APT-Hunter是Windows事件日志的威胁猎杀工具，它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动，以减少发现可疑活动的时间，而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击，如SIEM解决方案和日志收集器。

        许多分析师忽略了windows事件日志或不知道在哪里搜索可疑的活动，他们大多不知道什么事件日志收集的情况下，攻击.我作为安全专家在SOC环境中的工作，我们提供威胁狩猎，事件响应和取证调查给我们的客户。通常情况下，客户没有SIEM或日志收集器的解决方案，这使得它真的很难收集的Windows事件日志，将它们上传到（SIEM解决方案 , 解析数据 , 开始搜索，以发现任何妥协的迹象，使用搜索，你必须记住他们，为了不错过任何东西），如果你有许可证，但如果你不这样做，那么你是在你自己的享受提取CSV从evtx文件，并开始寻找事件的表与数百万的事件 . 此外，如果你在网上搜索没有多少开源工具来分析windows事件日志和许多分析师变得懒惰，只依靠其他取证来源，以发现系统妥协。

        APT-Hunter有两个部分共同工作，帮助用户快速获得他想要的数据。这个工具将用于加速windows日志分析，但永远不会取代深度日志分析。

• 收集日志：用户可以手动收集CSV和EVTX格式的日志，或者使用本文后面讨论的powershell脚本来自动提取所需的日志。

  
  

• 分析CSV日志：APT-hunter使用内置库（csv）来解析CSV日志文件，然后使用Regex为APT-hunter中使用的每个事件提取字段。

  
  

• 分析EVTX日志：APT-hunter使用外部库（evtx）来解析EVTX日志文件，然后使用Regex为APT-Hunter中使用的每一个事件提取字段，用户可以使用提取的字段来创建他们的用例。

  
  

• 分析的日志：

  (Sysmon, Security, System, Powershell, Powershell_Operational, ScheduledTask, WinRM, TerminalServices, Windows_Defender)

如何使用

        要做的第一件事是收集日志（如果没有收集日志），并且使用powershell日志收集器可以轻松地自动收集所需的日志，而您只需以管理员身份运行powershell脚本即可。

要以EVTX格式收集日志，请使用：windows-log-collector-full-v3-EVTX.ps1要收集CSV格式的日志，请使用：windows-log-collector-full-v3-CSV.ps1

APT-Hunter使用python3构建，因此要使用该工具，您需要安装所需的库。

python3 -m pip install -r Requirements.txt 

APT-Hunter易于使用，您只需使用参数-h即可打印帮助以查看所需的选项

-p：

提供包含使用powershell日志收集器提取的目录的路径（Windows-log-collector-full-v3-CSV.ps1，Windows-log-collector-full-v3-EVTX.ps1）

-o：

将在生成的输出表中使用的项目的名称

-t：

日志类型（如果是CSV或EVTX）

剩余的参数，如果您想分析单一类型的日志。

范例：

#python3 APT-Hunter.py  -t evtx  -p /opt/wineventlogs/  -o Project1#python3 APT-Hunter.py  -t csv  -p /opt/wineventlogs/  -o Project1#python3 APT-Hunter.py  -t evtx  --security evtx/security.evtx -o Project2

结果将分两页显示：

Project1_Report.xlsx：此excel工作表将包括从提供给APT-Hunter的每个Windows日志中检测到的所有事件Project1_TimeSketch.csv：您可以将此CSV文件上传到timeketch，以便进行时间轴分析，以帮助您了解攻击的全貌

终端服务的统计信息，以使用户可以交互访问或使用RDP访问服务器GUI终端

成功/失败身份验证的统计信息，以便获得身份验证摘要，以帮助您检测异常或不应该登录设备的用户

APT-Hunter检测到的事件

• [T1086]使用sysmon日志检测带有可疑参数的Powershell

• [T1543]检测操作Windows服务的Sc.exe

• [T1059]检测wscript或cscript运行脚本

• [T1218.005]检测到系统中正在运行的Mshta

• [T1053]检测计划任务操作

• [T1047]使用WMI远程运行命令

• [T1082]系统信息发现

• [T1117]使用Regsvr32绕过应用程序白名单

• 禁止进程连接到互联网

• 检测系统中正在运行的Psexec

• 检测到禁止连接到互联网的进程

• 检测Exchange Web服务利用，例如（CVE-2020-0688）

• 使用安全日志检测密码喷雾攻击

• 使用安全日志检测通过哈希攻击

• 使用安全日志检测可疑的枚举用户或组的尝试

• 使用Powershell操作日志检测Powershell操作（包括TEMP文件夹）

• 使用Powershell操作日志使用多个事件ID检测可疑的Powershell命令

• 使用Powershell日志使用多个事件ID检测可疑的Powershell命令

• 使用终端服务日志从袜子代理检测连接的RDP

• 使用终端服务日志从公共IP检测连接的RDP

• 从计算机Powershell远程处理中使用WinRM启动检测连接

• 使用WinRM启动连接以对Powershell远程计算机进行检测

• 使用安全日志使用Net命令检测用户创建

• 使用安全日志检测在可疑位置运行的进程

• 使用安全日志使用令牌提升检测特权提升

• 使用安全日志检测可运行的可执行文件

• 使用安全日志检测可疑的Powershell命令

• 使用安全日志检测通过管理界面创建的用户

• 使用安全日志检测Windows关闭事件

• 使用安全日志检测添加到本地组的用户

• 使用安全日志检测用户添加到全局组的用户

• 使用安全日志检测用户添加的用户到通用组

• 使用安全日志检测从全局组中删除的用户

• 使用安全日志检测从通用组中删除的用户

• 使用安全日志检测从本地组中删除的用户

• 使用安全日志检测从全局组中删除的用户

• 检测使用安全日志删除的用户帐户

• 检测到的审计日志已清除。

• 使用安全日志检测系统审核策略更改

• 使用安全日志检测计划的任务创建

• 使用安全日志检测计划的任务删除

• 使用安全日志检测计划的任务更新

• 使用安全日志检测启用的计划任务

• 使用安全日志检测禁用的计划任务

• 检测Windows Defender使用Windows Defender日志对恶意软件采取了措施

• 检测Windows Defender无法使用Windows Defender日志对恶意软件采取措施

• 使用Windows Defender日志检测Windows Defender发现的恶意软件

• 使用Windows Defender日志检测Windows Defender删除的恶意软件历史记录

• 检测Windows Defender检测到可疑行为使用Windows Defender日志的恶意软件

• 使用Windows Defender日志检测禁用的Windows Defender实时保护

• 使用Windows Defender日志检测Windows Defender实时保护配置已更改

• 使用Windows Defender日志禁用检测Windows Defender扫描的恶意软件

• 检测使用计划任务日志注册的计划任务

• 检测使用计划任务日志更新的计划任务

• 检测使用计划任务日志删除的计划任务

• 检测使用系统日志清除的系统日志

• 使用系统日志检测TEMP文件夹中安装有可执行文件的服务

• 使用系统日志检测系统中安装的服务

• 使用系统日志检测服务启动类型已更改

• 使用系统日志检测服务状态已更改

本文始发于微信公众号（Khan安全团队）：神兵利器 - APT-Hunter 威胁猎人日志分析工具