• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья RDP forensic event logs - RDP в журналах событий ОС Windows 10

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
220
1 016
RDP forensic event logs - RDP в журналах событий ОС Windows 10 (статья в стадии написания не окончена)

Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.
В этой статье мы рассмотрим процесс экспертизы событий event logs в Windows 10 Версия 1809 (Сборка ОС 17763.195), 64 и 32 разрядных операционных систем, относящейся к RDP (Remote Desktop Protocol) – специальный протокол, разработанный компанией Microsoft для удаленного управления ОС Windows (протокол удалённого рабочего стола).

Версии Windows начиная с Vista включают ряд новых событий, которые не регистрируются системами Windows XP. Выпуски Windows Server содержат большее количество и типы событий.
журналы событий Windows получили расширение *.EVTX. Этот новый формат, называемый форматом Windows XML Event Log (EVTX), заменяет формат EVT, используемый в Windows XP. Помимо журналов событий начиная с Vista, существуют журналы приложений и служб, которые записывают события о конкретном компоненте или приложении, а не о системе. В системе Windows 7/2008 можно найти много файлов журнала событий в зависимости от ролей, выполняемых системой. Здесь Вы можете найти журналы событий приложений. Например, если в системе есть Symantec Endpoint, у Вас будет файл «Symantec Endpoint Protection Client.evtx». Различные категории описаны
К примеру в Windows XP и Server 2003 было 9 категорий, а начиная с Windows Vista их более 50.
C:\Windows\system32>auditpol /get /category:*
RDP forensic event logs - RDP в журналах событий ОС Windows 10
Таким образом, точная идентификация версии операционной системы Windows должна быть очень тщательно продумана при разработке цифрового процесса компьютерно-технической экспертизы, основанного на журналах событий (event logs).
Расположение журналов событий Windows по умолчанию:
Windows 2000/Server2003/Windows XP:
\%SystemRoot%\System32\Config\*.evt

Windows Vista/7/Server2008/10/Server2012/Server2016:
\%SystemRoot%\System32\winevt\Logs\*.evtx
RDP forensic event logs - RDP в журналах событий ОС Windows 10
Расположение журналов может быть изменено пользователем, изменением значения ключа реестра "File" в "HKEY_LOCAL_MACHINE" на локальном компьютере:
RDP forensic event logs - RDP в журналах событий ОС Windows 10
RDP forensic event logs - RDP в журналах событий ОС Windows 10

Application Events (События приложения):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
Hardware Events (Аппаратные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\HardwareEvents
Security Events (События безопасности):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
System Events (Системные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

Когда используется пользовательский путь, ключ создается в месте реестра:
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\[logname]
(например [logname] это: Microsoft-Windows-TerminalServices-LocalSessionManager/Admin)
RDP forensic event logs - RDP в журналах событий ОС Windows 10
Полезные события для криминалистического анализа
RDP forensic event logs - RDP в журналах событий ОС Windows 10
Коды входа в систему.
Одно из важных сведений, предоставляемых событием «Успешный/Неудачный вход в систему», является то, как пользователь/процесс пытался войти в систему (Тип входа в систему), но Windows отображает эту информацию в виде числа.
RDP forensic event logs - RDP в журналах событий ОС Windows 10
RDP Successful Logon - RDP Успешный вход
RDP forensic event logs - RDP в журналах событий ОС Windows 10

Рассмотрим практический пример с ПК physical IP 192.168.10.146 было подключение mstsc.exe к ПК distrusting IP 192.168.10.241 с учетной записью suspect
Осмотр событий ПК к которому мы подключились: host distrusting IP 192.168.10.241
Рассмотрим первое, место расположения Event ID 1149
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx это у нас Network Connection
RDP forensic event logs - RDP в журналах событий ОС Windows 10
RDP forensic event logs - RDP в журналах событий ОС Windows 10

Рассмотрим второе, место расположения Event ID 4624
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас Authentication
RDP forensic event logs - RDP в журналах событий ОС Windows 10
на screen мы видим "Тип входа" выше есть "Список типа входа и их описание", так же видим host и IP

Рассмотрим третье и четвертое, место расположения Event ID 21 и ID 22
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx это у нас Logon
RDP forensic event logs - RDP в журналах событий ОС Windows 10
в данном конкретном примере мы видим что пользователь осуществил вход в систему в 13:07, а наше удаленное подключение было в 17:44, но обратите внимание чуть выше в 17:44 есть код event ID 25
RDP forensic event logs - RDP в журналах событий ОС Windows 10
и снова мы наблюдаем IP адрес подключившегося, для сравнения в 17:47 был осуществлен локальный вход в систему, рассмотрим его на screen ниже
RDP forensic event logs - RDP в журналах событий ОС Windows 10
Мы явно видим что вход в систему локальный - Адрес сети источника: ЛОКАЛЬНЫЕ

Осмотр событий ПК c которого осуществилось подключение мы подключились c: host physical IP 192.168.10.146
Event ID 5379
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас запротоколирована по отдельности каждая цифра и символ введенные в GUI mstsc.exe в поле "Компьютер" с 17:43:31 по 17:43:56
RDP forensic event logs - RDP в журналах событий ОС Windows 10
RDP forensic event logs - RDP в журналах событий ОС Windows 10
В коде события 5379 изменяются значения "TargetName" и "Type"
RDP forensic event logs - RDP в журналах событий ОС Windows 10
RDP forensic event logs - RDP в журналах событий ОС Windows 10

Event ID 4648
Попытка входа в систему с использованием явных учетных данных
RDP forensic event logs - RDP в журналах событий ОС Windows 10
Event ID 4624
Это событие генерируется при создании сеанса входа (на конечном компьютере). Он генерируется на компьютере, к которому был получен доступ, где был создан сеанс.
RDP forensic event logs - RDP в журналах событий ОС Windows 10

Event ID 4672
Это событие генерируется для новых учетных записей, если для нового сеанса входа назначены какие-либо из следующих конфиденциальных привилегий
RDP forensic event logs - RDP в журналах событий ОС Windows 10
SeTcbPrivilege - действует как часть операционной системы
SeBackupPrivilege - Резервное копирование файлов и каталогов
SeCreateTokenPrivilege - создает объект токена
SeDebugPrivilege - отладка программ
SeEnableDelegationPrivilege - позволяет доверять учетные записи компьютеров и пользователей для делегирования.
SeAuditPrivilege - Генерация аудита безопасности
SeImpersonatePrivilege - выдавать себя за клиента после аутентификации
SeLoadDriverPrivilege - загрузка и выгрузка драйверов устройств
SeSecurityPrivilege - Управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege - Изменить значения среды прошивки
SeAssignPrimaryTokenPrivilege - заменяет токен уровня процесса
SeRestorePrivilege - Восстановление файлов и каталогов,
SeTakeOwnershipPrivilege - стать владельцем файлов или других объектов.
P:S (статья в стадии написания не окончена)
Данная статья будет дополняться и получать новые примеры to by continued...
 
Последнее редактирование:
Мы в соцсетях: