Belajar dengan berlatih: Melacak informasi otentikasi dengan Pelacak Logon JPCert

2.039 views
  • Whatsapp
Belajar dengan berlatih: Melacak informasi otentikasi dengan Pelacak Logon JPCert
Belajar dengan berlatih Melacak informasi otentikasi dengan Pelacak Logon JPCert

News.nextcloud.asia

Ini adalah alat baru yang baru-baru ini saya pelajari sebagai hasil dari pembaruan ke TANPA SEC504 – salah satu kelas yang saya ajar untuk institut SANS. Karena saya tertarik pada ini tidak hanya dari perspektif pengajaran tetapi lebih dari perspektif pembelajaran dan ingin menggunakannya di lingkungan saya sendiri, saya memutuskan untuk melihat ini melalui posting blog.

Menurut deskripsi dari halaman GitHub alat “LogonTracer adalah alat untuk menyelidiki masuk berbahaya dengan memvisualisasikan dan menganalisis log peristiwa Direktori Aktif Windows. Alat ini mengaitkan nama host (atau alamat IP) dan nama akun yang ditemukan di peristiwa terkait masuk dan menampilkannya sebagai grafik. Dengan cara ini, dimungkinkan untuk melihat di mana upaya login akun terjadi dan host mana yang digunakan.
Alat ini dapat memvisualisasikan id peristiwa berikut yang terkait dengan logon Windows berdasarkan penelitian ini.

4624: Login berhasil
4625: Kegagalan masuk
4768: Otentikasi Kerberos (Permintaan TGT)
4769: Tiket Layanan Kerberos (Permintaan ST)
4776: Otentikasi NTLM
4672: Tetapkan hak istimewa”

Untuk instalasi ini, saya menggunakan Ubuntu 18 seperti yang ditunjukkan di bawah ini:

[email protected]:~# lsb_release --all
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04.1 LTS
Release:        18.04
Codename:       bionic

Mari kita instal dulu Java 8

sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java8-installer

Instal Neo4j Community Edition dengan terlebih dahulu menambahkan repositorinya:

wget -O - https://debian.neo4j.org/neotechnology.gpg.key | sudo apt-key add -
echo 'deb https://debian.neo4j.org/repo stable/' | sudo tee /etc/apt/sources.list.d/neo4j.list
sudo apt-get update

Sekarang mari kita instal neo4j:

sudo apt-get install neo4j

Sekarang setelah neo4j terinstal, mari buat dua perubahan konfigurasi cepat. Temukan dua baris berikut:

#dbms.connector.bolt.listen_address=:7687
#dbms.connector.https.listen_address=192.168.0.4:7473

Bagi saya, saya menentukan antarmuka yang saya ingin neo4j dengarkan dan dengan demikian saya membuat perubahan berikut:

dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.https.listen_address=192.168.0.4:7473

Catatan di atas, saya juga menghapus komentar “#” dari dua baris ini

Langkah selanjutnya … restart neo4j menggunakan systemctl

Jika selanjutnya kita melakukan “netstat -nltp”, kita melihat host mendengarkan pada dua port di atas.

[email protected]:/tmp# netstat -nltp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

....
tcp6       0      0 :::7687                 :::*                    LISTEN      24537/java
tcp6       0      0 192.168.0.4:7473        :::*                    LISTEN      24537/java
tcp6       0      0 192.168.0.4:7474        :::*                    LISTEN      24537/java
....

Selanjutnya, sambungkan ke server di http://192.168.0.4:7474 dan login ke UI untuk neo4j.

Menggunakan kredensial default nama pengguna “neo4j” dan kata sandi “neo4j”, saya dapat mengotentikasi dan kemudian diminta untuk mengubah kata sandi saya. Saya juga menambahkan pengguna “securitynik” dengan kata sandi “Testing1”. Setelah kata sandi saya diubah, langkah selanjutnya adalah mengkloning LogonTracer

git clone https://github.com/JPCERTCC/LogonTracer.git

Setelah selesai kloning, berikut ini dieksekusi:

Melihat file persyaratan sebelum kita menginstal, kita melihat:

[email protected]:~$ cat LogonTracer/requirements.txt
numpy
py2neo==3.1.2
python-evtx
lxml
changefinder
flask
hmmlearn
scikit-learn==0.19.2

Sekarang kita tahu apa yang coba dipasang, mari kita lanjutkan

pip3 install -r LogonTracer/requirements.txt

Pastikan Anda telah menginstal “python3-pip”. Jika tidak, lari 

apt-get install python3-pip

Jika semuanya berjalan dengan baik, saya kira saya akan melihat Anda di posting berikutnya.

Referensi:
https://github.com/JPCERTCC/LogonTracer
https://github.com/JPCERTCC/LogonTracer/wiki/for-linux
https://blogs.jpcert.or.jp/en/2017/11/visualise-event-logs-to-identify-compromised-accounts—logontracer-.html
https://Gist.github.com/nepobef/0f378ded038b35324e0106fcff79303c
http://debian.neo4j.org/
https://www.first.org/resources/papers/conf2016/FIRST-2016-105.pdf
https://neo4j.com/docs/operations-manual/current/installation/linux/debian/?_ga=2.249168388.2041192375.1507250087-893468657.1507250087
https://neo4j.com/docs/operations-manual/current/installation/linux/debian/
http://debian.neo4j.org/?_ga=2.45025828.1204700703.1550717522-969713451.1550717522
https://neo4j.com/docs/operations-manual/current/installation/linux/tarball/

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.