フォレンジック調査ツール RedlineのTIP。何かあったら都度更新予定
ログオン関連
WindowsイベントログからIPアドレス情報を含んでいるネットワーク・ログオン関連のイベントを検索する (関連 EventID: 4624,5156)
Windows EventLogのMessageカラムからregexを選択して以下のフィルタを入れるSource Network Address:\s([0-9]{1,3}\.){3}[0-9]{1,3}Source Address:\s([0-9]{1,3}\.){3}[0-9]{1,3}
Windowsイベントログより、ほかのホストへの水平展開の有無を確認する。(関連 EventID: 4648,5156)
Windows EventLogのMessageカラムからregexを選択して以下のフィルタを入れるTarget Server Name:\s[^localhost]
上記のフィルタにより、localhostへのログオン試行は除外されるが、自ホスト名へのログオン試行は除外されないので注意すること。Destination Address:\s([0-9]{1,3}\.){3}[0-9]{1,3}
Windowsイベントログから特定のログオン・セッションのアクティビティを抽出する
Windows EventLogのMessageカラムからcontainsを選択して調べたいLogon IDの値を入れる。Logon IDとはログオン・セッションごとに割り当てられる識別子で、"0x3E2C4E73"のように16進数で表される。アカウントがいつログオンして、いつログオフしたかなどの時系列を確認するときに便利。
Windowsイベントログより特定のログオン・タイプを検索する
Windows EventLogのMessageカラムからregexを選択して以下のフィルタを入れる。下記の例ではログオン・タイプ9を検索しているLogon Type:[\s]+[9]
ほかのホストへのリモートデスクトップ (RDP)接続の有無を確認する
Windows EventLogのMessageカラムからregexを選択して以下のフィルタを入れるmulti-transport connection to the server\s([0-9]{1,3}\.){3}[0-9]{1,3}
プロセス関連
Windowsイベントログから特定のプロセスに関連するアクティビティを検索する
Windows EventLogのMessageカラムからcontainsを選択して以下のフィルタを入れるImage: C:\path\to\evil.exe
プロセスIDで検索したい場合は "ProcessId: [PID]"
プロセスのコマンドラインを検索したい場合は "CommandLine: " を確認
Windowsイベントログから特定の親プロセスに関連するアクティビティを検索する
Windows EventLogのMessageカラムからcontainsを選択して以下のフィルタを入れるParentImage: C:\path\to\evil.exe
親プロセスIDで検索したい場合は "ParentProcessId: [PID]"
親プロセスのコマンドラインを検索したい場合は "ParentCommandLine: " を確認
レジストリ関連
レジストリ情報からユーザーによって開かれたファイルを検索する
RegistryのPathカラムからregexを選択して以下のフィルタを入れる\\ComDlg32\\.*MRU
RegistryのPathカラムからcontainsを選択して以下のフィルタを入れる\RecentDocs
参考
https://www.jpcert.or.jp/english/pub/sr/20170612ac-ir_research_en.pdf
https://jpcertcc.github.io/ToolAnalysisResultSheet/details/mstsc.htm
https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/
https://nullsec.us/windows-rdp-related-event-logs-the-client-side-of-the-story/
