banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

hackthebox sherlocks之Logjammer记录

image

[!hint]+ 场景
您获得了一个在大型咨询公司担任初级数字取证与事件响应(DFIR)顾问的机会。然而,他们提供了一项技术评估任务,需要您去完成。Forela-Security 咨询公司希望测试您对 Windows 事件日志分析的掌握程度。我们推测 Cyberjunkie 用户登录了他的电脑,并可能实施了恶意操作。请您分析所提供的事件日志,并将结果汇报给我们。

工具:event log explorer

Task1 cyberjunkie 首次成功登录电脑是在何时?(UTC 时间)

登陆的事件 ID 是:4624,过滤此 id

image

event log explorer 日志分析

image

27/03/2023 22:37:09,有时区,需要减 8 (东八区),也就是 27/03/2023 14:37:09

Task2 用户擅自修改了系统中的防火墙配置。通过审查防火墙的事件日志,我们可以确定新增的防火墙规则是什么名称。

打开防火墙日志就能看到

Metasploit C2 Bypass

image

Task3 防火墙规则是如何定义其流量方向的?

过滤 2004 即可

image

image

Outbound (出站)

Task4 用户对计算机的审计策略进行了调整。这种调整属于哪种子分类?

image

过滤 4719,也就是Other Object Access Events

Task5 cyberjunkie 创建了一个定时任务。这个任务的名称是什么?

安全事件中创建任务计划的事件 id 是 4698

image

HTB-AUTOMATION

Task6 文件的完整路径是什么,该文件被安排用于任务?

同上

C:\Users\CyberJunkie\Desktop\Automation-HTB.ps1

image

Task7 命令的参数包括哪些内容?

同上

-A [email protected]

Task8 系统中的杀毒软件发现了潜在的危险,并采取了相应的措施。究竟是哪个工具被杀毒软件判定为恶意程序呢?

windows defener 的查杀日志,打开查看查杀记录,事件 ID 为 1117

可以找到 SharpHound 文件

image

Task9 触发警报的恶意软件的完整路径是什么?

同上

C:\Users\CyberJunkie\Downloads\SharpHound-v1.1.0.zip

Task10 杀毒软件采取了哪些措施?

同上

Quarantine

image

Task11 用户通过 Powershell 来执行指令。具体执行了哪个指令呢?

powershell 日志,执行命令的事件 ID 4104

Get-FileHash -Algorithm md5 .\Desktop\Automation-HTB.ps1

image

Task12 我们怀疑用户删除了某些事件日志。哪个事件日志文件被清除了?

查看系统日志

image

Microsoft-Windows-Windows Firewall With Advanced Security/Firewall

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。