介绍

1、evtx文件是微软从 Windows NT 6.0(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是 evt 。evtx由Windows事件查看器创建，包含Windows记录的事件列表，以专有的二进制XML格式保存。
Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

2、Security.evtx

记录系统的安全审计日志事件，比如登录事件、对象访问、进程追踪、特权调用、帐号管理、策略变更等。Security.evtx也是取证中最常用到的。

3、创建登录会话时，将在被访问的计算机上生成此事件。

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指示新登录是为哪个帐户创建的，即已登录的帐户。

“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用，并且在某些情况下可能会留空。

“模拟级别”字段指示登录会话中的进程可以模拟到的程度。

“身份验证信息”字段提供有关此特定登录请求的详细信息。

“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
“传递的服务”指示哪些中间服务参与了此登录请求。
“数据包名”指示在 NTLM 协议中使用了哪些子协议。
“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥，则此字段将为 0。

步骤

横向移动行为分析

打开C:\Users\Administrator\Desktop\案例\kiwi目录

打开两个文件夹内的日志文件Security.evtx

点击筛选当前日志

根据异常事件发生时间设置筛选

对每个登陆信息进行筛选，可知用户Daenerys使用KingSlayer账号登陆域控

发现PsExec.exe被攻击者用来访问WIN-IL7M7CC6UYU

发现PsExec.exe（一个横向移动工具，可以用于权限提升）。溯源的基础时间线：先在Jaime的机器上使用了mimikatz工具，Daenerys的帐户被泄露了。然后，它被攻击者用来横向移动到DC。