17
2024
01
16:40:59

Windows安全日志分析

0x00 引言

在应急响应初步阶段,我们会对系统日志、中间件安全日志、恶意文件等进行收集。接下来便是要进一步对这些文件进行分析:对恶意文件逆向、日志文件分析、梳理入侵时间线和入侵路径等。本文主要对Windows安全日志进行举例分析。

环境信息:

系统版本:Windows Server 2008 R2
IP地址:192.168.64.140 
用户名:win-92uodoq3eg2\administrator

0x01 基本介绍

Windows的日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。

在默认情况下, Windows日志仅仅记录一些特定日志,因为Windows日志中每种日志的大小默认为20M,超过大小之后会覆盖最早的日志记录。如果我们需要记录详细的安全日志,则需要通过修改本地策略或者在高级审核策略配置(gpedit.msc)中来启用其他项的日志记录功能。

1.1 打开方式

1.1.1 日志文件打开

Windows安全日志存储在C:\Windows\System32\winevt\Logs,该目录下存在许多evtx日志文件,windows安全日志文件主要记录在Security.etvx中,双击即可打开该文件查看windows安全日志。(Windows 2000 / Server2003 / Windows XP 安全日志默认位置在C:\WINDOWS\System32\config\SecEvent.Evt

f5f8868a732d2ef87a370effa4e7b6b0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


1.1.2 运行eventvwr

通过WIN+R键调出运行界面后,在界面中执行eventvwr,可打开windows日志管理器,选择安全项即可查看windows系统安全日志。

f5f8868a732d2ef87a370effa4e7b6b0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

1a4a54ff70697fd86ec1b7b331046e62_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


1.1.3 服务器管理器

右键单击计算机,点击管理打开服务器管理器,诊断-事件查看器-Windows日志-安全

9050dacb2247f3444ee247dd77b46eaa_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

1008df9271b119a28da1c4c188109d5d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


1.2 日志位置


Windows 2000 / Server2003 / Windows XP :%SystemRoot%\System32\Winevt\Logs\*.evtx

Windows Vista / 7 / 10 / Server2008 及以上版本:%SystemRoot%\System32\Config\*.evtx


  • 1.3 日志分类

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。每种日志默认大小20M,超过大小后会覆盖最早的日志记录

应用程序日志、系统日志,存储着故障排除信息,对于系统管理员更为有用;安全日志,记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于应急响应来说,更有帮助,本文主要对安全日志进行分析研究。

系统日志:系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。

默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx

安全日志:安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。

默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

应用程序日志:应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。


默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx



其他日志

Windows远程管理日志:Windows远程管理(WinRM)日志记录了Windows远程管理服务的所有操作



Microsoft-Windows-WinRM/Operational.evtx

Microsoft-Windows-WinRM/Analytic.etl

Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/perational.evtx

Microsoft-Windows-TerminalServices-RemoteConnectionManager/perational.evtx

Microsoft-Windows-TerminalServices-LocalSessio



PowerShell日志:在执行任何PowerShell命令或脚本时,无论是本地还是通过远程处理,Windows都会将事件写入以下三个日志文件:


Windows PowerShell.evtx

Microsoft-Windows-PowerShell/Operational.evtx

Microsoft-Windows-PowerShell/Analytic.etl



1.4 结构组成

1.4.1 组成

每条安全日志由以下结构组成:

ca416aa5ef19930147b3fb5bedf021ed_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

76b6332e0644d9bb1a55755aa8a0fcd6_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


在事件管理器 “查看”菜单上,单击“添加/删除列”。可显示或隐藏事件属性。


82ff7fddf68ca15934e33278c10f1d41_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

1.4.2 属性

下表列出常见的事件属性。

9a87d385f0912a33f9527ee7ee44ee49_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

0x02 登录事件分析

2.1 登录类型

当我们分析用户登录记录的时候就会发现,在Windows系统的安全日志中,有一个“登录类型”的说明。其实这个登陆类型就是记录了用户登录到Windows系统的方式,以下简单介绍几种常见的:

92760a13894baa6e248ff6ed87e3a6c5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2.2.1 交互式登录(2)

如下图 为Administrator用户 通过键盘输入密码正常登录到windows的日志,登录类型为 2


0529a39954db8a50fbd7187a14b2eafa_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


