我们已经准备好了,你呢?

2020我们与您携手共赢,为您的企业形象保驾护航!

远程桌面

image.png


目的地址侧:

1.安全事件日志(Security Event Log)

安全事件日志中记录了多个关键事件,包括:

  • 4624 登录类型为10的事件
    • 源IP地址:记录登录尝试的来源地址。

    • 登录用户名:详细记录了登录的用户。

  • 4778/4779

    • IP地址:远程连接的源IP地址。

    • 源系统名称:连接源系统的名称。

    • 登录用户名:与远程连接相关联的用户。

2. 远程桌面服务操作日志

远程桌面服务的操作日志提供了进一步的细节:
  • Microsoft-Windows-RemoteDesktopServices-RdpCoreTS Operational.evtx
    • 源IP地址:连接尝试的来源IP地址。

    • 131 连接尝试

    • 98 成功连接

  • Microsoft-Windows-TerminalServices-RemoteConnectionManager Operational.evtx

    • 源IP地址:连接尝试的来源IP地址。

    • 登录用户名:与远程连接相关联的用户。

    • 空白用户名可能表明使用了Sticky Keys(粘滞键)。

    • 1149

  • Microsoft-Windows-TerminalServices-LocalSessionManager Operational.evtx

    • 21, 22, 25 源地址 和 登陆用户名 

    • 41 登录用户名

3. 文件系统和注册表中的痕迹

远程桌面连接在文件系统和注册表中留下以下痕迹:
  • 每个用户的远程桌面连接目标在 NTUSERSoftwareMicrosoftTerminal Server ClientServers 中有单独的记录。
  • 应用程序执行的痕迹可以通过 ShimCache、AmCache.hve、UserAssist 等位置找到,包括 mstsc.exe 远程桌面客户端的执行次数和时间。

  • 在 RecentApps 和 RecentItems 中跟踪连接目标及其访问时间。

  • 其他位置如 Jumplists、Prefetch 中也记录了相关信息,例如 C:WindowsPrefetch下的文件 rdpclip.exe-{hash}.pf 和 tstheme.exe-{hash}.pf。




远程网络共享

图片

源地址侧:

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中:
  • Security.evtx

    • Logon specifying alternate credentials (4648):记录使用备选凭据登录的事件,包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。
    • Failed logon to destination (31001):显示到目标主机的失败登录尝试,记录目标主机名、失败登录的用户名和失败原因代码。

  • Microsoft-Windows-SmbClient Security.evtx

    • Failed logon to destination (31001):显示到目标主机的失败登录尝试,记录目标主机名、失败登录的用户名和失败原因代码。

  • MountPoints2

    • 存储在 NTUSERSoftwareMicrosoftWindowsCurrentVersion ExplorerMountPoints2 中,记录远程映射共享路径。

  • Shellbags

    • 存储在 USRCLASS.DAT 中,记录攻击者通过资源管理器访问的远程文件夹

  • ShimCache

    • 记录被执行的程序,如 net.exe 和 net1.exe。

  • BAM/DAM 和 AmCache.hve

    • 记录这些程序的执行时间,有助于追溯活动时间线。

  • Prefetch

    • C:WindowsPrefetch中的文件,如net.exe-{hash}.pf 和 net1.exe-{hash}.pf,记录这些程序的使用历史。


目的地址侧:

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中:

  • Security.evtx

    • Logon Type 3 (4624):记录登录类型为3的事件,包括源IP地址和登录用户名。

  • 4672 记录具有管理员权限的用户登录事件。

  • 4776 如果使用NTLM身份验证到本地系统,记录源主机名和登录用户名。

  • 文件创建

    • 查看和分析攻击者复制到目标系统的恶意文件,包括修改时间和创建时间。

  • 4768 和 4769

    • 在域控制器上授予票证和服务票证的记录,记录源主机名、登录用户名、目标主机名和源IP地址。

  • 5140 和 5145

    • 记录共享访问和共享文件的审计记录。





PsExec

图片

源地址侧:

PsExec工具在横向渗透中的源地址迹象主要反映在以下记录中:

  • Security.evtx

    • Logon specifying alternate credentials (4648):记录使用备选凭据登录的事件,包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

  • EVENT LOGS FILE SYSTEM REGISTRY

    • psexec.exe-{hash}.pf:记录PsExec工具的预取文件,显示其使用历史。

    • 可能还会有其他由psexec.exe访问的文件引用,例如使用“-c”选项复制到目标系统的可执行文件。

    • psexec.exe:记录PsExec工具的首次执行时间。

    • psexec.exe:记录PsExec工具的最后执行时间。

    • psexec.exe:记录PsExec执行的程序。

    • SoftwareSysInternalsPsExecEulaAccepted:记录PsExec工具的使用协议是否被接受。

    • NTUSER.DAT

    • ShimCache – SYSTEM

    • BAM/DAM – SYSTEM

    • AmCache.hve – First Time Executed

    • *Prefetch – C:WindowsPrefetch*

  • 文件创建

    • 如果psexec.exe不是Windows本地文件,则可能是从外部下载并在本地主机上创建的文件。


目的地址侧:

PsExec工具在横向渗透中的目的地址迹象主要反映在以下记录中:

  • Security.evtx

    • 记录具有管理员权限的用户登录事件。

    • 要求访问默认共享目录如C$和ADMIN$。

    • Logon specifying alternate credentials (4648):记录连接用户名称和进程名称。

    • Logon Type 3 (and Type 2 if “-u” Alternate Credentials are used) (4624):记录登录类型为3的事件,包括源IP地址和登录用户名。

    • 4672

  • 5140 – Share Access

    • ADMIN$共享由PsExec使用。

  • system.evtx

    • 记录服务安装,可能与PsExec相关。

    • 7045

  • *Prefetch – C:WindowsPrefetch*

    • psexesvc.exe-{hash}.pf:PsExec服务的预取文件。

    • evil.exe-{hash}.pf:其他通过PsExec推送的可疑可执行文件的预取文件。

  • 文件创建

    • 用户配置文件目录结构的创建(如果未使用“-e”选项)。

    • 默认情况下,psexesvc.exe将放置在ADMIN$ (Windows)中,以及PsExec推送的其他可执行文件(如evil.exe)。

  • 新服务创建

    • 配置在 SYSTEMCurrentControlSetServicesPSEXESVC 中,使用“-r”选项可以允许攻击者重命名服务。

  • ShimCache – SYSTEM

    • psexesvc.exe:记录PsExec服务的执行。

  • AmCache.hve – First Time Executed

    • psexesvc.exe:PsExec服务的首次执行时间记录。




计划任务

图片

源地址侧:

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中:

  • Security.evtx

    • Logon specifying alternate credentials (4648):记录使用备选凭据登录的事件,包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

  • EVENT LOGS FILE SYSTEM REGISTRY

    • at.exe 和 schtasks.exe:记录被执行的命令行工具。

    • ShimCache – SYSTEM

  • BAM/DAM – SYSTEM

    • at.exe 和 schtasks.exe:记录这些工具的最后执行时间。

    • Last Time Executed

  • AmCache.hve – First Time Executed

    • at.exe 和 schtasks.exe:记录这些工具的首次执行时间。

  • *Prefetch – C:WindowsPrefetch*

    • at.exe-{hash}.pf 和 schtasks.exe-{hash}.pf:记录这些工具的预取文件,显示其使用历史。

目的地址侧:

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中:

  • Security.evtx

    • Logon Type 3 (4624):记录登录类型为3的事件,包括源IP地址和登录用户名。

  • 4672

    • 记录具有管理员权限的用户登录事件。

    • 要求访问默认共享目录如C$和ADMIN$。

  • 4698 – Scheduled task created

  • 4702 – Scheduled task updated

  • 4699 – Scheduled task deleted

  • 4700/4701 – Scheduled task enabled/disabled

    • 记录与任务计划创建、更新、删除、启用和禁用相关的事件。

  • Microsoft-Windows-Task Scheduler Operational.evtx

    • 记录任务计划的具体操作,包括创建、更新、删除和执行。

    • 106 – Scheduled task created

    • 140 – Scheduled task updated

    • 141 – Scheduled task deleted

    • 200/201 – Scheduled task executed/completed

  • 文件创建

    • evil.exe:可疑文件创建。

    • 在 C:WindowsTasks 中创建的任务文件。

    • 在 C:WindowsSystem32Tasks 中创建的XML任务文件,其中的"RegistrationInfo"下的Author标签可以识别源系统名称和创建者用户名。

  • *Prefetch – C:WindowsPrefetch*

    • evil.exe-{hash}.pf:evil.exe 的预取文件,显示其使用历史。

  • SOFTWARE MicrosoftWindows NTCurrentVersionSchedule TaskCacheTasks

  • SOFTWARE MicrosoftWindows NTCurrentVersionSchedule TaskCacheTree 记录任务计划的详细信息。

  • ShimCache – SYSTEM

    • evil.exe:记录evil.exe 的执行。

  • AmCache.hve – First Time Executed

    • evil.exe:记录evil.exe 的首次执行时间。




系统服务

图片

源地址侧:

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中:

  • ShimCache – SYSTEM sc.exe:记录sc.exe 工具的执行。

  • BAM/DAM – SYSTEM sc.exe:记录sc.exe 工具的最后执行时间。

  • AmCache.hve – First Time Executed sc.exe记录sc.exe 工具的首次执行时间。

  • *Prefetch – C:WindowsPrefetch* sc.exe-{hash}.pf记录sc.exe 的预取文件,显示其使用历史。

目的地址侧:

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中:

  • Security.evtx

    • Logon Type 3 (4624):记录登录类型为3的事件,包括源IP地址和登录用户名。

  • 4697

    • 记录安装服务的安全事件,如果启用的话。

    • 对于只将安全日志转发到集中日志服务器的情况,启用非默认安全事件如ID 4697特别有用。

  • system.evtx

    • 7034:服务意外崩溃。

    • 7035:服务发送了启动/停止控制。

    • 7036:服务启动或停止。

    • 7040:启动类型更改(启动 | 按需 | 禁用)。

    • 7045:系统安装了一个服务。

  • 文件创建

    • evil.exe 或 evil.dll:恶意服务可执行文件或服务DLL。

  • *Prefetch – C:WindowsPrefetch* evil.exe-{hash}.pf:evil.exe 的预取文件,显示其使用历史。

  • *SYSTEM CurrentControlSetServices* 新服务的创建记录。

  • ShimCache – SYSTEM evil.exe:记录恶意服务可执行文件的存在。

  • AmCache.hve – First Time Executed evil.exe记录恶意服务可执行文件的首次执行时间。





WMI/WMIC

图片

源地址侧:

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中:

  • Security.evtx

    • Logon specifying alternate credentials (4648):记录使用备选凭据登录的事件,包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

  • EVENT LOGS FILE SYSTEM REGISTRY

    • wmic.exe:记录wmic.exe 工具的执行。

    • ShimCache – SYSTEM

  • BAM/DAM – SYSTEM

    • wmic.exe:记录wmic.exe 工具的最后执行时间。

    • Last Time Executed

  • AmCache.hve – First Time Executed

    • wmic.exe:记录wmic.exe 工具的首次执行时间。

  • *Prefetch – C:WindowsPrefetch*

    • wmic.exe-{hash}.pf:记录wmic.exe 的预取文件,显示其使用历史。

目的地址侧:

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中:

  • Security.evtx

    • Logon Type 3 (4624):记录登录类型为3的事件,包括源IP地址和登录用户名。

  • 4672 记录具有管理员权限的用户登录事件。

  • Microsoft-Windows-WMI Activity%4Operational.evtx

    • 注册临时(5860)和永久(5861)事件消费者。通常用于持久性,但也可用于远程执行。

    • 记录 wmiprvse.exe 的执行时间和提供程序DLL的路径,攻击者有时会安装恶意的WMI提供程序DLL。

  • 文件创建

    • evil.exe:可疑文件创建。

    • evil.mof:.mof 文件用于管理WMI存储库。

  • *Prefetch – C:WindowsPrefetch*

    • scrcons.exe-{hash}.pf

    • mofcomp.exe-{hash}.pf

    • wmiprvse.exe-{hash}.pf

    • evil.exe-{hash}.pf:预取文件,显示恶意文件和工具的使用历史。

  • 未经授权的更改

    • 在 C:WindowsSystem32wbemRepository 中的WMI存储库中发现的更改。

  • ShimCache – SYSTEM

    • scrcons.exe

    • mofcomp.exe

    • wmiprvse.exe

    • evil.exe:记录这些工具和恶意文件的存在。

  • AmCache.hve – First Time Executed

    • scrcons.exe

    • mofcomp.exe

    • wmiprvse.exe

    • evil.exe:记录这些工具和恶意文件的首次执行时间。




PowerShell Remoting

图片

源地址侧:

