本次环境中遇到的问题感谢0xE4师傅出手解决,本次环境将从WEB层面的日志分析到主机内的几种关键日志分析和重点功能进行排查
    题目描述:某台Windows服务器遭到攻击者入侵,管理员查看发现存在大量rdp爆破的请求,攻击者使用了不同位置的IP(此处模拟),进行爆破并成功,并成功进入了系统,进入系统后又做了其它危害性操作,请根据各题目完成填写

实战学习应急响应之Windows日志分析(附镜像)

* 本次环境仅供学习参考,答案不重要,重要的是思路
* 感谢转发、点赞、在看、收藏,您的每一次支持都是我更新的动力
0x02 环境复现
镜像下载地址:百度网盘: https://pan.baidu.com/s/1AR8nQaTFxhzvxONmLKQ0qQ    提取码:52zd 夸克网盘:https://pan.quark.cn/s/29851fc7aceb   提取码:8JeP天翼网盘: https://cloud.189.cn/t/jQJbeu6ZBBzq (访问码:il8x)(不限速)
    一定主要看下方注意事项和题目哦,镜像已上传至玄机平台,关注我后回复 '邀请码' 即可获取
系统: Windows 7CPU: 2颗内存: 2G空间: 保证不低于5G其它傀儡机: 段内账号/密码: winlog/winlog123注意: 远控软件内IP为虚拟IP,如在进行进程中没有找到相关外连,应该是由于连接超时造成的断开了,重启环境服务器或软件即可继续对外发起请求,请见谅注意: 按照题目提示可以根据系统功能分析,或桌面工具进行辅助分析注意: winlog用户在操作关于系统权限功能时,一定要使用管理员权限打开工具再去执行如: cmd直接打开则可能无法进行操作系统权限性操作,需右击cmd-使用管理员权限打开,才可以,其它工具也如此注意: 题目中shell如需在本地分析,提前关闭杀毒软件,会被杀掉,非免杀题目:   1. 审计桌面的logs日志,定位所有扫描IP,并提交扫描次数  2. 审计相关日志,提交rdp被爆破失败次数  3. 审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交  4. 提交黑客创建的隐藏账号  5. 提交黑客创建的影子账号  6. 黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字  7. 提交远程shell程序的连接IP+端口,以IP:port方式提交  8. 黑客使用了计划任务来定时执行某shell程序,提交此程序名字
题目 答案
审计桌面的logs日志,定位扫描IP,并提交扫描次数 flag{6385}
    在桌面下有logs目录,目录中有access.log和error.log文件,这是nginx的日志,我们注意分析access.log,error是在服务出问题,比如出现500/502/504之类的故障才写入

实战学习应急响应之Windows日志分析(附镜像)

    观察其特征,127.0.0.1为本地IP,搭建后进行测试,192.168.150.1后面的url为业务站点IP(此处可以自行开启phpstudy进行测试)

实战学习应急响应之Windows日志分析(附镜像)

    接着就是192.168.150.33这个IP,通过url看到不正常的编码和后面的user-agent为nmap,判断这是傀儡机对web端口进行的web探测

实战学习应急响应之Windows日志分析(附镜像)

    再往下看就是192.168.150.67这个IP,最明显的特征就是WEB字典扫描,404的特征码以及各种漏扫特征,如ThinkPHP的payload

实战学习应急响应之Windows日志分析(附镜像)

    目前已知这两个IP为扫描特征,再往下看没什么特征了,而且这是在模拟,数据少,实战中这样看眼花也找不出来,所以此处我将access.log拖出来使用cmder进行查看,当然各位师傅也可以使用其它工具,比如脚本或者Linux命令进行排查,这里使用命令
awk '{print $1}' access.log | sort | uniq -c | sort
    之前在这个文章也发过方法>攻防实战|记录一次攻防实战中流程与溯源

实战学习应急响应之Windows日志分析(附镜像)

    以IP的为基准进行排序,看到192.168.150.67扫描最多,我们将它和192.168.150.33进行相加得出共扫描次数为6395
题目 答案
审计相关日志,提交rdp被爆破失败次数 flag{2594}

