Paarth1809/Event_Log_analysis

GitHub: Paarth1809/Event_Log_analysis

一个 SOC 分析师实验项目,通过 Hydra 模拟 RDP 暴力破解并演示如何使用 Windows 事件查看器进行日志分析与攻击检测。

Stars: 0 | Forks: 0

# RDP 暴力破解攻击后的 Windows 事件日志分析 ## 概述 本实验演示了如何在 Kali Linux 虚拟机上使用 **Hydra** 模拟 **RDP 暴力破解攻击**后,利用 **Windows 事件查看器** 进行检测和调查。 ## 实验环境 | 机器 | IP 地址 | 角色 | |---------|------------|------| | Kali Linux | `192.168.9.129` | 攻击者 | | Windows 10 | `192.168.9.128` | 受害者 | ## 目标 - 模拟 RDP 暴力破解攻击。 - 生成 Windows 安全日志。 - 使用事件查看器分析身份验证事件。 - 识别暴力破解指标。 - 过滤并导出日志以供调查。 ## 使用工具 - Kali Linux - Windows 10 - Hydra - Windows 事件查看器 ## RDP 配置 在 Windows 机器上启用了远程桌面 (RDP),以允许进行远程身份验证。 ## Windows 事件查看器 Windows 事件查看器会持续记录系统、应用程序和安全事件。 身份验证期间使用的常见 Event ID: | Event ID | 描述 | |----------|-------------| | **4624** | 登录成功 | | **4625** | 登录失败 | ## 暴力破解攻击 使用 Hydra 对 Windows 机器执行了 RDP 暴力破解攻击。 ``` hydra -t 4 -V -f -l administrator -P rockyou.txt rdp://192.168.9.128 ``` ### 命令解析 - `-t 4` → 4 个并行任务 - `-V` → 详细输出 - `-f` → 在首次成功破解密码后停止 - `-l administrator` → 用户名 - `-P rockyou.txt` → 密码字典 ## 日志分析 攻击发生后,Windows 事件查看器显示了在极短时间内出现的大量失败登录尝试。 观察到的指标: - 多条 Event ID **4625** 记录 - 反复的身份验证失败 - 高频次的登录尝试 - 暴力破解攻击的迹象 ## 过滤安全日志 无需手动查看每一条日志,事件查看器允许按以下条件进行过滤: - Event ID - 关键字 - 用户 - 事件级别 - 任务类别 - 日志来源 过滤功能可帮助 SOC 分析师快速识别可疑事件。 ## 事件详情 打开单个事件可提供有价值的取证信息,包括: - Event ID - 时间戳 - 源 IP 地址 - 源端口 - 工作站名称 - 登录类型 - 用户名 ## 导出日志 可以出于以下目的导出安全日志: - 事件响应 - 与高级分析师共享 - 进一步的取证调查 - 证据保全 Windows 还支持在不导出事件日志的情况下进行远程查看。 ## 检测总结 | 指标 | 观察结果 | |-----------|-------------| | 攻击类型 | RDP 暴力破解 | | 检测方法 | Windows 事件查看器 | | 主要 Event ID | 4625 | | 日志来源 | Windows 安全日志 | | 分析方法 | 事件过滤与事件属性 | ## 展示技能 - Windows 日志分析 - 事件查看器调查 - 身份验证监控 - RDP 攻击检测 - Hydra 模拟 - 安全事件过滤 - 基础事件调查 ## 结论 本实验使用 Hydra 模拟了 RDP 暴力破解攻击,并演示了如何通过 Event ID 分析,利用 Windows 事件查看器检测身份验证攻击。通过过滤安全事件并检查详细的日志信息,我们能够识别暴力破解活动并收集证据以供进一步调查。 ## 作者 **Parth Srivastava** 网络安全 | SOC 分析师 | 蓝队
标签:PE 加载器, RDP爆破检测, SOC分析, Windows事件日志, 安全实验