摘要
在信息安全事件中收集和分析数据可能是漫长而乏味的。 即使只有一个系统被入侵涉及的数据也是大量的。 大的公司和资金充足的事件响应小组通常使用SIEM产品来帮助筛选数据,以查找与入侵相关的工件。
本白皮书将向读者展示如果事件响应者不使用SIEM或类似产品,如何在入侵期间使用Microsoft Excel进行分析。
(一)介绍
本文将向您展示如何使用Microsoft
Excel来搜索不同的数据来查找响应入侵所需的数据。将数千个日志条目导入到Excel汇总,并且去搜索是不是现实的。但是,如果企业中没有SIEM产品,但是只需一些知识和少量编码,就可以使用Excel作为合适的替代品。当然还是需要一些努力,因为没有魔术按钮来产生想要结果,本文描述的过程将过滤掉不需要的数据变得更容易,更直观的。
检查日志时,我们会查找攻击指标(IOC),IOC可以指向其他被攻击系统。日志的检查不是深层次的取证分析。没有足够的时间来查看每个系统的每个日志。本文描述的方法将帮助找到明显的异常,并确定下一个需要检查的系统。
本指南将为每个示例提供最多三种方法。第一种是,通过使用工具栏命令来显示使用Excel。第二,如果可用,将创建一个Excel功能,以显示如何自动化。第三,为了进一步增强Excel功能,将使用VBA。知道操作不同类型数据的不同方法使得我们可以将结果合并到标准输出中。
为了防止此文档过长和难以搜索,VBA代码将在GitHub网站上提供。 https://github.com/gregory-lalla/GCIH_Gold/。
(二)使用的工具
Microsoft Excel 2010、Developer Toolbar added to the Ribbon.
(三)基本概念
格式化(Formatting)、过滤( filtering)和组织(organization)是本文中查找响应事件所需的核心技术。以下是如何使用Excel显示数据,更容易分析的建议。当查看本文后面讨论的不同类型的日志时,将使用这些技术。
3.1 系统时间
首先,根据地理位置,可能需要调整时区设置。如果所有系统的位置在相同的时区,那么可以在本地时区中执行数据关联。如果您的系统跨越时区,最好使用世界标准时间(UTC)进行所有分析。使用UTC,所有数据将按时间顺序排列。为了使此过程更容易,系统时间应更改为UTC,以便应用将自动生成正确的时间格式。
另一个要更改的设置是分析计算机的日期和时间格式。
Excel在公式栏中显示信息时,会使用系统的日期/时间。为了使整个调查和报告中的内容保持一致,请将日期/时间设置为“mm / dd /
yyyy
hh:mm:ss”(不含引号)。此设置使所有日期和时间值长度为19个字符。要进行此更改,请参考:https://support.office.com/en-us/article/Change-the-Windowsregional-
settings-to-modify-the-appearance-of-some-data-types-edf41006-f6e2-4360-
bc1b-30e9e8a54989/.。
最后,Excel spreadsheets中的日期和时间需要格式化,以显示相同的“mm / dd / yyyy hh:mm:ss”格式。在下面的示例中,您可以对包含日期和时间值的列A,进行设置日期/时间格式,如图1。
3.2 一致的结果
其他列显示的数据也应该具有统一的外观,这样可以更容易地发现趋势、不一致、模式等。在本文中,将在所有电子表格中使用以下列标题来实现一致的外观:
•Column A Header Name = Date/Time
• Column B Header Name = Account
• Column C Header Name = Computer
• Column D Header Name = Description
• Column E Header Name = Details
• Column F Header Name = Properties
• Column G Header Name = Miscellaneous
• Column H Header Name = Artifact
3.3 格式化
要轻松阅读数据,您将冻结首行,并设置粗体字体;启用列上的过滤器;将列宽设置为“Autofit”;和表格“左对齐”。尽可能减少数据,并在日期/时间列,按从旧到新来排序。请参阅GitHub页面,该页面具有名为“Standard_Format.xltm”(https://github.com/gregorylalla/
