Wevtutil.exe 管理 Windows 事件日志，协助系统管理员，但可被攻击者利用进行日志收集、逃避和数据泄露。

环境利用攻击二进制和脚本（LOLBAS）技术：Wevtutil.exe 的隐秘威胁

环境利用攻击（Living Off the Land Binaries and Scripts，简称 LOLBAS）技术已成为攻击者的首选策略。这些方法依赖于合法的、预安装的 Windows 工具来执行恶意活动，通常能够轻松绕过安全控制且不论文将深入探讨wevtutil.exe这个鲜为人知的用途——这是一个用于管理 Windows 事件日志的实用工具，并揭示其作为强大的环境利用攻击工具的潜在风险。

什么是 Wevtutil.exe？

Wevtutil.exe是Windows提供的命令行工具，用于查询、导出和管理事件日志。系统管理员通常使用它来收集和管理日志，以进行故障排除或审核。虽然其原始目的是好的，但wevtutil.exe功能却可以被恶意盗取和利用。

wevtutil.exe关键特性包括：

• 将事件日志导出为 XML 格式。
• 清除或特定的所有事件日志。
• 根据规定的标准查询事件日志。

这些功能使之wevtutil.exe成为一把双刃剑：对于合法操作来说至关重要，但同时也可能被攻击者用于窃取踪迹或窃取信息。

环境利用攻击上下文中的Wevtutil.exe 使用

Wevtutil.exe可以在环境利用攻击的背景下被利用，用于清除、查询或还原事件日志，帮助攻击者逃避检测并窃取数据。其在 Windows 系统中的修复存在方式成为一个全新且有效的攻击后渗透工具。

日志清除以逃避追踪

攻击者可以使用wevtutil cl来清除所有日志或手动清除特定日志。虽然日志清除并不是新策略，但使用罕见的实用工具可能会规避传统的检测机制，这些机制主要关注诸如 PowerShell 等广泛使用的工具。

wevtutil cl Application

下面是事件查看器中应用程序事件日志的视图。

作为普通用户，尝试运行该命令会导致“拒绝访问”错误。

使用管理员用户，运行该命令可成功清除应用程序日志。

重点：

wevtutil命令无法清除事件日志中特定的事件。它作用于整个日志文件，不支持删除单个事件。

虽然wevtutil.exe也可用于清除安全事件日志，但并不像清除其他日志那样。清除安全日志会在 Windows 事件查看器中生成事件 ID 1102。该事件是关键的安全信号，表明审计日志已被清除。

对于试图追踪痕迹的攻击者来说，这种隐藏可性设置不太有吸引力。事件 ID 1102 包含诸如用户名和负责日志清除操作的进程等详细信息，这使得它对防御者和安全监控工具非常明显。

默认情况下，Windows不会记录非安全日志（如应用程序或系统日志）的清除事件。之所以存在这种差异，是因为安全日志被视为系统审计和取证调查的关键组成部分，而其他日志则不受同等标准约束。

为了解决这个问题，管理员可以启用审计策略来跟踪日志清除活动。相关设置为：

启用审计策略：
使用以下组策略设置审计管理操作：
审计策略更改（针对高级审计策略）
路径：计算机配置 > 窗口设置 > 安全设置 > 高级审计策略配置 > 对象访问 > 审计其他对象访问事件

权限和检测注意事项：

• 所需权限：管理员或同等权限。
• 原因：清除事件日志会影响系统审计，并被以防止篡改或破坏取证为证据。只有管理员组中的用户或具有提升权限的帐户才能清除日志。
• 检测提示：清除日志通常会生成事件（例如安全日志中的事件ID 1102），如果有集中式日志记录，这可以提醒防御者。

事件日志渗透

Wevtutil.exe可以使用wevtutil qe命令以 XML 格式导出事件日志。攻击者可以提取嵌入在日志中的敏感信息（如休眠或内部活动指标）并进行渗透。

wevtutil qe Security /f:xml > exported_logs.xml

作为普通用户，尝试运行该命令会导致“拒绝访问”错误。

使用管理员用户，运行命令成功将日志导出到我们的桌面。

以下是一些导出日志的替代命令：

wevtutil epl Security exported.evtx
wevtutil epl Application exported.evtx

权限和检测注意事项：

• 所需权限：管理员或特定对具有读取日志权限的用户。
• 原因：读取和导出日志通常需要对相应日志文件的访问权限。

日志查询用于侦察

Wevtutil.exe允许准确的查询日志，使攻击者能够收集有关系统活动或用户行为的信息。通过自定义查询，对手可以深入了解身份验证尝试、系统错误或特权操作。

wevtutil qe Security /q:"*[System[EventID=4624]]"

作为标准用户，尝试运行该命令会导致“拒绝访问”错误。

使用管理员用户，成功运行该命令会显示与事件 ID 4624 相关的所有日志。这将搜索成功登录事件的条目，从而允许攻击者分析用户活动模式。

通过环境利用攻击实用工具链绕过检测

使用wevtutil.exe攻击实用工具链的一部分作为环境可以进一步进行复杂操作。例如，攻击者可以：

• 使用wevtutil.exe调查日志。
• 使用makecab.exe压缩导出的文件。
• 使用certutil.exe将文件上传到远程位置。

对于这些响应wevtutil.exe的新型奖励，组织应考虑以下策略：

• 增强

• 监控wevtutil.exe的使用，尤其是针对不对称的命令。
• 建立wevtutil.exe的合法使用基线，以发现异常情况。

• 事件日志

• 执行严格的访问控制，禁止未经授权的用户清除或导出事件日志。
• 利用集中式日志聚合，确保产品并检测不一致性。

• 行为分析

• 将分析行为与基于规则的监控相结合，识别与环境利用攻击技术一致的模式。
• 标记环境利用攻击实用工具链中常用的工具组合。

结论

Wevtutil.exe作为 Windows 内置的实用工具，是管理事件日志的强大工具。它不仅对合法的管理任务极其宝贵，还可能被利用于环境利用攻击背后的恶意目的。攻击者使用它可以清除日志、特定查询事件数据或导出日志以进行渗透。

了解实施红队测试和旨在检测和缓解其贫血的防御者的这些行为至关重要。