事件日志与安全审计

横向渗透的源地址主要反映在以下记录中:

  • security.evtx

    • Logon specifying alternate credentials (4648):记录使用备选凭据登录的事件,包括当前登录用户名、备选用户名、目标主机名/IP地址和进程名称。

  • Microsoft-Windows-WinRM Operational.evtx

    • 6:WSMan会话初始化,记录会话创建的事件,包括目标主机名或IP地址和当前登录用户名。

    • 8, 15, 16, 33:WSMan会话去初始化,记录会话关闭的事件,包括当前登录用户名。

  • Microsoft-Windows-PowerShell Operational.evtx

    • 40961, 40962:记录本地启动 powershell.exe 和相关用户账户的事件。

    • 8193 & 8194:记录会话创建的事件。

    • 8197:连接会话关闭的事件。

  • EVENT LOGS FILE SYSTEM REGISTRY

    • powershell.exe:记录 powershell.exe 工具的执行。

    • ShimCache – SYSTEM

  • BAM/DAM – SYSTEM – Last Time Executed

    • powershell.exe:记录 powershell.exe 工具的最后执行时间。

  • AmCache.hve – First Time Executed

    • powershell.exe:记录 powershell.exe 工具的首次执行时间。

  • *Prefetch – C:WindowsPrefetch*

    • powershell.exe-{hash}.pf:记录 powershell.exe 的预取文件,显示其使用历史。

    • PowerShell 脚本(.ps1 文件)如果在 powershell.exe 启动后10秒内运行,也会被跟踪在 powershell.exe 的预取文件中。

  • Command history

    • PowerShell 命令历史记录文件,每个用户保留最近的4096条命令(适用于 PowerShell v5+)。

    • C:USERS<USERNAME>AppDataRoamingMicrosoft WindowsPowerShellPSReadlineConsoleHost_history.txt

目的地址侧:

事件日志与文件系统痕迹

横向渗透的目的地址主要反映在以下记录中:

  • security.evtx

    • Logon Type 3 (4624):记录登录类型为3的事件,包括源IP地址和登录用户名。

  • 4672

    • 记录具有管理员权限的用户登录事件。

  • Microsoft-Windows-PowerShell Operational.evtx

    • 4103, 4104:脚本块日志记录,以默认方式记录可疑脚本(适用于 PowerShell v5),如果配置了则记录所有脚本。

    • 53504:记录进行身份验证的用户。

  • Windows PowerShell.evtx

    • 400/403:"ServerRemoteHost" 指示远程会话的启动/结束。

    • 800:包含部分脚本代码。

  • Microsoft-Windows-WinRM Operational.evtx

    • 91:会话创建事件。

    • 168:记录进行身份验证的用户。

  • 文件创建

    • evil.exe:可疑文件创建。

    • 使用 Enter-PSSession 可能会创建用户配置文件目录。

  • *Prefetch – C:WindowsPrefetch*

    • evil.exe-{hash].pf:恶意文件的预取文件。

    • wsmprovhost.exe-{hash].pf:wsmprovhost.exe 的预取文件。

  • ShimCache – SYSTEM

    • wsmprovhost.exe

    • evil.exe:记录这些工具和恶意文件的存在。

  • SOFTWAREMicrosoftPowerShellShellIdsMicrosoft.PowerShellExecutionPolicy

    • 攻击者可能会更改执行策略以使用较少限制的设置,如 "bypass"。

  • AmCache.hve – First Time Executed

    • wsmprovhost.exe

    • evil.exe:记录这些工具和恶意文件的首次执行时间。




在线客服
联系方式

热线电话

15510432003

上班时间

周一到周五

公司电话

15510432003

二维码
线
在线留言