在Windows日志里发现入侵痕迹

在Windows日志里发现入侵痕迹

有小伙伴问：Windows系统日志分析大多都只是对恶意登录事件进行分析的案例，可以通过系统日志找到其他入侵痕迹吗？

答案肯定是可以的，当攻击者获取webshell后，会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里，而执行操作系统命令的行为也会存在在系统日志。

不同的攻击场景会留下不一样的系统日志痕迹，不同的Event ID代表了不同的意义，需要重点关注一些事件ID，来分析攻击者在系统中留下的攻击痕迹。

我们通过一个攻击案例来进行windows日志分析，从日志里识别出攻击场景，发现恶意程序执行痕迹，甚至还原攻击者的行为轨迹。

1、信息收集

攻击者在获取webshell权限后，会尝试查询当前用户权限，收集系统版本和补丁信息，用来辅助权限提升。

whoamisysteminfo

Windows日志分析：

在本地安全策略中，需开启审核进程跟踪，可以跟踪进程创建/终止。关键进程跟踪事件和说明，如：

4688 创建新进程4689 进程终止

我们通过LogParser做一个简单的筛选，得到Event ID 4688，也就是创建新进程的列表，可以发现用户Bypass，先后调用cmd执行whami和systeminfo。进程主要是为命令行程序（）提供图