通过事件日志进行查看,快捷键WIN+R输入 'eventvwr.msc' 进入事件查看,点击安全,可以看到账户类操作日志

实战学习应急响应之Windows日志分析(附镜像)

然后根据要求进行筛选,事件ID为4625,可以看到登录失败次数为2594次

实战学习应急响应之Windows日志分析(附镜像)

当然了,如果想要更好的分析,可以将当前筛选日志进行导出,我这里导出到了桌面

实战学习应急响应之Windows日志分析(附镜像)

然后根据桌面准备的辅助工具 FullEventLogView 导入分析

实战学习应急响应之Windows日志分析(附镜像)

    导入后可以快速分析到对方爆破的IP地址,至于为啥有的请求没有IP,我怀疑是爆破工具的问题

实战学习应急响应之Windows日志分析(附镜像)

题目 答案
审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交 flag{192.168.150.1&192.168.150.128&192.168.150.178}
    继续审核日志,登录失败日志ID为4625,而成功日志ID为4624,我们继续筛选,这里建议使用刚刚工具分析(这个问题在HVV面试时经常会被问到)

实战学习应急响应之Windows日志分析(附镜像)

    已知为164个事件,使用工具导入此日志文件,根据爆破时间,这里进行降序查看

实战学习应急响应之Windows日志分析(附镜像)

    然后根据分析,查看网络IP地址,排除本机IP,已知登录成功IP地址为
192.168.150.1&192.168.150.128&192.168.150.178

实战学习应急响应之Windows日志分析(附镜像)

实战学习应急响应之Windows日志分析(附镜像)

实战学习应急响应之Windows日志分析(附镜像)

    当然了,还有个更方便的方法,事件ID筛选为4648,表示用使用凭据登录,挨个查看会更方便

实战学习应急响应之Windows日志分析(附镜像)

题目 答案
提交黑客创建的隐藏账号 flag{hacker$}
    黑客攻击者在登录winlog用户成功后,创建了隐藏账号,该账号在命令行是查询不到的

实战学习应急响应之Windows日志分析(附镜像)

    之前在这一块的知识我在等保测评中也有过总结,可以参考,基本按照这个方法排查>学习干货|等保测评2.0技术自查阶段(上)
    关于隐藏账号在用户组中可以查看到,快捷键WIN+R输入 'lusrmgr.msc',看到用户中hacker$以及属性及所属的组

实战学习应急响应之Windows日志分析(附镜像)

实战学习应急响应之Windows日志分析(附镜像)

    这里的hackers$本是影子账户,我不知道为什么这里会看到,连续操作了两遍还是这样,但是无法在此处删除的

实战学习应急响应之Windows日志分析(附镜像)

题目 答案
提交黑客创建的影子账号 flag{hackers$}
    影子账号真实环境中是无法在用户组/netuser/用户面板中看到,但是可以在注册表中看到并删除,快捷键WIN+R 'regedit'

实战学习应急响应之Windows日志分析(附镜像)

注册表地址:HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames
    下图为hackers$对应的权限值/组信息/映射关系及用户相关目录,操作删除后将不存在此用户信息

实战学习应急响应之Windows日志分析(附镜像)

实战学习应急响应之Windows日志分析(附镜像)

    对这两个目录进行删除,再去刚刚的用户/组 查看将没有了

实战学习应急响应之Windows日志分析(附镜像)

    正常来讲,影子用户确实除注册表,其它地方看不到的,这里可能我操作有问题
    当然了,在桌面Dsafe目录下有D盾工具,使用管理员权限运行后,可以快速查询到本系统中存在的影子用户和克隆账户

实战学习应急响应之Windows日志分析(附镜像)

题目 答案
提交远程shell程序的连接IP+端口,以IP:port方式提交 flag{185.117.118.21:4444}
    在应急响应中应排查对外连接,这一步是必不可少的,使用netstat -nao查看到相应的端口状态,在后面看到可疑连接

实战学习应急响应之Windows日志分析(附镜像)

