安全研究人员揭示了 Living Off the Land 二进制文件和脚本 (LOLBAS) 武器库中的一个新方面:Windows wevtutil.exe 在秘密、恶意操作方面鲜为人知的潜力。Tonmoy Jitu 的深入分析揭示了这个专为事件日志管理而设计的合法实用程序如何成为攻击者手中的危险工具。
Wevtutil.exe 是 Windows 捆绑的命令行工具,主要用于系统管理员的事件日志管理。其功能包括
- 将日志导出为 XML。
- 清除整个事件日志。
- 使用特定条件查询日志。
然而,正如 Jitu 所指出的,“这些功能使 wevtutil.exe 成为一把双刃剑:虽然对合法操作非常宝贵,但它们也可以帮助攻击者掩盖踪迹或渗漏信息。”
攻击者越来越多地采用 LOLBAS 技术,通过使用可信的预装工具来逃避检测。Wevtutil.exe存在于所有Windows系统中,这使它成为此类漏洞利用的热门候选工具。
清除日志以规避检测
wevtutil cl Application 等命令允许攻击者清除事件日志,使防御者难以追踪恶意活动。
然而,正如报告强调的那样,试图清除安全日志会生成可检测的事件 ID 1102: “清除安全日志会生成事件 ID 1102……使防御者非常容易察觉。
导出日志进行数据渗透
使用 wevtutil qe Security /f:xml > exported_logs.xml 等命令,攻击者可以导出日志来分析敏感数据或外泄关键信息。
这项活动需要提升权限,以确保防止未经授权的使用。
通过日志查询进行侦察
攻击者可以精确地查询日志,以深入了解系统或用户活动。例如
wevtutil qe Security /q:"*[System[EventID=4624]]"该命令可检索成功登录事件,为后续行动提供有价值的情报。
与 PowerShell 等被广泛监控的工具不同,wevtutil.exe 经常逃过检查。Jitu 指出:“使用不太常见的实用程序可以躲过主要针对广泛使用的工具的传统检测机制。”
为了应对 wevtutil.exe 的滥用,企业应该考虑以下几点:
-
加强监控
跟踪通过 wevtutil.exe 执行的异常命令。
为合法使用设置基线,以检测异常情况。 -
集中日志记录
集中汇总日志,防止攻击者在本地掩盖踪迹。 -
行为分析
利用分析来识别显示 LOLBAS 技术的模式。
Jitu 在报告中总结道: “了解这些行为对于利用这一工具的红色团队和旨在检测并减少其滥用的防御者来说都至关重要。”