GCIH_Gold / blob / master / Docs / Template /
Standard_Format.xltm)的标准格式的Excel模板。
3.4 关键字,命名单元格和过滤器
本文重复的常见主题之一是数据简化(data reduction.)。 Excel可以处理大量数据,但在处理和分析数据有时间成本。检查的每个日志文件将具有唯一entries,响应者必须减少数据,同时不丢失与事件相关的重要数据。
数据简化的一种方法是使用关键字。使用关键字的列表来帮助确定与入侵相关的已知或可疑活动。应该保持两种类型的关键字列表。一种是在整个调查期间发现的所有term的一个主列表,以及一种是事件列表,记录日志分析的事件列表。将事件关键字列表裁剪到要检查的日志文件,减小过滤数据的输出。
减少数据时,面临的一个问题是希望随着行和列的调整而保留更改的数据的位置。当使用“‘Named
Cells’”(图2中的蓝色箭头)时,需要记住数据的这种移动,即使单元格中的数据移动到新位置。因此,在使用“‘Named
Cells’”之前,请减少并调整所有数据。如果“‘Named Cells’”中的数据将发生变化,那么跟踪该数据的好方法是使用“‘Fill
Colors.’”。当关键字搜索命中时,高亮显示,高亮特定颜色的单元格或整行。使用过滤器,您可以点击几下鼠标来定位“彩色”数据。
手动使用关键字,基本搜索功能可用于查找关键字。在单元格中找到关键字时,在单元格“Name
Box’”(图2中的蓝色箭头)中输入唯一标识符。唯一标识符名称具有以下规则:“名称的第一个字符必须是字母,下划线字符(_)或反斜杠(\)。名称中的剩余字符可以是字母,数字,句点和下划线字符“(见”公式中的定义和使用名称
– Excel“,2017)。
命名单元格后,使用颜色填充包含该关键字的整个行(图3)。对于找到的每个关键字,您可以继续使用相同的颜色,或将其更改为与每个关键字特征相关的不同颜色。使用填充颜色有助于使用过滤器工具,这将在下文中进一步讨论和演示。
在“查找和替换”窗口中单击“查找下一个”以查找关键字的下一个。
一旦找到,给这个单元格一个相似但唯一的名称,以区别于第一个结果,并给它一个“填充颜色”。例如,第一个唯一的单元格名称将是’Svchost_Evil_1’,第二个将是’Svchost_Evil_2
‘在关键字’svchost.exe’上找到匹配项。“以所有方式搜索所有关键字后,您可以通过单击单元格”名称框“中的下拉箭头并选择其中一个条目来导航到这些单元格(图
4)。 您还可以通过转到“‘Formulas”功能区选项卡并选择“‘Name Manager’ icon”图标来管理“Named
Cells”并查看其位置(图5)。
使用“Named Cells”是查找已知的快速方法。通过检查这些单元格周围的数据,也可以找到更多的关键字。
过滤器是查找数据并在视觉上减少数据的另一种技术,只显示分析师希望查看的那些单元格。有两种方法可以使用过滤器。有一个基本的过滤器,您可以使用AND OR运算符,每列最多可以筛选两个项目。要过滤两个以上的项目,有高级过滤器可用于搜索具有更复杂选项的数据。
我们在前面的例子中已经启用了基本的过滤器。单击标题单元格中的下拉箭头。选择“Text Filters’选项,然后选择一个过滤器选择(参见图6)。
当过滤器窗口出现后,在对话框中输入要定位(或排除)的单词。 过滤器将仅显示列中(或不具有)字中的行。 您还可以在搜索关键字搜索期间使用“Fill Colors’”,以仅显示您希望看到的颜色(图7)。
高级过滤器允许您在列中搜索两个以上的关键字。垂直列出的单词使用OR运算符,水平的列表使用AND运算符。图8显示了一个高级过滤器的示例,您可以在其中搜索五个关键字的“Details’”列。用星号围绕关键字会查找包含该字词的单元格。有关过滤器的详细信息,请参阅https://support.office.com/enus/
article/Filter-by-using-advanced-criteria-4c9222fe-8529-4cd7-a898-3f16abdff32b/.。
注意过滤的关键字数据的时间表。当查看具有成千上万行数据的所有日志文件时,在决定要导出以进行分析时(如果给出选项),该范围将很重要。日期/时间列上的下拉菜单用于按时间框架进行过滤(图9)。选择“Between…’”过滤器将允许您捕获两个日期之间的所有数据,缩小您需要检查的数据。
