• Docker安装LogonTracer


    LogonTracer

    LogonTracer:是一款用于可视化分析Windows安全事件日志寻找恶意登录的工具。它会将登录相关事件中找到的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来。通过这种方式,可以看到哪个帐户中发生过登录尝试以及哪个主机被使用。基于此研究,该工具可以可视化与Windows登录相关的下列事件ID。

    4624:登录成功
    
    4625:登录失败
    
    4768:Kerberos身份验证(TGT请求)
    
    4769:Kerberos服务票据(ST请求)
    
    4776:NTLM身份验证
    
    4672:分配特殊权限
    

    作用

    LogonTracer使用 PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。

    使用LogonTracer,也可以按时间顺序显示事件日志。

    环境搭建:

    系统:kali linux

    IP地址:10.10.110.112

    安装软件:Docker

    日志文件:Windows的evtx格式的安全日志

    分析工具:LogonTracer

    1、打开linux终端后启动Docker:

    root@killer:~#service docker start
    

    2、拉取镜像:

    root@killer:~#docker pull jpcertcc/docker-logontracer
    

    3、运行镜像:

    root@killer:~#docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080-e LTHOSTNAME=10.10.110.112 jpcertcc/docker-logontracer
    

    提示:以上IP地址10.10.110.112换成自己的本机IP地址。

    4、替换JS

    此时可以通过浏览器访问http://[IP]:8080看到Web页面,打开的页面中有几个JS文件是调用的远程网址,这些网址由于一些原因在国内无法正常访问,所以,在通过浏览器访问首页后,点击“Upload Event Log”按钮是无反应的,那就无法上传日志文件,这就是这一步要解决的坑。

    解决这个坑要对2处JS进行修改:

    第一处:

    https://cdn.rawgit.com/neo4j/neo4j-javascript-driver/1.4.1/lib/browser/neo4j-web.min.js

    直接修改系统的hosts文件,手动将域名cdn.rawgit.com解析到151.139.237.11上,该网址可以正常访问。

    执行命令:

    root@killer:~#vim /etc/hosts
    

    然后在文件中最后一行增加如下:

    151.139.237.11 cdn.rawgit.com
    

    第二处:

    进入Docker镜像编辑index.html模板文件,

    执行命令:

    root@killer:~#docker exec -it 349d /bin/sh(备注:349d为镜像名)
    

    进入Docker镜像的终端内执行命令,编辑模板文件:

    /var/lib/neo4j# vi /usr/local/src/LogonTracer/templates/index.html
    

    找到

    https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
    

    将该网址的改为

    https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js
    

    这个时候就可以了。

    5、打开http://自己的ip:7474,执行以下命令删除原来的neo4j的节点信息:

    输入以下命令:
    
    MATCH(n)
    
    OPTIONALMATCH (n)-[r]-()
    
    DELETEn,r
    

    点击右侧的第三个按钮执行,即可。如果不执行这步,后面上传日志之后可能会导致浏览器响应。

    6、重启Docker镜像:

    root@killer:~#docker restart 349d
    

    备注:红色349d为镜像名

    7、访问前台http://本机ip地址:8080,点击“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击“Browse”选择日志文件,然后点击“Upload”,进行上传。

    登录类型 描述

    2 互动(键盘和屏幕的登录系统)
    
    3 网络(即连接到共享文件夹从其他地方在这台电脑上网络)
    
    4 批处理(即计划任务)
    
    5 服务(服务启动)
    
    7 解锁密码保护屏幕保护程序(即unnattended工作站)
    
    8 NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS)
    
    9 NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件。
    
    10 RemoteInteractive(终端服务,远程桌面或远程协助)
    
    11 CachedInteractive(与缓存域登录凭证时登录一台笔记本电脑等远离网络)
    

    常见的登录类型有2和3,“2”表示用键盘和鼠标登录,而“3”意味着有人通过网络远程登录。

  • 相关阅读:
    SGU 495 Kids and Prizes
    HDU 3853 LOOPS
    HDU 4089 Activation
    HDU 4405 Aeroplane chess
    ZOJ 3329 One Person Game
    POJ 2096 Collecting Bugs
    POJ1573(Robot Motion)
    poj2632(Crashing Robots)
    poj1068(Parencodings)
    poj2506(Tiling)
  • 原文地址:https://www.cnblogs.com/17bdw/p/11359651.html
Copyright © 2020-2023  润新知