一般登录的进程名为

C:\Windows\System32\winlogon.exe


40399a913e35b2a30f0ae0f32e0e7efd_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


2.1.2 网络连接 (3)

这里使用IPC连接方式

使用192.168.64.1 IPC连接 192.168.64.140

net use \\192.168.64.140\ipc$ "1" /user:"administrator"


11cd107747d743fa48d208854b98c19f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png
5a5b4051f630ed0a7cb48a08361bb46d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


从安全日志可看到源IP,登录用户等信息

2.1.3服务启动(5)

以下是一个服务启动后的日志,登录类型为 5


3e8e8310a1a63fd8e29e72826750ea54_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


服务启动进程名为

C:\Windows\System32\services.exe


ae4c93cd462124a76352b127c6ffe3da_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


2.1.4 解锁(7)

锁屏后尝试解锁


e9445121e9129dc427b47b6a0a5a12fa_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png
ed3987c52927bd8a508969c43699bdb2_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


2.1.5 远程桌面连接(10)

通过Win 10(192.168.64.1)使用safefox账户对Win 2008进行远程桌面连接(192.168.64.140)


691a75e380cff4cafb00a567bd5c118f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png
4b9a841e2afb4ee3d70fcc6d7c256ca2_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


2.2 子状态码

4625登录失败日志会存在子状态码的属性,通过改属性,我们可以对登录失败原因进行分析

bce639127f44b0624d3147628a1a9fda_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

例如下图中,通过子状态码 0xc000006a 可以得知,登录失败的具体原因是用户名是正确的,但密码是错误的。


323089d55e5c9c3d8d66775249acb6da_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


0x03 事件ID分析

事件ID是Windows日志的基本属性之一,通过事件ID可以分析事件类型,以下是常见的几种事件ID

439d61ce3e29aef0b55df0ac26c68e68_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

其中需要重点关注的有4624,4625,4720,4726,4700,1102等。

0x04 场景日志分析

4.1 系统正常启动

开机时,常常会产生大量的安全日志:


810f83bbd54b86858aaf3c5028f4e3e1_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


其中,【事件ID 4608】表示Windows正在启动。之后伴随着一条特殊的登陆成功记录,为什么说特殊呢?因为这一条【事件ID 4624】登陆成功记录中的登陆类型为:0


7ed580a9ede33a78612126990b25ce4e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


之后便是许多登陆类型为5的登陆成功记录。


6d2ef587da54267bf42fa2e176fcf54e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


这个很好理解,上面说到登陆类型5,代表是服务账户登陆,而我们的Winows系统启动时,就会有许多服务启动,因此会有许多服务账户登陆记录。然后是启动防火墙驱动、启动防火墙等其他系统事件。

当Windows系统初始化完成后,就到我们的登陆界面了。当我们通过登陆界面登陆时,会产生4条记录如下:


be0e823f5e46b6b00a15ea9e1c4f3a09_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


【事件ID 4776】计算机试图验证帐户的凭据。记录了登陆用户名、来源机器名。

【事件ID 4648】试图使用显式凭据登录。同样记录了登陆用户名、来源机器名、来源地址。进程名为:C:\Windows\System32\winlogon.exe

【事件ID 4624】登陆成功。登陆类型2,也就是在本地键盘上进行的登录。

【事件ID 4672】为新登录分配了特殊权限。记录了登陆用户名、登陆用户权限。

其中,4648表示我们是通过登陆界面登陆的。而其他三条,是正常使用账号密码进行登陆都会产生的。也就是说,登录一次产生3条日志:验证凭据、登陆成功、分配权限。

总结:4608启动-4624(0)首次-4624(5)服务启动-4624(5)-4624(5)-4776登录-4648-4624-4672

4.2 账户管理

在安全日志4720中可以查看攻击者创建的用户,即使是隐藏用户都可以查看到。4726则是可以查看到被删除的用户。该事件日志中还可以查看该任务的发起者。

4.2.1 创建新账户

创建普通账户xiansec


799490dd80f29fdd54396bbfc020ab36_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