需要注意的是,按时间过滤,结果可能有incident timeline之外的时间戳。当结果显示文件编译时间而不是执行时间时,可能会出现这些时间戳。另一个例子是time-stomping,这是一种反取证技术,改变文件的MFT时间戳。
发现与入侵有关的任何新条目应为“Named’”和“filled”。然后,应将突出显示的行复制到单独的工作簿上,该工作簿将所有有意向的行。
3.5 宏
上述许多任务是乏味和重复的。在这种情况下,使用VBA宏自动执行任务变得更加容易。将提供几个VBA宏,因此不需要手动执行任务。要使用宏,请在Excel中打开导出的日志文件,然后将其另存为带有XLSM文件扩展名的启用Excel宏的工作簿文件。打开新创建的.XLSM文件将宏导入到电子表格中。需要通过按Alt-F11键启动VBA编辑器窗口。打开VBA窗口,选择“文件”下拉菜单,然后单击“导入文件”。使用您要运行的代码浏览到.BAS文件,然后选择“打开”。关闭VBA窗口并返回到电子表格。在“Developer’”选项卡下,选择“Macros’”按钮,突出显示弹出窗口中新引入的宏,选择“运行”(参见图10)
GitHub存储库中有几个宏可以自动执行上述过程。有关存储库中可用的宏列表以及每个实现的宏的描述,请参见附录C.
3.5 Pivot Tables
Pivot
Tables是以视觉方式对数据进行排序的绝佳方式,您可以选择感兴趣的结果。 使用Windows事件查看器日志时,数据分类尤其如此。
以XML表格格式导出数据提供可用于对数据进行分类的标题,以便您查看趋势和共同点。
GitHub网站有一个名为“Pivot_Table_Example.docx”的文档,其中显示了如何使用数据透视表分析数据的示例(https://github.com/gregorylalla/
GCIH_Gold / blob / master / Docs / Supplement /
Pivot_Table_Example.docx )。
(四)收集数据
解释了使用Exce处理日志的要点后,需要日志文件上使用这些技术。本节将讨论事件响应者在调查被攻击网络时可能需要检查的不同日志文件的示例。然后在下一节中,将使用本文中描述的技术来分析案例研究。附录D详细说明了案例研究中Windows日志文件的格式。名为“Additional_Log_Formatting_Instructions.docx”(https://github.com/gregorylalla/
GCIH_Gold / blob / master / Docs / Supplement /
Additional_Log_Formatting_Instruction
s.docx)的GitHub网站上的补充文档提供了有关其余日志文件的详细说明。
4.1 Windows日志
4.1.1 事件查看器日志
从Windows操作系统收集的信息/数据的主要来源之一将来自事件查看器日志(Event Viewer logs),如果审计设置已正确配置(请参阅https://technet.microsoft.com/enus/
library/ee513968%28WS.10%29.aspx
for recommendations).不幸的是,“Microsoft Windows事件日志是由特殊记录组成的二进制文件 –
Windows事件”和解析数据并不像在文本编辑器中操作文件那么简单。此外,当从本机Windows事件查看器工具(Windows Event
Viewer
tool)导出数据时,根据所选格式,返回不同的数据。最后,如果您曾尝试使用本机Windows事件查看器工具进行过滤或搜索,那么您知道它有很多限制,并且非常慢。
因为事件查看器日志可以包含数十万条目,所以必须将数据减少到可管理的级别。由于事件查看器GUI非常慢,因此应使用名为WEVTUTIL.EXE的本地Windows命令行程序来导出数据。该工具生成的XML文件,Excel无法打开。运行命令时,有几个选项可以将数据按照Excel接受的格式输出。要获得正确的结果,您可能需要mix
and match the switches,直到获得兼容的输出。
4.1.2 ShimCache Entries
ShimCache或Application Compatibility Cache条目显示在系统上运行的可执行文件。 “Windows
Shimcache是由Microsoft在Windows
