0x01 Windows應急日志常用的幾個事件ID
- 4624:這個事件ID表示成功登陸的用戶,用來篩選該系統的用戶登陸成功情況。
- 4625:這個事件ID表示登陸失敗的用戶。
- 4768:這個事件ID表示Kerberos身份驗證票證請求(TGT請求)
- 4769:這個事件ID表示已發出Kerberos服務票證請求(ST請求)
- 4776:這個事件ID表示計算機嘗試驗證賬戶憑據(NTLM)
0x02 LogonTracer
LogonTracer是一款用於可視化分析Windows安全事件日志尋找惡意登錄的工具。它會將登錄相關事件中找到的主機名(或IP地址)和帳戶名稱關聯起來,並將其以圖形化的方式展現出來。通過這種方式,可以看到哪個帳戶中發生過登錄嘗試以及哪個主機被使用。基於此研究,該工具可以可視化與Windows登錄相關的上述事件ID。
0x03 github地址
https://github.com/TheKingOfDuck/logonTracer
這里有LogonTracer的安裝方式
0x04 坑點
安裝好之后,打開頁面可能會沒有反應,並且點擊“Upload Event Log”按鈕沒反應,這是因為js是引用了遠程js,而這些js在國內是無法訪問的。
解決方法:
1、修改hosts文件,增加一行內容
151.139.237.11 cdn.rawgit.com
2、編輯網站文件index.html
將
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
替換為 https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js
0x05 使用
若neo4j數據庫中存在節點信息,需要手動刪除
MATCH (n)
OPTIONAL MATCH (n)-[r]-()
手動導入日志文件方法:
python3 logontracer.py -e 日志文件 -z 8 -u neo4j用戶名 -p neo4j密碼 -s 本機ip地址
啟動LogonTracer
python3 logontracer.py -r -o 8080 -u neo4j用戶名 -p neo4j密碼 -s 本機ip地址