首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

一款基于Windows事件日志的信息安全取证工具

科技   2024-10-22 08:30   重庆  

作者:WithSecureLabs

文章转自https://www.freebuf.com/sectool/412126.html

Chainsaw介绍

Chainsaw是一款基于Windows事件日志的信息安全取证工具,该工具提供了强大的“第一时间响应”能力,可以帮助广大研究人员快速识别Windows事件日志中的威胁。

Chainsaw提供了一种通用且快速的方法来搜索事件日志中的关键字,并使用内置检测逻辑和对 Sigma 检测规则的支持来识别威胁。

功能

1、使用Sigma检测规则和自定义 Chainsaw 检测规则搜寻威胁;

2、通过字符串匹配和正则表达式模式搜索并提取取证证据;

3、通过分析 Shimcache 工件并使用 Amcache 数据丰富它们来创建执行时间表;

4、分析 SRUM 数据库并提供有关它的分析结果;

5、转储取证证据的原始内容(MFT、注册表配置单元、ESE 数据库);

6、速度极快,用Rust编写,封装了EVTX 解析器库;

7、干净、轻量的执行和输出格式,没有不必要的臃肿;

8、TAU 引擎库提供的文档标记(检测逻辑匹配);

9、以多种格式输出结果,例如 ASCII 表格式、CSV 格式和 JSON 格式;

10、可以在 MacOS、Linux 和 Windows 上运行;

Windows 事件日志

Windows 事件日志为威胁搜寻和事件响应调查提供了丰富的取证信息来源。遗憾的是,处理和搜索事件日志可能是一个缓慢且耗时的过程,并且在大多数情况下需要周围基础设施(例如 ELK 堆栈或 Splunk 实例)的开销,才能有效地搜索日志数据并应用检测逻辑。这种开销通常意味着蓝队无法快速分类 Windows 事件日志,以提供进行调查所需的方向和结论。Chainsaw 解决了这个问题,因为它允许快速搜索和搜索 Windows 事件日志。

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/WithSecureLabs/chainsaw.git

并通过运行以下命令自行编译代码:

cargo build --release

构建完成后,我们可以在 target/release 文件夹中找到已编译二进制文件的副本。

如果你想快速查看 Chainsaw 运行时的样子,您可以克隆Sigma Rules和EVTX-Attack-Samples存储库:

git clone https://github.com/SigmaHQ/sigma
git clone https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES.git

然后使用以下参数运行 Chainsaw:

./chainsaw hunt EVTX-ATTACK-SAMPLES/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

工具使用

搜索

在所有 .evtx 文件中搜索不区分大小写的字符串“mimikatz”

./chainsaw search mimikatz -i evtx_attack_samples/

*在所有 .evtx 文件中搜索 powershell 脚本阻止事件 (事件 ID 4014)

./chainsaw search -t 'Event.System.EventID: =4104' evtx_attack_samples/

使用匹配的正则表达式模式在特定的 evtx 日志中搜索登录事件,以 JSON 格式输出

./chainsaw search -e "DC[0-9].insecurebank.local" evtx_attack_samples --json

获取取证

使用 Sigma 规则搜索所有 evtx 文件以了解检测逻辑

./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

使用 Sigma 规则和 Chainsaw 规则搜索所有 evtx 文件以了解检测逻辑,并以 CSV 格式输出到结果文件夹

./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml -r rules/ --csv --output results

使用 Sigma 规则搜索所有 evtx 文件以获取检测逻辑,仅在特定时间戳之间搜索,并以 JSON 格式输出结果

./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml --from "2019-03-17T19:09:39" --to "2019-03-17T19:09:50" --json

输出:

取证分析

使用提供的正则表达式模式分析 shimcache 工件,并使用启用了时间戳近对检测的 amcache 丰富功能。输出到 csv 文件。

./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt --amcache ./Amcache.hve --tspair --output ./output.csv

使用提供的正则表达式模式(不使用 amcache 丰富)分析 shimcache 工件。输出到终端。

./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt

SRUM(系统资源使用情况监视器)

分析 SRUM 数据库(SOFTWARE 配置单元是必需的)

./chainsaw analyse srum --software ./SOFTWARE ./SRUDB.dat --output ./output.json

输出:

项目地址

https://github.com/WithSecureLabs/chainsaw

参考资料

https://github.com/sbousseaden/EVTX-ATTACK-SAMPLEShttps://github.com/SigmaHQ/sigmahttps://github.com/WithSecureLabs/tau-engine
如有侵权,请联系我删除

 http://mp.weixin.qq.com/s?__biz=MzIwMzIyMjYzNA==&mid=2247516324&idx=1&sn=4673274e47d85b4ecf3739e7b753a934
HACK之道
HACK之道,专注于红队攻防、实战技巧、CTF比赛、安全开发、安全运维、安全架构等精华技术文章及渗透教程、安全工具的分享。
 最新文章
武装你的burpsuite
5W,建议师傅们冲一冲这个方向!!
一款用于进行DNS测速和DNS污染检测的神器
新一代Webshell管理器
实战 | 某外汇常用CMS通用未授权RCE
因数据泄露,上海某医疗科技公司被立案调查!(附解决方案下载)
干货 | HOST碰撞漏洞挖掘技巧
一个网络攻防应急演练剧本 收藏备用
70k很稳!师傅们,这个新方向火了!
网络安全行业有哪些证书值得考?
推荐一款牛X的蓝队防守利器 一键式多功能加解密工具
2024年热门网络安全行业认证证书
推荐一款功能强大的CTF比赛专用操作系统 开箱即用!
安全圈跳槽招人
一款基于Windows事件日志的信息安全取证工具
太猛了!华为大佬《Web安全学习笔记》火了!完整版PDF限时3天领取!
师傅们,这个新方向爆了!60K很稳!
一款针对Burp Suite Pro的安全扫描增强工具
实战 | 记一次攻防演练渗透测试实战
推荐一个灰常牛皮的永久渗透知识库
Oracle WebLogic Server 远程代码执行漏洞(CVE-2024-21216)
实战|对一次博彩站点的渗透测试
推荐一款功能炸裂、免费且不限速的红队远控神器
绕过CDN查找真实IP方法
推荐一款牛X的WAF防护效果测试工具
2024补天白帽大会全议程发布!
当孙悟空干起了安全!
蓝队宝典 | 异常流量阻断技战法分析与应用
实战|对某外企的一次内网渗透复盘
找到一个师傅们做私活的好地方...
SRC通过越权拿下高危漏洞
记一次实战中对Ruoyi系统的渗透
2024年热门网络安全行业认证证书
推荐一个资源丰富的永久渗透知识库
中国信息安全测评中心招聘非编资质测评人员
实战|攻防中如何利用 WAF 缺陷进行绕过
2024年工信部职业技术/专项技术认证
一款红队行动下的重点资产指纹识别工具
推荐一款渗透测试工具Mitan
师傅们,抓紧做这件事!
推荐一款功能牛X的自动解密被加密的报文工具
实战|记一次市级攻防演练中渗透的某个站点
安全圈红队招聘!
一个师傅们接私活的绝佳渠道...
实战|记一次攻防演练之迂回技战法真实案例
渗透测试的茫茫前路
记一次违法网站的渗透经历
攻防演练 | 某医院内网遨游
推荐一个灰常牛皮的永久渗透知识库
实战|记录某次"有趣的"挖矿木马排查
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