Статья RDP forensic event logs - RDP в журналах событий ОС Windows 10

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
RDP forensic event logs - RDP в журналах событий ОС Windows 10 (статья в стадии написания не окончена)

Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.
В этой статье мы рассмотрим процесс экспертизы событий event logs в Windows 10 Версия 1809 (Сборка ОС 17763.195), 64 и 32 разрядных операционных систем, относящейся к RDP (Remote Desktop Protocol) – специальный протокол, разработанный компанией Microsoft для удаленного управления ОС Windows (протокол удалённого рабочего стола).

Версии Windows начиная с Vista включают ряд новых событий, которые не регистрируются системами Windows XP. Выпуски Windows Server содержат большее количество и типы событий.
журналы событий Windows получили расширение *.EVTX. Этот новый формат, называемый форматом Windows XML Event Log (EVTX), заменяет формат EVT, используемый в Windows XP. Помимо журналов событий начиная с Vista, существуют журналы приложений и служб, которые записывают события о конкретном компоненте или приложении, а не о системе. В системе Windows 7/2008 можно найти много файлов журнала событий в зависимости от ролей, выполняемых системой. Здесь Вы можете найти журналы событий приложений. Например, если в системе есть Symantec Endpoint, у Вас будет файл «Symantec Endpoint Protection Client.evtx». Различные категории описаны
К примеру в Windows XP и Server 2003 было 9 категорий, а начиная с Windows Vista их более 50.
C:\Windows\system32>auditpol /get /category:*
Рис.0.jpg
Таким образом, точная идентификация версии операционной системы Windows должна быть очень тщательно продумана при разработке цифрового процесса компьютерно-технической экспертизы, основанного на журналах событий (event logs).
Расположение журналов событий Windows по умолчанию:
Windows 2000/Server2003/Windows XP:
\%SystemRoot%\System32\Config\*.evt

Windows Vista/7/Server2008/10/Server2012/Server2016:
\%SystemRoot%\System32\winevt\Logs\*.evtx
Рис.1.jpg
Расположение журналов может быть изменено пользователем, изменением значения ключа реестра "File" в "HKEY_LOCAL_MACHINE" на локальном компьютере:
Рис.2.jpg
Рис.3.jpg

Application Events (События приложения):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
Hardware Events (Аппаратные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\HardwareEvents
Security Events (События безопасности):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
System Events (Системные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

Когда используется пользовательский путь, ключ создается в месте реестра:
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\[logname]
(например [logname] это: Microsoft-Windows-TerminalServices-LocalSessionManager/Admin)
Рис.4.jpg
Полезные события для криминалистического анализа
Рис.5.jpg
Коды входа в систему.
Одно из важных сведений, предоставляемых событием «Успешный/Неудачный вход в систему», является то, как пользователь/процесс пытался войти в систему (Тип входа в систему), но Windows отображает эту информацию в виде числа.
Рис.6.jpg
RDP Successful Logon - RDP Успешный вход
Рис.7.jpg

Рассмотрим практический пример с ПК physical IP 192.168.10.146 было подключение mstsc.exe к ПК distrusting IP 192.168.10.241 с учетной записью suspect
Осмотр событий ПК к которому мы подключились: host distrusting IP 192.168.10.241
Рассмотрим первое, место расположения Event ID 1149
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx это у нас Network Connection
Рис.8.jpg
Рис.9.jpg

Рассмотрим второе, место расположения Event ID 4624
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас Authentication
Рис.10.jpg
на screen мы видим "Тип входа" выше есть "Список типа входа и их описание", так же видим host и IP

Рассмотрим третье и четвертое, место расположения Event ID 21 и ID 22
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx это у нас Logon
Рис.11.jpg
в данном конкретном примере мы видим что пользователь осуществил вход в систему в 13:07, а наше удаленное подключение было в 17:44, но обратите внимание чуть выше в 17:44 есть код event ID 25
Рис.12.jpg
и снова мы наблюдаем IP адрес подключившегося, для сравнения в 17:47 был осуществлен локальный вход в систему, рассмотрим его на screen ниже
Рис.13.jpg
Мы явно видим что вход в систему локальный - Адрес сети источника: ЛОКАЛЬНЫЕ

Осмотр событий ПК c которого осуществилось подключение мы подключились c: host physical IP 192.168.10.146
Event ID 5379
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас запротоколирована по отдельности каждая цифра и символ введенные в GUI mstsc.exe в поле "Компьютер" с 17:43:31 по 17:43:56
Рис.14.jpg
Рис.15.jpg
В коде события 5379 изменяются значения "TargetName" и "Type"
Рис.16.jpg
Рис.17.jpg

Event ID 4648
Попытка входа в систему с использованием явных учетных данных
Рис.18.jpg
Event ID 4624
Это событие генерируется при создании сеанса входа (на конечном компьютере). Он генерируется на компьютере, к которому был получен доступ, где был создан сеанс.
Рис.19.jpg

Event ID 4672
Это событие генерируется для новых учетных записей, если для нового сеанса входа назначены какие-либо из следующих конфиденциальных привилегий
Рис.20.jpg
SeTcbPrivilege - действует как часть операционной системы
SeBackupPrivilege - Резервное копирование файлов и каталогов
SeCreateTokenPrivilege - создает объект токена
SeDebugPrivilege - отладка программ
SeEnableDelegationPrivilege - позволяет доверять учетные записи компьютеров и пользователей для делегирования.
SeAuditPrivilege - Генерация аудита безопасности
SeImpersonatePrivilege - выдавать себя за клиента после аутентификации
SeLoadDriverPrivilege - загрузка и выгрузка драйверов устройств
SeSecurityPrivilege - Управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege - Изменить значения среды прошивки
SeAssignPrimaryTokenPrivilege - заменяет токен уровня процесса
SeRestorePrivilege - Восстановление файлов и каталогов,
SeTakeOwnershipPrivilege - стать владельцем файлов или других объектов.
P:S (статья в стадии написания не окончена)
Данная статья будет дополняться и получать новые примеры to by continued...
 
Последнее редактирование:
Мы в соцсетях: