玄机——windows日志分析
暂不清楚步骤一的扫描次数是要全访问记录还是单纯的后台扫描记录。经审计后发现只需要
S:\tools\应急\windows日志分析
λ awk '{print $1}' access.log | sort | uniq -c
169 127.0.0.1
524 192.168.150.1
54 192.168.150.33
1 192.168.150.60
6331 192.168.150.67
审计日志发现33与67IP进行了扫描行为,故次数为二者相加。
我们先转向RDP爆破失败记录的查看。在security日志内查看4625事件ID的次数,发现对方一共爆破了2594次RDP账密。
再次查看4624事件ID,查看都有哪些IP成功登陆过此机器。发现其中掺杂很多reboot时各机器账户的登陆记录,无法直接查看。我们在FullEventLogView中添加字段筛选,指定进程名为C:\Windows\System32\winlogon.exe,就可以查看所有用户操作登陆记录了。
注意不要把最后自己登陆的IP也提交上去。然后我们需要查看黑客创建的隐藏账号。使用lusrmgr.msc先查看用户&组内是否有记录。发现有一个hacker$和一个hackers$账户。感觉这俩一个是影子账户一个是隐藏账户,反正交就完事了。
接下来我们需要审计机器上的远程shell程序连接IP+端口,我们先使用机器直接给的D盾查杀一下。没有杀出有效数据,我们转向查看任务计划程序,发现一个非常可疑的计划任务。
因为是自启动,我们可以在注册表的windows/run其中找到后门文件的具体位置,且SC计划任务程序列表中选择操作,可以看到是由C:\Windows\Zh-CN\download.bat执行的此文件,故定时执行的名称即为此。使用微步云沙箱分析后门文件即可得到连接地址&IP