XP中创建的,以跟踪执行程序的兼容性问题…,了解在Shimcache中可能存在的没有被执行的条目很重要”(Parisi,2015)。
“Microsoft在Windows Vista,7,Server 2008和Server 2012中设计了Shimcache,为每个条目纳入”ProcessExecution Flag“类别(Parisi,2015)。有关Shimcache的更多详细信息以及XP
/ 2003和Vista +之间的差异,请访问https://www.fireeye.com/blog/threatresearch/
2015/06 / caching_out_the_val.html
4.1.3 Shellbags
Shellbags反映了用户使用Windows
Explorer访问的位置。
“Shellbags在Windows注册表中,存储用户首选项,例如窗口的大小或项目的列表。对于文件夹中存在的包,它必须至少在Windows
Explorer中被用户打开一次“(Cowen,2013,第13章)。用户的usrclass.dat(Vista
+)和NTUSER.DAT注册表文件包含Shellbag结果。
4.1.4 AutoRun Entries
AutoRun
Entries是指“自动运行的软件,而不是由用户指导启动。这些包括在电脑启动时启动的驱动程序和服务;用户登录时启动的应用程序,实用程序和shell扩展;和Internet
Explorer启动时加载的浏览器扩展“(Russinovich,2011,第5章)。要解析自动运行数据,运行autorunsc.exe命令。
4.1.5 Web Browser Logs
客户端浏览器可以通过用户浏览互联网或通过点击电子邮件或文档中的链接,来提供攻击者最初到达系统的线索。这些信息对于针对公司雇员的靶向性攻击可能是非常有价值的。本节将检查index.dat文件中IE历史记录/缓存日志。较新版本的IE将其数据存储ESE数据库中。还有其他浏览器使用SQLite数据库。从数据库中导出的数据变成明文格式后,数据是相似的。
4.1.6 MFT Entries
“主文件表(MFT)是NTFS的核心,因为它包含有关所有文件和目录的信息。
4.1.7 Prefetch Entries
“应用程序Prefetch旨在Windows系统中实现更好的用户体验,系统通过在监视应用程序的启动,以便下次启动应用程序时,启动速度更快。这样,系统不需要跨文件系统查找需要启动应用程序的DLL和其他数据
– 它知道在哪里找到它“(Carvey,2014,第98页)。
4.2 其他日志文件类型
4.2.1 Linux系统日志
在Linux中由许多应用程序和服务生成的日志的格式化使得将数据导入Excel具有挑战性。手动处理数据并不困难,但必须使用各种工具在几个阶段完成。许多工具起源于UNIX操作系统,但本文档中使用的工具全部已移植到Windows。这些工具来自运行在开源工具包CYGWIN下的GNU实用工具。
Linux生成几个明文系统日志,这些日志可能对事件响应分析有价值,而且所有日志格式都具有相同的日志格式。在补充中,我们将专门查看Syslog,Auth.log和Cron.log文件,但是我们可以对Daemon.log,Boot.log,Mail.log和其他系统日志文件使用相同的技术。Linux主机上系统日志的列表,请参见http://www.thegeekstuff.com/2011/08/linux-var-log-files/。
syslog处理来自整个系统的消息,以包括上述许多系统日志。根据syslog.conf配置文件中日志记录的配置,大部分消息通常发送到“syslog”日志文件。 Auth.log文件包含用户认证信息,Cron日志记录在系统上运行的cron作业的活动。
4.2.2 Apache访问和错误日志
在Linux服务器上可以找到的另一个日志是Apache www-access.log文件,它记录从客户端到Web服务的连接。 Web服务器经常被利用,并可以向攻击者提供一个初步跳板进入网络。记录的内容可能会因Web服务器的配置而异。
Apache错误日志包含Web服务器错误和资源警报。此日志的格式与之前讨论的Linux系统日志类似。日志应该修改日期和分隔符,因此每个字段都在其正确的列中。
4.2.3 IIS Web和FTP日志
IIS Web日志能轻松导入到Excel中。然而,标题在整个日志文件中的散布是唯一真正的问题。通过在日期/时间列中对不属于日期/时间格式的条目进行过滤,可以找到并删除额外的标题。
