Wevtutil.exe 管理 Windows 事件日志,协助系统管理员,但可被攻击者利用进行日志操纵、逃避和数据泄露。
离地攻击二进制文件和脚本 (LOLBAS) 技术已成为攻击者的常用策略。这些方法依靠合法的、预安装的 Windows 工具来执行恶意活动,通常会悄无声息地绕过安全控制。在这篇文章中,我们将仔细研究一个鲜为人知的用途wevtutil.exe,这是一个用于管理 Windows 事件日志的实用程序,以及如何将其用作强大的 LOLBAS 工具。
什么是 Wevtutil.exe?
Wevtutil.exe是 Windows 提供的用于查询、导出和管理事件日志的命令行工具。系统管理员通常使用它来收集和管理日志以进行故障排除或审计。尽管其预期用途是这样的,但其功能wevtutil.exe可能会被恶意操纵,用于非预期用途。
主要特点wevtutil.exe包括:
将事件日志导出为 XML 格式。
清除特定或所有事件日志。
根据定义的标准查询事件日志。
这些功能是wevtutil.exe一把双刃剑:虽然对于合法操作来说非常有价值,但它们也可以帮助攻击者掩盖踪迹或泄露信息。
在 LOLBAS 上下文中使用 Wevtutil.exe
Wevtutil.exe可以在 LOLBAS 环境中利用该漏洞清除、查询或导出事件日志,帮助攻击者逃避检测并窃取数据。它本身存在于 Windows 系统上,使其成为一种隐秘而有效的后利用活动工具。
选择性清除日志以逃避监管
攻击者可以使用wevtutil cl清除所有日志或选择性清除特定日志。虽然清除日志不是一种新策略,但使用不太常用的实用程序可能会逃避主要针对广泛使用的工具(例如PowerShell)的传统检测机制。
wevtutil cl Application下面是事件查看器中应用程序事件日志的视图。
作为标准用户,尝试运行该命令会导致“拒绝访问”错误。
使用提升的命令提示符,运行该命令可成功清除应用程序日志。
局限性:
该wevtutil命令无法清除事件日志中的特定事件。它对整个日志文件进行操作,不支持选择性删除单个事件。
虽然wevtutil.exe也可以用于清除安全事件日志,但这样做并不像清除其他日志那样隐蔽。清除安全日志会在 Windows 事件查看器中生成事件 ID 1102。此事件是一个关键的安全信号,表明审计日志已被清除。
事件 ID 1102 包含用户名和负责清除日志操作的进程等详细信息,因此很容易被防御者和安全监控工具注意到。这种固有的可追溯性使其对专注于逃避攻击的攻击者来说不那么有吸引力。
默认情况下, Windows不会记录清除非安全日志(如应用程序或系统)的事件。存在这种差异是因为安全日志被视为系统审计和取证调查的重要组成部分,而其他日志则不遵守相同的标准。
为了缓解这种情况,管理员可以启用审计策略来跟踪日志清除活动。相关设置是:
启用审核策略:
使用以下组策略设置审核日志管理操作:
审核策略更改(针对高级审核策略)
路径:计算机配置 > Windows 设置 > 安全设置 > 高级审核策略配置 > 对象访问 > 审核其他对象访问事件
特权和检测注意事项:
所需权限:管理员或同等权限。
原因:清除事件日志会影响系统审计,因此必须限制清除日志,以防止篡改或销毁取证证据。只有管理员组中的用户或具有提升权限的帐户才能清除日志。
检测提示:清除日志通常会生成一个事件(例如,安全日志中的事件 ID 1102),如果采用了集中式日志记录,则可以向防御者发出警报。
事件日志泄露
Wevtutil.exe可以使用该命令以 XML 格式导出事件日志wevtutil qe。攻击者可以提取嵌入在日志中的敏感信息(例如,凭证或内部活动指标)并将其泄露。
wevtutil qe Security /f:xml > exported_logs.xml作为标准用户,尝试运行该命令会导致“拒绝访问”错误。
使用提升的命令提示符,运行命令成功将日志导出到我们的桌面。
以下是一些用于导出日志的替代命令:
wevtutil epl Security exported.evtx
wevtutil epl Application exported.evtx特权和检测注意事项:
所需权限:管理员或对正在导出的特定日志具有读取权限的用户。
原因:读取和导出日志通常需要相关日志文件的访问权限。虽然管理员通常可以访问所有日志,但非管理员用户只能访问明确授予权限的日志(例如应用程序日志)。
例子:
安全日志:通常仅限于管理员和事件日志读取器。
应用程序/系统日志:在某些配置下标准用户可以访问。
侦察日志查询
Wevtutil.exe允许精确查询日志,使攻击者能够收集有关系统活动或用户行为的情报。通过利用自定义查询,攻击者可以洞察身份验证尝试、系统错误或特权操作。
wevtutil qe Security /q:"*[System[EventID=4624]]"作为标准用户,尝试运行该命令会导致“拒绝访问”错误。
使用提升的命令提示符,成功运行该命令会显示与事件 ID 4624 相关的所有日志。这将检索成功登录事件的条目,从而允许攻击者分析用户活动模式。
特权和检测注意事项:
所需特权:
敏感日志(例如安全)的管理员或事件日志阅读器角色。
根据权限,标准用户用于处理应用程序或设置等日志。
原因:查询日志比清除日志的侵扰性更小,因此访问通常更为宽松。但是,关键日志(如安全日志)仍仅限于特权用户访问。
通过 LOLBAS 实用链绕过检测
作为 LOLBAS 实用程序链的一部分使用wevtutil.exe 可以进一步混淆操作。例如,攻击者可以:
使用 导出日志wevtutil.exe。
使用 压缩导出的文件makecab.exe。
用于certutil.exe将文件上传到远程位置。
为了应对这些新的滥用行为wevtutil.exe,组织应该考虑以下策略
增强监控
监控的使用情况wevtutil.exe,尤其是诸如cl(清除日志)或qe(查询/导出日志)等不寻常的命令。
建立合法使用wevtutil.exe检测异常的基线。
事件日志完整性
实施严格的访问控制,以防止未经授权的用户清除或导出事件日志。
利用集中式日志聚合来确保冗余并检测差异。
行为分析
将行为分析与基于规则的监控相结合,以识别与 LOLBAS 技术一致的模式。
标记 LOLBAS 实用程序链中常用的工具组合(例如,wevtutil.exe后跟makecab.exe和certutil.exe)。
结论
Wevtutil.exe是一款内置 Windows 实用程序,是管理事件日志的强大工具。虽然它对于合法的管理任务非常有用,但它也可以在 Living Off the Land (LOLBAS) 环境中被利用来达到恶意目的。攻击者可以使用它来清除日志、查询特定事件数据或导出日志以供泄露。清除安全日志会生成事件 ID 1102,使此类操作可检测到,但默认情况下,其他日志(如应用程序和系统)可以清除而不留痕迹。
权限要求将日志清除限制为具有管理权限的用户,以确保一定程度的保护。但是,启用高级审计策略可以提高检测能力,甚至可以记录非安全日志的事件。了解这些行为对于利用此实用程序的红队和旨在检测和减轻其滥用的防御者都至关重要。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
