横向渗透痕迹的排查 --HVV备用2

远程桌面

1.安全事件日志（Security Event Log）

安全事件日志中记录了多个关键事件，包括：

• 4624 登录类型为10的事件

• 源IP地址：记录登录尝试的来源地址。

• 登录用户名：详细记录了登录的用户。

• 4778/4779

• IP地址：远程连接的源IP地址。

• 源系统名称：连接源系统的名称。

• 登录用户名：与远程连接相关联的用户。

2. 远程桌面服务操作日志

• Microsoft-Windows-RemoteDesktopServices-RdpCoreTS Operational.evtx

• 源IP地址：连接尝试的来源IP地址。

• 131 连接尝试

• 98 成功连接

• Microsoft-Windows-TerminalServices-RemoteConnectionManager Operational.evtx

• 源IP地址：连接尝试的来源IP地址。

• 登录用户名：与远程连接相关联的用户。

• 空白用户名可能表明使用了Sticky Keys（粘滞键）。

• 1149

• Microsoft-Windows-TerminalServices-LocalSessionManager Operational.evtx

• 21, 22, 25 源地址 和 登陆用户名 

• 41 登录用户名

3. 文件系统和注册表中的痕迹

• 每个用户的远程桌面连接目标在 NTUSERSoftwareMicrosoftTerminal Server ClientServers 中有单独的记录。

• 应用程序执行的痕迹可以通过 ShimCache、AmCache.hve、UserAssist 等位置找到，包括 mstsc.exe 远程桌面客户端的执行次数和时间。

• 在 RecentApps 和 RecentItems 中跟踪连接目标及其访问时间。

• 其他位置如 Jumplists、Prefetch 中也记录了相关信息，例如 C:WindowsPrefetch下的文件 rdpclip.exe-{hash}.pf 和 tstheme.exe-{hash}.pf。

  
  

  ---

  
  

远程网络共享

源地址侧：

事件日志与安全审计

• Security.evtx

• Logon specifying alternate credentials (4648)：记录使用备选凭据登录的事件，包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

• Failed logon to destination (31001)：显示到目标主机的失败登录尝试，记录目标主机名、失败登录的用户名和失败原因代码。

• Microsoft-Windows-SmbClient Security.evtx

• Failed logon to destination (31001)：显示到目标主机的失败登录尝试，记录目标主机名、失败登录的用户名和失败原因代码。

• MountPoints2

• 存储在 NTUSERSoftwareMicrosoftWindowsCurrentVersion ExplorerMountPoints2 中，记录远程映射共享路径。

• Shellbags

• 存储在 USRCLASS.DAT 中，记录攻击者通过资源管理器访问的远程文件夹。

• ShimCache

• 记录被执行的程序，如 net.exe 和 net1.exe。

• BAM/DAM 和 AmCache.hve

• 记录这些程序的执行时间，有助于追溯活动时间线。

• Prefetch

• C:WindowsPrefetch中的文件，如net.exe-{hash}.pf 和 net1.exe-{hash}.pf，记录这些程序的使用历史。

目的地址侧：

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中：

• Security.evtx

• Logon Type 3 (4624)：记录登录类型为3的事件，包括源IP地址和登录用户名。

• 4672 记录具有管理员权限的用户登录事件。

• 4776 如果使用NTLM身份验证到本地系统，记录源主机名和登录用户名。

• 文件创建

• 查看和分析攻击者复制到目标系统的恶意文件，包括修改时间和创建时间。

• 4768 和 4769

• 在域控制器上授予票证和服务票证的记录，记录源主机名、登录用户名、目标主机名和源IP地址。

• 5140 和 5145

• 记录共享访问和共享文件的审计记录。

  
  

PsExec

源地址侧：

PsExec工具在横向渗透中的源地址迹象主要反映在以下记录中：

• Security.evtx

• Logon specifying alternate credentials (4648)：记录使用备选凭据登录的事件，包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

