Paarth1809/Event_Log_analysis
GitHub: Paarth1809/Event_Log_analysis
一个 SOC 分析师实验项目,通过 Hydra 模拟 RDP 暴力破解并演示如何使用 Windows 事件查看器进行日志分析与攻击检测。
Stars: 0 | Forks: 0
# RDP 暴力破解攻击后的 Windows 事件日志分析
## 概述
本实验演示了如何在 Kali Linux 虚拟机上使用 **Hydra** 模拟 **RDP 暴力破解攻击**后,利用 **Windows 事件查看器** 进行检测和调查。
## 实验环境
| 机器 | IP 地址 | 角色 |
|---------|------------|------|
| Kali Linux | `192.168.9.129` | 攻击者 |
| Windows 10 | `192.168.9.128` | 受害者 |
## 目标
- 模拟 RDP 暴力破解攻击。
- 生成 Windows 安全日志。
- 使用事件查看器分析身份验证事件。
- 识别暴力破解指标。
- 过滤并导出日志以供调查。
## 使用工具
- Kali Linux
- Windows 10
- Hydra
- Windows 事件查看器
## RDP 配置
在 Windows 机器上启用了远程桌面 (RDP),以允许进行远程身份验证。
## Windows 事件查看器
Windows 事件查看器会持续记录系统、应用程序和安全事件。
身份验证期间使用的常见 Event ID:
| Event ID | 描述 |
|----------|-------------|
| **4624** | 登录成功 |
| **4625** | 登录失败 |
## 暴力破解攻击
使用 Hydra 对 Windows 机器执行了 RDP 暴力破解攻击。
```
hydra -t 4 -V -f -l administrator -P rockyou.txt rdp://192.168.9.128
```
### 命令解析
- `-t 4` → 4 个并行任务
- `-V` → 详细输出
- `-f` → 在首次成功破解密码后停止
- `-l administrator` → 用户名
- `-P rockyou.txt` → 密码字典
## 日志分析
攻击发生后,Windows 事件查看器显示了在极短时间内出现的大量失败登录尝试。
观察到的指标:
- 多条 Event ID **4625** 记录
- 反复的身份验证失败
- 高频次的登录尝试
- 暴力破解攻击的迹象
## 过滤安全日志
无需手动查看每一条日志,事件查看器允许按以下条件进行过滤:
- Event ID
- 关键字
- 用户
- 事件级别
- 任务类别
- 日志来源
过滤功能可帮助 SOC 分析师快速识别可疑事件。
## 事件详情
打开单个事件可提供有价值的取证信息,包括:
- Event ID
- 时间戳
- 源 IP 地址
- 源端口
- 工作站名称
- 登录类型
- 用户名
## 导出日志
可以出于以下目的导出安全日志:
- 事件响应
- 与高级分析师共享
- 进一步的取证调查
- 证据保全
Windows 还支持在不导出事件日志的情况下进行远程查看。
## 检测总结
| 指标 | 观察结果 |
|-----------|-------------|
| 攻击类型 | RDP 暴力破解 |
| 检测方法 | Windows 事件查看器 |
| 主要 Event ID | 4625 |
| 日志来源 | Windows 安全日志 |
| 分析方法 | 事件过滤与事件属性 |
## 展示技能
- Windows 日志分析
- 事件查看器调查
- 身份验证监控
- RDP 攻击检测
- Hydra 模拟
- 安全事件过滤
- 基础事件调查
## 结论
本实验使用 Hydra 模拟了 RDP 暴力破解攻击,并演示了如何通过 Event ID 分析,利用 Windows 事件查看器检测身份验证攻击。通过过滤安全事件并检查详细的日志信息,我们能够识别暴力破解活动并收集证据以供进一步调查。
## 作者
**Parth Srivastava**
网络安全 | SOC 分析师 | 蓝队
标签:PE 加载器, RDP爆破检测, SOC分析, Windows事件日志, 安全实验