4.2.4 IPTables防火墙日志
与其他类型的成果结合使用,检查网络流量也可能通过识别与事件相关的通信,并将这些IP地址添加到关键字进一步检查。
IPTables,并且大多数其他防火墙将生成可以导出和检查的日志,也将有助于您的调查。 IPTables在Unix / Linux系统上运行,并且具有与本文前面讨论的Linux系统日志格式类似的日志。因此,使用相同的步骤来修复日期并设置字段的描述。
4.2.5 Packet Captures
包捕获也可以包括在事件的分析中。为了在导出时正确地格式化数据包,需要更改Wireshark中的列以产生所需的结果。
4.2.6 Snort和Bro IDS日志
基于主机和基于网络的IDS日志对于汇总分析至关重要,因为它可能是您首先了解入侵的主要原因。这些日志通常包含来自最佳视点的数据,无论是从网络还是主机角度。
Snort是一种开源产品,“支持在检测到入侵事件时发送实时告警,甚至可以用作在线入侵防御系统,使您能够实时和多种不同的媒体接收告警,而不是不得不连续坐在一个桌子上监控Snort系统,每天24小时“(Caswell,2007,第2章)。
以快速警报模式运行snort,所生成的日志作为补充,”使用时间戳,警报消息,源和目标IP /端口以简单格式写入告警(Roesch,2003)。
Bro是另一个开源入侵检测系统。
“Bro检查流入和流出网络的所有流量。在被动模式下运行,可以为可疑活动或活动模式生成告警,主动模式下,它注入流量以破坏恶意活动…与其他NIDS不同,Bro监视流量流,而不是仅匹配单个数据包中的模式。这种操作方法意味着Bro可以根据谁对谁进行检测,即使没有匹配任何特定的字符串或模式也可以检测到可疑活动“(Nemeth,2010,第22章)。
Bro生产几种日志,可以使用补充中描述的技术来实现我们的标准布局。
以下是Bro生成的一些日志:Conn,DHCP,DNS,文件,HTTP,奇怪等。补充说明将检查记录Bro Connect log (conn.log),记录TCP,UDP和ICMP连接。
(五)案例研究
5.1 SANS Stark Research Labs
本案例研究中提取和导入相关日志文件的技术如附录D所示。用于自动化数据操作的宏将在附录C中列出。这些工具和技术通过检查在SANS法医508高级计算机确诊分析和事件响应演习工作簿“Stark
Research Labs
Intrusion”得到验证。该场景描述了一家公司2012年4月6日接到一个电话,来自一个政府机构,宣称“我们已经看到几百兆的敏感数据从你的网络泄露到一个国外。不要问我们怎么知道,去查看你的10.3.58.7“(Lee,2014,ex。0
p。2)。
提供了有关公司及其资产的其他信息后,事件响应小组编制了一份初步关键字列表,其中包括以下术语:hydra,star fury,agent,secret和formula。在下面讨论日志文件和工件时,您可以假设文件已经使用标准格式导入到Excel中。
5.1.1 WinXP-TDugan(WKS-WINXP32BIT)
报告的主机泄漏数据(IP地址为10.3.58.7)是运行Windows
XP的机器。由于数据似乎正在主动离开主机,所以第一步是查看系统上运行的应用程序。有两个可以显示工作站上运行的工件的文件。第一个是Prefetch
files.。将我们的初始关键字列表应用于输出,HYDRAKATZ.EXE命中一次。该文件的名称与Mimikatz类似,Mimikatz是用于捕获用户凭据的后期利用工具。我们将标记这个可疑的可执行文件,”Named
Cell’为“HYDRAKATZ _1,并以黄色突出显示该行(图11)。
这个关键字命中也给了我们一个初步的事件时间表。文件Hydrakatz于04/03/2012运行,政府的告警是04/06/2012有关数据泄漏。看看这个时间框架内的预取条目给了我们更多的线索。在hydrakatz.exe周围,有一个似乎是随机生成的名称PKXEZY1TJI98.EXE的文件;两个名称不同的文件,HYVY.EXE和A.EXE;并执行FTP.EXE。这些都高亮显示(图12)。
在时间框架内,我们看到在系统中攻击者可能运行命令(图13)。还有另一个名为PE.EXE的可疑文件。这些都是“Named’”,并高亮(图13)。
关键字列表应标识的新找到的关键字,在“Prefetch.”输。随着新的发现,这些将被添加,以帮助找到其他攻击指标。包含文件执行的第二个结果是注册表中的ShimCache条目。