• EVENT LOGS FILE SYSTEM REGISTRY

• psexec.exe-{hash}.pf：记录PsExec工具的预取文件，显示其使用历史。

• 可能还会有其他由psexec.exe访问的文件引用，例如使用“-c”选项复制到目标系统的可执行文件。

• psexec.exe：记录PsExec工具的首次执行时间。

• psexec.exe：记录PsExec工具的最后执行时间。

• psexec.exe：记录PsExec执行的程序。

• SoftwareSysInternalsPsExecEulaAccepted：记录PsExec工具的使用协议是否被接受。

• NTUSER.DAT

• ShimCache – SYSTEM

• BAM/DAM – SYSTEM

• AmCache.hve – First Time Executed

• *Prefetch – C:WindowsPrefetch*

• 文件创建

• 如果psexec.exe不是Windows本地文件，则可能是从外部下载并在本地主机上创建的文件。

目的地址侧：

PsExec工具在横向渗透中的目的地址迹象主要反映在以下记录中：

• Security.evtx

• 记录具有管理员权限的用户登录事件。

• 要求访问默认共享目录如C$和ADMIN$。

• Logon specifying alternate credentials (4648)：记录连接用户名称和进程名称。

• Logon Type 3 (and Type 2 if “-u” Alternate Credentials are used) (4624)：记录登录类型为3的事件，包括源IP地址和登录用户名。

• 4672

• 5140 – Share Access

• ADMIN$共享由PsExec使用。

• system.evtx

• 记录服务安装，可能与PsExec相关。

• 7045

• *Prefetch – C:WindowsPrefetch*

• psexesvc.exe-{hash}.pf：PsExec服务的预取文件。

• evil.exe-{hash}.pf：其他通过PsExec推送的可疑可执行文件的预取文件。

• 文件创建

• 用户配置文件目录结构的创建（如果未使用“-e”选项）。

• 默认情况下，psexesvc.exe将放置在ADMIN$ (Windows)中，以及PsExec推送的其他可执行文件（如evil.exe）。

• 新服务创建

• 配置在 SYSTEMCurrentControlSetServicesPSEXESVC 中，使用“-r”选项可以允许攻击者重命名服务。

• ShimCache – SYSTEM

• psexesvc.exe：记录PsExec服务的执行。

• AmCache.hve – First Time Executed

• psexesvc.exe：PsExec服务的首次执行时间记录。

计划任务

源地址侧：

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中：

• Security.evtx

• Logon specifying alternate credentials (4648)：记录使用备选凭据登录的事件，包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

• EVENT LOGS FILE SYSTEM REGISTRY

• at.exe 和 schtasks.exe：记录被执行的命令行工具。

• ShimCache – SYSTEM

• BAM/DAM – SYSTEM

• at.exe 和 schtasks.exe：记录这些工具的最后执行时间。

• Last Time Executed

• AmCache.hve – First Time Executed

• at.exe 和 schtasks.exe：记录这些工具的首次执行时间。

• *Prefetch – C:WindowsPrefetch*

• at.exe-{hash}.pf 和 schtasks.exe-{hash}.pf：记录这些工具的预取文件，显示其使用历史。

目的地址侧：

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中：

• Security.evtx

• Logon Type 3 (4624)：记录登录类型为3的事件，包括源IP地址和登录用户名。

• 4672

• 记录具有管理员权限的用户登录事件。

• 要求访问默认共享目录如C$和ADMIN$。

• 4698 – Scheduled task created

• 4702 – Scheduled task updated

• 4699 – Scheduled task deleted

• 4700/4701 – Scheduled task enabled/disabled

• 记录与任务计划创建、更新、删除、启用和禁用相关的事件。

• Microsoft-Windows-Task Scheduler Operational.evtx

• 记录任务计划的具体操作，包括创建、更新、删除和执行。

• 106 – Scheduled task created

• 140 – Scheduled task updated

• 141 – Scheduled task deleted

• 200/201 – Scheduled task executed/completed

• 文件创建

• evil.exe：可疑文件创建。

• 在 C:WindowsTasks 中创建的任务文件。

• 在 C:WindowsSystem32Tasks 中创建的XML任务文件，其中的"RegistrationInfo"下的Author标签可以识别源系统名称和创建者用户名。

• *Prefetch – C:WindowsPrefetch*

• evil.exe-{hash}.pf：evil.exe 的预取文件，显示其使用历史。

• SOFTWARE MicrosoftWindows NTCurrentVersionSchedule TaskCacheTasks

• SOFTWARE MicrosoftWindows NTCurrentVersionSchedule TaskCacheTree 记录任务计划的详细信息。

• ShimCache – SYSTEM

• evil.exe：记录evil.exe 的执行。

• AmCache.hve – First Time Executed

• evil.exe：记录evil.exe 的首次执行时间。

系统服务

源地址侧：

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中：

• ShimCache – SYSTEM sc.exe：记录sc.exe 工具的执行。

• BAM/DAM – SYSTEM sc.exe：记录sc.exe 工具的最后执行时间。

• AmCache.hve – First Time Executed sc.exe：记录sc.exe 工具的首次执行时间。

• *Prefetch – C:WindowsPrefetch* sc.exe-{hash}.pf：记录sc.exe 的预取文件，显示其使用历史。

目的地址侧：

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中：

• Security.evtx

• Logon Type 3 (4624)：记录登录类型为3的事件，包括源IP地址和登录用户名。

• 4697

• 记录安装服务的安全事件，如果启用的话。

• 对于只将安全日志转发到集中日志服务器的情况，启用非默认安全事件如ID 4697特别有用。

• system.evtx

• 7034：服务意外崩溃。

• 7035：服务发送了启动/停止控制。

• 7036：服务启动或停止。

• 7040：启动类型更改（启动 | 按需 | 禁用）。

• 7045：系统安装了一个服务。

• 文件创建

• evil.exe 或 evil.dll：恶意服务可执行文件或服务DLL。

• *Prefetch – C:WindowsPrefetch* evil.exe-{hash}.pf：evil.exe 的预取文件，显示其使用历史。

• *SYSTEM CurrentControlSetServices* 新服务的创建记录。

• ShimCache – SYSTEM evil.exe：记录恶意服务可执行文件的存在。

• AmCache.hve – First Time Executed evil.exe：记录恶意服务可执行文件的首次执行时间。

WMI/WMIC

源地址侧：

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中：

• Security.evtx

• Logon specifying alternate credentials (4648)：记录使用备选凭据登录的事件，包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