创建新账户会有以下日志生成,其中4720创建用户帐户是创建新账户产生的日志

4728 已向启用了安全性的全局组中添加某个成员。

4720 已创建用户帐户。

4722 已启用用户帐户。

4738 已更改用户帐户。

4732 已向启用了安全性的本地组中添加某个成员。

通过4720日志可以查看创建新账户的发起人信息


bcb4be70f274571e87a844d1b2adceff_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


4.2.2 删除账户

删除普通账户xiansec


6865d4cee48b509244b0493d8f042193_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


删除账户会有以下日志生成,其中4726日志是删除账户产生的日志

4733 已从启用了安全性的本地组中删除某个成员。

4729 已从启用了安全性的全局组中删除某个成员。

4726 已删除用户帐户。

通过4726日志可以查看删除账户的发起人信息


a7e9e3de8ee8603b73ea1206c745aadc_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


4.3 RDP爆破

4.3.1 RDP正常成功登录


4ea55c16c4e83158d7f2f8888cd90022_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


连接成功


ce090c14c35b2bdb1189271b920b73f1_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


f31750053cc65110a101b27ba7a6a4b2_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

查看安全日志:

和4.1 系统正常启动一样有4条日志信息,只有登陆类型不一样,为10


6695e5fedca6c7b4c383b3bdf0a4647c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png
【事件ID 4776】计算机试图验证帐户的凭据。记录了登陆用户名、来源机器名。
【事件ID 4648】试图使用显式凭据登录。同样记录了登陆用户名、来源机器名、来源地址。
【事件ID 4624】登陆成功。登陆类型10,远程桌面登录。
【事件ID 4672】为新登录分配了特殊权限。记录了登陆用户名、登陆用户权限。


4.3.2 RDP正常失败登录

故意输错密码


41605f831e7b0f8a2f8d5f820b2d1159_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png
28d7422cdec548ef97194b5c95c8243d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


查看日志

只有一条审核失败日志4625


62e6a9001bc1fd8217bbf64abe441a36_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


4.3.3 RDP爆破登录

使用超级弱口令检查工具V1.0 Beta28进行爆破 这里故意将线程调低 方便日志分析


28d748b7e783c0ca563fb861ba92bc3a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


爆破成功


af952cf2d9545628006198c5d23352aa_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


使用字典共15条密码,正确密码在最后一条,爆破15次,最后一次成功,完成4个日志动作 4624登录-4672-4776-4648

4.4 IPC连接

执行命令如下:


net use \\192.168.64.140 /u:admin 123  #密码错误
net use \\192.168.64.140 /u:admin 12  #密码错误
net use \\192.168.64.140 /u:admin 1  #密码正确
59f76b17f5022fd8a45abfefe06d16da_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


分析日志


97c0ee8c136f2830bb3fdb98d49ca148_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


两次4625 审核失败日志 4624(3)登录成功 记录了来源IP,来源主机名,登陆的用户名等信息。

4.5  SMB爆破

使用超级弱口令检查工具V1.0 Beta28模拟进行爆破


9a7d4f2e551098ecae18eb22eaa75c57_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


分析日志


07d7f7a48b87402ba55faf64966057a1_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


存在大量4625的登录失败日志 且登录类型为3,登录进程:为NtLmSsp


fe5b977824f6f5ff4c1c0701ac0445b8_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


登录成功会产生一条登录类型为3的4624登录成功日志,同时会有4672,4676事件ID日志生成

4.6 日志清除

在windows中,若运维人员开启了记录所有安全日志项,那么攻击者在拿到该服务器权限后 的所有操作都可以在该安全日志中被记录到。所以清空该Security日志肯定是一个善后的必然选择。

打开windows日志 清除日志


3a013e72b26f1f7590a5552fc16b99fa_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


4fdb36a2340c365b60c953194da3b037_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

清除日志会生成一条事件ID为1102 日志清除的日志


b1d9204af34fef2c767f1059d7c89948_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


日志详情


2422b27c28c23ef25450622532e7e373_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


此条日志会记录清除日志操作的账户名

0x05 总结

本文主要对Windows安全日志进行了分析与研究,从日志的分类、登录事件分析以及场景日志分析等方面进行了研究。总的来说,windows安全日志对于应急人员是重要且基础的分析项,对其进行深入学习研究有助于应急排查工作。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4828.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: