Docker安裝LogonTracer

LogonTracer

LogonTracer：是一款用於可視化分析Windows安全事件日志尋找惡意登錄的工具。它會將登錄相關事件中找到的主機名（或IP地址）和帳戶名稱關聯起來，並將其以圖形化的方式展現出來。通過這種方式，可以看到哪個帳戶中發生過登錄嘗試以及哪個主機被使用。基於此研究，該工具可以可視化與Windows登錄相關的下列事件ID。

4624：登錄成功

4625：登錄失敗

4768：Kerberos身份驗證（TGT請求）

4769：Kerberos服務票據（ST請求）

4776：NTLM身份驗證

4672：分配特殊權限

作用

LogonTracer使用 PageRank和ChangeFinder從事件日志中檢測惡意主機和帳戶。

使用LogonTracer，也可以按時間順序顯示事件日志。

環境搭建：

系統：kali linux

IP地址：10.10.110.112

安裝軟件：Docker

日志文件：Windows的evtx格式的安全日志

分析工具：LogonTracer

1、打開linux終端后啟動Docker：

root@killer:~#service docker start

2、拉取鏡像：

root@killer:~#docker pull jpcertcc/docker-logontracer

3、運行鏡像：

root@killer:~#docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080-e LTHOSTNAME=10.10.110.112 jpcertcc/docker-logontracer

提示：以上IP地址10.10.110.112換成自己的本機IP地址。

4、替換JS

此時可以通過瀏覽器訪問http://[IP]:8080看到Web頁面，打開的頁面中有幾個JS文件是調用的遠程網址，這些網址由於一些原因在國內無法正常訪問，所以，在通過瀏覽器訪問首頁后，點擊“Upload Event Log”按鈕是無反應的，那就無法上傳日志文件，這就是這一步要解決的坑。

解決這個坑要對2處JS進行修改：

第一處：

https://cdn.rawgit.com/neo4j/neo4j-javascript-driver/1.4.1/lib/browser/neo4j-web.min.js

直接修改系統的hosts文件，手動將域名cdn.rawgit.com解析到151.139.237.11上，該網址可以正常訪問。

執行命令：

root@killer:~#vim /etc/hosts

然后在文件中最后一行增加如下：

151.139.237.11 cdn.rawgit.com

第二處：

進入Docker鏡像編輯index.html模板文件，

執行命令：

root@killer:~#docker exec -it 349d /bin/sh（備注：349d為鏡像名）

進入Docker鏡像的終端內執行命令，編輯模板文件：

/var/lib/neo4j# vi /usr/local/src/LogonTracer/templates/index.html

找到

https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js

將該網址的改為

https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js

這個時候就可以了。

5、打開http://自己的ip:7474，執行以下命令刪除原來的neo4j的節點信息：

輸入以下命令：

MATCH(n)

OPTIONALMATCH (n)-[r]-()

DELETEn,r

點擊右側的第三個按鈕執行，即可。如果不執行這步，后面上傳日志之后可能會導致瀏覽器響應。

6、重啟Docker鏡像：

root@killer:~#docker restart 349d

備注：紅色349d為鏡像名

7、訪問前台http://本機ip地址:8080，點擊“UploadEvent Log”上傳保存在本機的evtx格式或者XML格式的Windows安全日志文件，點擊“Browse”選擇日志文件，然后點擊“Upload”，進行上傳。

登錄類型 描述

2 互動(鍵盤和屏幕的登錄系統)

3 網絡(即連接到共享文件夾從其他地方在這台電腦上網絡)

4 批處理(即計划任務)

5 服務(服務啟動)

7 解鎖密碼保護屏幕保護程序(即unnattended工作站)

8 NetworkCleartext(登錄憑據發送明文。通常表示與“基本身份驗證”登錄到IIS)

9 NewCredentials如RunAs或映射網絡驅動器替代憑證。這個登錄類型似乎並沒有出現在任何事件。

10 RemoteInteractive(終端服務,遠程桌面或遠程協助)

11 CachedInteractive(與緩存域登錄憑證時登錄一台筆記本電腦等遠離網絡)

常見的登錄類型有2和3，“2”表示用鍵盤和鼠標登錄，而“3”意味着有人通過網絡遠程登錄。