应急必需事件日志分析

简介

日志

在应急响应和分析调查的时候，我们都会去追查事件日志，因为它记录了全面的事件活动。windows自带事件查看器工具就可以用于简单的查询日志。

通常我们在分析日志时可以获得一下信息：

• 服务开始，停止

• RDP活动

• 用户权限更改

• 登录失败事件

以上都是最常见也是最基本的网络攻击行为。所以，事件日志的分析对于找出网络攻击的根本原因很重要。在  Windows 系统中，有三个主要的事件日志，分别为应用程序、系统和安全。

应用程序

应用程序日志提供与系统中的相关应用程序的日志记录。如，可以发现系统上运行的防病毒应用程序收到的错误。

这里举一个例子，最近使用最新版的 Goby1.9.327版本出现报错（官方正在修复，如果确实想要使用可cmd运行 Goby.exe --no-sandbox），应用程序日志记录了该错误事件。

系统

系统日志是操作系统基本组件创建的日志的所在区域。如，可以在此处找到驱动程序加载和卸载操作的日志。

也可查看系统开机、关机事件，事件日志服务会随系统的启动而开启，随着系统的关闭而停止。所以我们可以在事件查看器中查看事件日志服务的开启与停止来判断系统的开启与关闭。

安全

安全日志则记录有关身份验证和安全性的事件，是调查取证中最常用到的日志，这是本次介绍中最关注的部分。

分析成功的登录事件

事件日志快速入门

每个事件日志都有自己的事件 ID 。过滤、分析和搜索日志标题比较困难，所以使用ID查询方便快捷。

有关事件 ID 值含义的详细信息快速查找，具体可以参照以下站点：

❝

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx

❞

登录记录调查

一般情况下，登录活动事件出现在所有成功或否的网络攻击中。攻击者通常想要登录服务器以接管系统，掌握所有控制权。为此，他们经常进行暴力破解或者使用直接获取到的密码登录。在这两种情况下（成功登录/不成功登录尝试）都将创建日志记录。

设想攻击者通过暴力破解攻击后成功登录服务器，为了更好地分析攻击者进入系统后做了什么，我们需要找到登录日期，所以，我们就要查找事件事件ID 4624 -- 已成功登录账户。

可通过打开事件查看器：开始->运行->eventvwr.msc，选择安全，筛选当前日志；

![筛选当前日志]

事件ID输入 4624，点击确定进行筛选；

筛选后我们可以看到只列出了登录成功的日志，查看日志的详细信息，administrator用户最新的一次登录时间为 2022/4/14 8:29:03

![登录成功事件]

上图我们也可以看到「登录类型」字段的值为 10，这表明是使用远程桌面服务或远程桌面协议登录。具体登录类型值可参考微软官方描述，就不在这里重复了：

❝

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4624

❞

检测暴力破解

我们来看一些关于ID4625的事件，这里我使用的是工具Event log Explorer查看日志。

查看日期，我们会看到日志短时间内持续性的出现。当我们查看详细信息时，所有日志都是为“administrator”用户登录失败所创建的。

登录失败事件数可以看到，攻击者尝试登录184次均为成功。要了解攻击是否成功，我们可以搜索在面中看到的 4624 日志。

从结果可以看出，攻击者在持续的爆破4625之后出现4624日志，即连接系统成功日志。

日志检查持久性

攻击者会采用各种方法来维持系统的控制权，也就是持久性（不做五秒真男人）。其中之一是创建“计划任务”或修改现有任务。

任务计划

在做分析时，我们不免都要检查系统的任务计划，以下 2 个事件 ID 可以减少我们的工作难度。

• 事件 ID 4698 - 已创建计划任务
• 事件 ID 4702 - 已更新计划任务

我们一样通过日志筛选 ID 4698 事件来检查新创建的任务。

从图中可以大概看出，这里创建了一个运行C盘下VPS.exe的任务。

服务

将新服务添加到系统时，会生成事件 ID 4697：系统日志中安装了服务。可以检查使用可疑名称创建的服务或在可疑日期创建的文件。

注册表

如果怀疑攻击者通过编辑注册表值来实现持久化，我们可以搜索事件 ID 4657：“注册表值已修改”的日志。