1 工具介绍
处理和搜索事件日志可能是一个缓慢而耗时的过程,并且在大多数情况下,需要周围基础设施(例如ELK堆栈或Splunk实例)的开销来有效地搜索日志数据并应用检测逻辑。这种开销通常意味着蓝色团队无法快速分类Windows事件日志,以提供进行调查所需的方向和结论。Chainsaw 是一款基于 Windows 事件日志的信息安全取证工具,该工具提供了强大的“第一时间响应”能力,可以帮助广大研究人员快速识别 Windows 事件日志中的威胁。
2 基本使用
2.1 预备基础知识
Windows 事件日志文件保存在
%SystemRoot%\System32\Winevt\Logs路径中。可以使用 chainsaw 工具分析 window 日志。
常见日志文件主要有三个,分别是:
System.evtx、Application.evtx和Security.evtx。分别是系统日志、应用程序日志和安全日志。
System.evtx
记录操作系统自身组件产生的日志事件,比如驱动、系统组件和应用软件的崩溃以及数据丢失错误等等。
Application.evtx
记录应用程序或系统程序运行方面的日志事件,比如数据库程序可以在应用程序日志中记录文件错误,应用的崩溃记录等。
Security.evtx
记录系统的安全审计日志事件,比如登录事件、对象访问、进程追踪、特权调用、帐号管理、策略变更等。
Security.evtx也是取证中最常用到的。
默认情况下,当一个
evtx文件的记录满了,日志服务会覆盖最开始的记录,从头开始写入新的记录。也就是相当于一个循环记录的缓存文件。
2.2 日志搜索
1、在所有 .evtx 文件中搜索不区分大小写的字符串“mimikatz”
命令: ./chainsaw search mimikatz -i evtx_attack_samples/
2、在所有 .evtx 文件中搜索 powershell 脚本阻止事件 (事件 ID 4014)
命令: ./chainsaw search -t 'Event.System.EventID: =4104' evtx_attack_samples/
3、使用匹配的正则表达式模式在特定的 evtx 日志中搜索登录事件,以 JSON 格式输出
命令: ./chainsaw search -e "DC[0-9].insecurebank.local" evtx_attack_samples --json
2.3 日志取证
1、通过使用内置的 Sigma 检测规则搜索所有 evtx 文件识别可疑威胁
命令: ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml
2、使用 Sigma 规则和 Chainsaw 规则搜索所有 evtx 文件以了解检测逻辑,并以 CSV 格式输出到结果文件夹
命令: ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml -r rules/ --csv --output results
3、使用 Sigma 规则搜索所有 evtx 文件以获取检测逻辑,仅在特定时间戳之间搜索,并以 JSON 格式输出结果
命令: ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml --from "2019-03-17T19:09:39" --to "2019-03-17T19:09:50" --json
2.4 日志分析
1、使用提供的正则表达式模式分析 shimcache 工件,并使用启用了时间戳近对检测的 amcache 丰富功能。输出到 csv 文件。
命令: ./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt --amcache ./Amcache.hve --tspair --output ./output.csv
2、使用提供的正则表达式模式(不使用 amcache 丰富)分析 shimcache 工件。输出到终端。
命令: ./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 dacker1993@gmail
