Search
Search the blog.
Carving di record EVTX cancellati e recupero di log sovrascritti
Carving per firma di record EVTX da spazio non allocato, pagefile e memoria, e gli strumenti che gestiscono con grazia i chunk malformati quando al log vivo manca ciò che serve.
Rilevare il movimento laterale in Security.evtx
Come gli strumenti reali degli avversari si spostano da host a host nei parchi Windows, e le combinazioni precise di Event ID in Security.evtx che catturano PsExec, Impacket e WMIExec.
Cancellazione del log eventi e i buchi che sopravvivono
Come gli attaccanti svuotano i log eventi di Windows, quali prove restano su disco e nei canali inoltrati, e la differenza tra wevtutil cl e strumenti di sospensione thread come Invoke-Phant0m.
Il formato di file EVTX, decodificato
Un tour pratico del formato binario EVTX: header del file, chunk ELFCHNK, template BinXML, array di sostituzione, e perché fare il parsing di questa cosa è più difficile di quanto sembri.
Triage EVTX: cosa leggere per primo quando hai un'ora e un host
L'ordine delle operazioni di un praticante per fare triage di Windows Event Logs durante incident response: quali canali contano, quali event ID vi mentono, e dove Sysmon fa il lavoro pesante.
Logging di PowerShell: cosa ottenete con module logging e script block logging attivi
La differenza pratica tra PowerShell module logging, script block logging, trascrizioni e buffer AMSI, e le impostazioni GPO che attivano davvero quelle utili.
Configurazione Sysmon che cattura adversary veri
Una visione opinata su Sysmon: quali event ID contano davvero in IR, perché olafhartong/sysmon-modular è la baseline giusta, e gli errori di configurazione che vi accecano agli attacchi veri.
Event ID 4663 spiegato: audit di accesso a file e registro con SACL
4663 è il record di audit dell'oggetto per ogni accesso. Configura le SACL sui file e sulle chiavi giuste e ottieni un log byte per byte di chi ha toccato cosa. Utile per ransomware, exfil e furto di credential store.
Event ID 4672 spiegato: rilevare logon privilegiati in Windows
4672 scatta quando a un logon vengono concessi privilegi sensibili come SeDebugPrivilege o SeTcbPrivilege. Leggilo come il segnale 'questo logon è admin-equivalent' e il resto della policy di audit va al suo posto.
Event ID 4688 spiegato: auditing di creazione processi Windows per il DFIR
4688 è il record di creazione processi dell'OS base, a patto che l'auditing della command-line sia acceso. Ecco cosa c'è dentro, in cosa differisce da Sysmon 1 e i pattern di triage che si guadagnano lo stipendio.
Event ID 4720 spiegato: rilevare la creazione di account malevoli in AD
4720 scatta ogni volta che viene creato un account utente, locale o di dominio. Leggilo con 4722, 4724 e 4732 e catturi gli account di persistenza e movimento laterale in pochi minuti.
Event ID 4768 spiegato: richieste TGT Kerberos e AS-REP roasting
4768 è il record del DC di ogni TGT emesso. Leggilo attraverso il codice di risultato e il flag pre-auth e individui AS-REP roasting, brute force e abuso di unconstrained delegation.
Event ID 4769 spiegato: service ticket Kerberos e kerberoasting
4769 è il record del DC di ogni richiesta di service ticket. Leggilo attraverso il tipo di cifratura e individui il kerberoasting. Leggilo con 4768 e individui il pass-the-ticket.
Event ID 7036 spiegato: cambi di stato dei servizi per il triage DFIR
7036 scatta ogni volta che un servizio parte o si ferma. Abbinato a 7045 conferma se la persistenza è davvero girata. Da solo rivela abuso di servizi, evasione difensiva e anomalie di boot.
Come aprire un file .evtx (5 metodi, nessuna installazione richiesta)
Cinque modi per aprire un file .evtx di Windows: nel browser, in Event Viewer, con wevtutil, con EvtxECmd o con python-evtx. Scegliete in base all'OS dell'host e a quanta frizione tollerate.
Cos'è un file .evtx? Il formato del log eventi di Windows spiegato
Un file .evtx è un log eventi di Windows binario. Dove si trovano, cosa contengono, in cosa differiscono dai .evt e come aprirli. Nessuna installazione richiesta.
Come raccogliere i log .evtx da un sistema Windows vivo (4 metodi)
Quattro modi per prelevare .evtx da un host Windows vivo: wevtutil, FTK Imager, KAPE, NTFS grezzo. Con i compromessi sulla catena di custodia per ciascuno e i comandi che lancerai davvero.
Event ID 4625 spiegato: rilevare brute force, spray ed enumerazione
4625 è il record di logon fallito. Leggilo bene e individui password spray, credential stuffing e abuso di Kerberos prima che si trasformino in un successo.
Event ID 1102 spiegato: log di audit Security cancellato (e cosa sopravvive)
1102 è l'unico evento che non puoi sopprimere senza lasciare più prove. Ecco cosa ti dice, cosa sopravvive alla cancellazione e dove guardare quando lo vedi.
Formato di file EVTX spiegato: chunk, template e interni BinXML
Come un file .evtx è disposto a livello di byte: header del file, chunk da 64 KB, la tabella template, e lo stream di record BinXML che la referenzia.
PowerShell Event ID 4104 spiegato: scriptblock logging per DFIR
Lo scriptblock logging è il controllo difensivo gratuito più utile di Windows. Registra il corpo completo dello script, inclusi quelli offuscati o in memoria, sotto l'evento 4104.
Event ID 7045 spiegato: installazione di servizio come segnale di persistenza
La creazione di servizi è una delle tecniche di persistenza più rumorose. L'evento 7045 cattura ogni installazione. Leggete questi tre campi e ne prendete la maggior parte.
Sysmon Event ID 1 spiegato: creazione processo per triage DFIR
L'evento 1 di Sysmon è il record di creazione processo più ricco che Windows può produrre. Ecco cosa contiene e come fare triage velocemente.
Event ID 4624 spiegato: logon Windows riuscito e riferimento LogonType
Cosa contiene davvero un record 4624, perché il campo LogonType conta più dell'evento stesso, e come leggerli su scala.
Inizia qui: guida a .evtx per l'analista DFIR
Cos'è .evtx, quali canali contano, gli Event ID da conoscere e dove trovare ciascuno su disco. Un punto di partenza per tutto il resto del blog.