• EVENT LOGS FILE SYSTEM REGISTRY

• wmic.exe：记录wmic.exe 工具的执行。

• ShimCache – SYSTEM

• BAM/DAM – SYSTEM

• wmic.exe：记录wmic.exe 工具的最后执行时间。

• Last Time Executed

• AmCache.hve – First Time Executed

• wmic.exe：记录wmic.exe 工具的首次执行时间。

• *Prefetch – C:WindowsPrefetch*

• wmic.exe-{hash}.pf：记录wmic.exe 的预取文件，显示其使用历史。

目的地址侧：

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中：

• Security.evtx

• Logon Type 3 (4624)：记录登录类型为3的事件，包括源IP地址和登录用户名。

• 4672 记录具有管理员权限的用户登录事件。

• Microsoft-Windows-WMI Activity%4Operational.evtx

• 注册临时（5860）和永久（5861）事件消费者。通常用于持久性，但也可用于远程执行。

• 记录 wmiprvse.exe 的执行时间和提供程序DLL的路径，攻击者有时会安装恶意的WMI提供程序DLL。

• 文件创建

• evil.exe：可疑文件创建。

• evil.mof：.mof 文件用于管理WMI存储库。

• *Prefetch – C:WindowsPrefetch*

• scrcons.exe-{hash}.pf

• mofcomp.exe-{hash}.pf

• wmiprvse.exe-{hash}.pf

• evil.exe-{hash}.pf：预取文件，显示恶意文件和工具的使用历史。

• 未经授权的更改

• 在 C:WindowsSystem32wbemRepository 中的WMI存储库中发现的更改。

• ShimCache – SYSTEM

• scrcons.exe

• mofcomp.exe

• wmiprvse.exe

• evil.exe：记录这些工具和恶意文件的存在。

• AmCache.hve – First Time Executed

• scrcons.exe

• mofcomp.exe

• wmiprvse.exe

• evil.exe：记录这些工具和恶意文件的首次执行时间。

PowerShell Remoting

源地址侧：

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中：

• security.evtx

• Logon specifying alternate credentials (4648)：记录使用备选凭据登录的事件，包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

• Microsoft-Windows-WinRM Operational.evtx

• 6：WSMan会话初始化，记录会话创建的事件，包括目标主机名或IP地址和当前登录用户名。

• 8, 15, 16, 33：WSMan会话去初始化，记录会话关闭的事件，包括当前登录用户名。

• Microsoft-Windows-PowerShell Operational.evtx

• 40961, 40962：记录本地启动 powershell.exe 和相关用户账户的事件。

• 8193 & 8194：记录会话创建的事件。

• 8197：连接会话关闭的事件。

• EVENT LOGS FILE SYSTEM REGISTRY

• powershell.exe：记录 powershell.exe 工具的执行。

• ShimCache – SYSTEM

• BAM/DAM – SYSTEM – Last Time Executed

• powershell.exe：记录 powershell.exe 工具的最后执行时间。

• AmCache.hve – First Time Executed

• powershell.exe：记录 powershell.exe 工具的首次执行时间。

• *Prefetch – C:WindowsPrefetch*

• powershell.exe-{hash}.pf：记录 powershell.exe 的预取文件，显示其使用历史。

• PowerShell 脚本（.ps1 文件）如果在 powershell.exe 启动后10秒内运行，也会被跟踪在 powershell.exe 的预取文件中。

• Command history

• PowerShell 命令历史记录文件，每个用户保留最近的4096条命令（适用于 PowerShell v5+）。

• C:USERS<USERNAME>AppDataRoamingMicrosoft WindowsPowerShellPSReadlineConsoleHost_history.txt

目的地址侧：

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中：

• security.evtx

• Logon Type 3 (4624)：记录登录类型为3的事件，包括源IP地址和登录用户名。

• 4672

• 记录具有管理员权限的用户登录事件。

• Microsoft-Windows-PowerShell Operational.evtx

• 4103, 4104：脚本块日志记录，以默认方式记录可疑脚本（适用于 PowerShell v5），如果配置了则记录所有脚本。

• 53504：记录进行身份验证的用户。

• Windows PowerShell.evtx

• 400/403："ServerRemoteHost" 指示远程会话的启动/结束。

• 800：包含部分脚本代码。

• Microsoft-Windows-WinRM Operational.evtx

• 91：会话创建事件。

• 168：记录进行身份验证的用户。

• 文件创建

• evil.exe：可疑文件创建。

• 使用 Enter-PSSession 可能会创建用户配置文件目录。

• *Prefetch – C:WindowsPrefetch*

• evil.exe-{hash].pf：恶意文件的预取文件。

• wsmprovhost.exe-{hash].pf：wsmprovhost.exe 的预取文件。

• ShimCache – SYSTEM

• wsmprovhost.exe

• evil.exe：记录这些工具和恶意文件的存在。

• SOFTWAREMicrosoftPowerShell
  ShellIdsMicrosoft.PowerShellExecutionPolicy

• 攻击者可能会更改执行策略以使用较少限制的设置，如 "bypass"。

• AmCache.hve – First Time Executed

• wsmprovhost.exe

• evil.exe：记录这些工具和恶意文件的首次执行时间。