针对ShimCache成果运行关键字,文件PE.EXE产生一个命中。在此输出中,还有一个位于奇怪位置的可执行文件,它具有与PE.EXE相同的时间戳。通常svchost.exe在C:\
Windows \ System32中。它在C:\ Windows \ System32 \
dllhost中的位置使其可疑。由于合法的svchost.exe文件显示在很多日志中,因此这个IOC的关键字将是’\ dllhost
\’。两个条目均为“Named’”并高亮(图14)。
接下来,我们将看MFT文件。在针对该文件的输出运行关键字后,我们现在可以看到可疑结果的完整路径(图15)。
在查看关键字匹配时,您会注意到它们通常以组出现。查看其中一个,我们在几个可疑可执行文件的中间看到一个名为SEKURLSA.DLL的新结果(图16)。Googling这个文件名,它属于前面提到的Mimikatz工具。这个发现证实了我们的猜测,文件hydrkatz.exe是伪装的Mimikatz。
因此,我们将Sekurlsa.dll添加到我们的关键字列表中。最后,很容易地过滤特定路径上的数据,以查看是否有相同目录中的任何其他感兴趣的文件。看看c:\
windows \ system32 \ dllhost \,我们找到文件WINCLIENT.REG,我们将添加到关键字列表(图17)。
使用到目前为止发现的关键字或IOC,我们可以开始在网络上查找其他被攻击的系统。
5.1.2 Win7-32-NROMANOFF(WKS-WIN732BITA)
对工作站WKS-WIN732BITA(10.3.58.7)prefetch files 运行我们的关键字生成A.EXE和HYDRAKATX.EXE命中。在前面建立的入侵时间框架内,我们看到攻击者可能使用本机Windows工具来探索主机和网络(图18)。
一个接一个地执行两个具有随机生成名称的可疑文件(图19)。
最后,有一个与Microsoft的远程管理命令工具,名为PSEXEC的知名结果。系统的管理员可以使用该工具来管理系统,但是由于它出现在我们的时间范围内,可能是对手横向移动的指示,所以关键字PSEXE将被添加到我们的列表中,以发现“客户端”是否执行PSEXEC.EXE和“服务。在PSEXESRV.EXE之下是在工作站WKS-WINXP32BIT上观察到的另一个结果,名为SPINLOCK.EXE。由于该可执行文件在PSEXEC两分钟后运行,并且由于文件名称对我们来说不熟悉,因此也将添加到关键字列表中(图20)。
在Autoruns output查找关键字给我们两个命中。一个在PSEXESRV.EXE,一个用于C:\ Windows \ System32 \ dllhost \ svchost.exe(图21)。
当检查用户Vibranium的Shellbag条目时,我们再发现两个命中(图22)。
针对ShimCache条目运行关键字会产生几个有趣的结果。首先,我们看到C:\
Windows \ Temp \
a.exe在一个小时内执行了47次。从关键字列表中找到一个包含文件名的条目,但使用不同的文件扩展名。回想到,我们看到一个名为WINCLIENT.REG的可疑文件。关键字列表只包含WINCLIENT作为搜索词。这个缩短的关键字在WINCLIENT.EXE中产生了一个命中,我们在用户Vibranium的下载文件夹中找到了一个命中(图23)。此用户帐户与上述访问C:\
Windows \ System32 \ dllhost \目录中的用户帐户相同,该目录包含WINCLIENT.REG文件。
最后,从04/03/2012起,每个条目都是一个命中。看这三个文件,它们显得可疑,并被标记(图24)。
针对MFT文件运行关键字,向我们展示了结果的在系统的路径(图25)。
对Application Event Viewer log运行关键字产生了两个命中(图26)。
The Security Event Viewer log有几个关键字(图27)
最后,System Event Viewer log有一堆命中(图28)。
使用事件ID而不是关键字检查Event
Viewer logs,还会生成一些以前未知的信息。事件ID 5156(The Windows Filtering Platform has
permitted a connection”)
显示从一个可疑可执行文件到IP地址12.190.135.235的出站连接(图29)。该地址将添加到关键字列表中,并可能添加到公司的网络设备中,以记录或阻止仍然进入该位置的任何连接。