    由内对外连接,可拿着这个IP去查询到地区为国外的IP,如果说你没看到这个对外连接,说明连接超时了,因为对方本身就没开放这个端口,可重启环境后再次查看到,本身就为了模拟哈
    在玄机包括实战中可看到不少的对外连接,这时候怎么排查呢,以玄机为例

实战学习应急响应之Windows日志分析(附镜像)

    可看到对外连接不少的互联网IP,排查思路如下
1. 根据外联IP地址进行排查,在情报平台进行查询2. 根据端口进行排查,通常大端口或有特殊意义端口要确认3. 依次根据PID进行排查,这个下面会讲到
题目 答案
黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字 flag{xiaowei.exe}
    各位应该发现了,开机就外联了,这个时候我们应该联想到自启动,一般排查以下
1. C:UserswinlogAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup  快捷命令:WIN+R shell:startup 将预自启动程序放入目录,会自启2. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun  注册表自启动:快捷键:WIN+R regedit 将绝对路径下程序进行字符串值保存会开机自启3. 搜索计划任务,进入任务计划程序,查看相关启动程序
    当然了,在排查这些之前,我们需要知道在跑的程序是哪个,已知PID为2924(注意:此处如果突然没有外连,则是超时,需重启环境,这个没办法,不能做到真上线)

实战学习应急响应之Windows日志分析(附镜像)

tasklist | findstr "2924"
    使用以上命令查看到启动的文件为xiaowei.exe,但是不知道绝对路径如何处置

实战学习应急响应之Windows日志分析(附镜像)

wmic process get name,executablepath,processid | findstr 2856
    通过以上命令可获取PID的执行文件绝对路径,看到目录在

实战学习应急响应之Windows日志分析(附镜像)

    当然了,我们也可以使用 netstat -naob查看进程的启动程序和端口

实战学习应急响应之Windows日志分析(附镜像)

    但是如需查看绝对路径的话还是按照上方方法,这里只是提供多一个方法排查参考
    此时,我们继续按照上面思路排查自启动问题,看到自启动方法为注册表开机自启

实战学习应急响应之Windows日志分析(附镜像)

    将xiaowei.exe文件拖出来,拿到ida或者微步沙箱去看一下,明显的木马特征和Cobalt特征

实战学习应急响应之Windows日志分析(附镜像)

实战学习应急响应之Windows日志分析(附镜像)

包括到最后面的网络行为特征也能看到外联IP地址

实战学习应急响应之Windows日志分析(附镜像)

题目 答案
黑客使用了计划任务来定时执行某shell程序,提交此程序名字 flag{download.bat}
    上面已经说了关于计划任务的一些排查思路,按照实战中,攻击队或黑客为了权限维持,不会只放一个远控工具,一般会埋雷进行启动计划任务,根据上方思路排查到,计划任务程序中存在的计划

实战学习应急响应之Windows日志分析(附镜像)

    在每天的晚上23点07会进行下载xiaowei.exe文件,点进去查看执行的程序,可看到执行绝对路径

实战学习应急响应之Windows日志分析(附镜像)

    查看这个bat脚本,最后得到执行全过程,确认下载了xiaowei.exe文件到相关目录,最后每次开机自启xiaowei.exe文件上线

实战学习应急响应之Windows日志分析(附镜像)

0x03 结语

实战学习应急响应之Windows日志分析(附镜像)

    本次环境依据多种实战环境+大赛进行复现,本次只学习其中排查思路,中间出现的一些问题可忽略过滤,有些地方无法做的太完美,希望各位理解,再洗感谢Zeal大哥提供的灵感和思路建议以及0xE4师傅的及时出手解决问题,如您有相关环境或灵感,可在留言区或私信投稿,经使用后可获得神秘礼品
* 如您认为本篇文章质量尚可,麻烦点个赞,点个转发让更多人看到,万分感谢

原文始发于微信公众号(州弟学安全):学习干货|实战学习应急响应之Windows日志分析(附镜像)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月21日13:17:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战学习应急响应之Windows日志分析(附镜像)http://cn-sec.com/archives/3083312.html

发表评论

匿名网友 填写信息