检查the
Event Viewer Security log的CSV输出中的事件ID,会显示与入侵有关的其他一些活动。首先,我们过滤事件ID
4624(“一个帐户已成功登录”)类型10(“RemoteInteractive”),它显示了使用远程桌面协议可能的横向移动(图30)。
接下来,我们对事件ID 4717,4724,4732,4733和4738进行过滤。这些事件ID涉及对用户帐户所做的更改。过滤器的结果显示帐户RSYDOW对帐户SRL-Helpdesk的活动(图31)。
最后,根据事件ID检查System
Event Viewer
log会生成多个关键字。过滤的事件ID为7045(“系统中已安装服务”)。此过滤器显示了我们已经看到的几个可疑可执行文件的命中情况,但也为我们提供了Mys,winsvchost和MqlXmtLRaYQDMsvljY的唯一服务名称(图32)。我们在关键字列表中添加了这三个新词。
5.1.3 Win7-64-NFURRY(WKS-WIN764BITB)
对工作站WKS-WIN764BITB(10.3.58.6)运行我们的关键字列表,Autorun entries显示了运行我们在此网络上其他计算机上看到的两个可疑可执行文件的计划任务(图33)。
对NFurry Shellbag条目的搜索显示了几个可疑可执行文件所在的目录C:\ Windows \ System32 \ dllhost \(图34)。
对系统上的MFT条目的关键字搜索在用户的回收站中显示可疑的WINCLIENT.REG文件(图35)。
当我们查看Application Event Viewer log时,会显示两个可疑SVCHOST.EXE文件的条目(图36)。
最后对于这个主机,在System Event Viewer log,中,发现PSEXEC和PSEXESVC的服务(图37)。
5.1.4 Win2008R2控制器(CONTROLLER)
在本案例研究中检查的最后一个主机(IP地址10.3.58.4)是域控制器。当我们查看Autorun entries,时,我们发现SPINLOCK.EXE(图38)。
检查MFT日志显示系统上的PSEXEC和Spinlock(图39)
Application Event Viewer 在Windows错误报告(WER)中记录相同的SPINLOCK.EXE文件(图40)
Security Event Viewer log(图41)和System Event Viewer log(图42),都显示PSEXESVC.EXE服务正在运行。
5.1.5. Master IOC Spreadsheet
从每个工作站发现的所有命中,并将它们组合成一个主电子表格允,可以看到攻击者按时间顺序做什么;他们在系统中使用什么工具?以及他们部署了哪些功能。为了演示本文中概述的技术。当我们看事件的时间表时,事件似乎已经开始于04/03/2012,利用主机TGUNGAN(WKS-WINXP32BIT),然后横向移动到主机NROMANOFF(WKS-WIN732BITA),然后到域控制器(CONTROLLER),最后到NFURY(WKS-WIN764BITB)(图43)。
对手的主机使用的工具包括svchost.exe(图44),
a.exe(图45),spinlock.exe(图46),winclient(图47)和psexesvc(图48)。
知道入侵的对手的能力对防御者和响应来说也很重要。图48已经表明入侵者可能使用Microsoft的PSEXEC来协助横向移动。还有证据表明,对手通过Scheduled Tasks运行恶意软件(图49),并使用工具Mimiatz工具窃取用户凭据(图50)。
(六)结论
在事件发生期间使用Microsoft
Excel进行调查,可以将大量不同的数据源汇集在一起,并具有标准格式,可以快速方便地分析数据。它还允许分析人员分析数据,以从被掩埋在原始文件中的不相关事件,挖掘出攻击指标。本文介绍了一些Microsoft
Excel的功能和功能。自动化分析数据所涉及的过程越多,工具就越好。考虑在VBA编程,并利用Microsoft和第三方实体提供的插件/插件,可以进一步扩展对数据的分析。
SANS的英文链接:https://www.sans.org/reading-room/whitepapers/detection/hunting-log-data-excel-37745
可以参考附录