Comment investiguer vos logins Windows avec LogonTracer ?

By | July 26, 2018

LogonTracer est un outil Open Source qui vous permet d’analyser plus facilement les logs d’évènements de sécurité Windows Active Directory.
Après avoir analysé toutes les connexions de votre log, LogonTracer associe chaque compte d’utilisateur au nom d’hôte (à l’adresse IP) puis affiche la liaison dans une graphe.
L’objectif étant de permettre à tout administrateur de répérer plus facilement les accès non-autorisés.

Voici l’ensemble des évènements affichés par LogonTracer :

_ 4624: Un compte a ouvert une session avec succès.
_ 4625: Un compte n’a pas pu se connecter.
_ 4768: Un ticket d’authentification Kerberos a été demandé (TGT Request).
_ 4769: Un ticket de service Kerberos a été demandé (ST Request).
_ 4776: Authentication NTML
_ 4672: Privilèges spéciaux assignés à la nouvelle session.

Dans ce billet, nous verrons comment installer et utiliser LogonTracer.

I – Export d’un fichier d’évènement

Avant tout, exportons un log d’évènement de sécurité.
_ Sur votre système Windows AD, ouvrez l’observateur d’évènement:
Touche Windows + touche R, puis saisissez eventvwr.msc

_ Dans l’observateur d’évènements, déroulez le dossier Windows Logs, faîtes un clic droit sur le log Sécurité (Security), puis sauvegardez les évènements (Save all events).

_ Entrez un nom pour votre fichier, et choisissez le type de fichier evtx.

Choisissez le type d’affichage. Pour notre démo, nous choisirons l’Anglais.

Enfin, déplacez le fichier sauvegardé sur le système sur lequel LogonTracer sera installé.

 

II – Installation de LogonTracer sur Kali

Passons à présent à l’installation de LogonTracer sur une machine Kali linux.

LogonTracer est écrit en Python, mais utilise une base de données Neo4j (écrit en Java).
Notre installation s’effectuera en 2 étapes: l’installation de la base de données Neo4j, puis l’installation de LogonTracer.

Installation de Java

Ces commandes ci-dessous vous permettront d’installer Java 8 sur votre système Kali.

# echo “deb http://ppa.launchpad.net/webupd8team/java/ubuntu trusty main” >> /etc/apt/sources.list# echo “deb-src http://ppa.launchpad.net/webupd8team/java/ubuntu precise main” >> /etc/apt/sources.list
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EEA14886
# apt-get update
# apt-get install oracle-java8-installer

Installation de Neo4j

Allez sur la page des releases de Neo4j, puis téléchargez la version Linux.

Décompressez le fichier téléchargé:

# tar xvfz neo4j-community-3.4.4-unix.tar.gz

Avant de démarrer Neo4j, il nous faudra apporter quelques modifications au fichier de configuration neo4j-community-3.4.4/conf/ne04j.conf pour permettre des accès distants à la base de données.

Modifiez les lignes dbms.connector.bolt.listen_address et dbms.connector.http.listen_address comme dans l’image suivante:

Pour démarrer Neo4j, ouvrez le dossier neo4j-community-3.4.4/bin, puis lancez le script neo4j:

# ./neo4j start

Ouvrez votre navigateur, puis connectez vous à l’adresse http://localhost:7474 .

Les identifiants par défaut de la base de données Neo4j sont:
username: neo4j
password: neo4j

Vous serez invité à changer votre password à votre toute première connexion.

Installation de LogonTracer

Clonez le repo de l’outil :

# git clone https://github.com/JPCERTCC/LogonTracer.git

Installez les dépendances :

# cd LogonTracer
# pip3 install -r requirements.txt

Ci-dessous le menu d’aide de LogonTracer:

Lançons LogonTracer sur le port 8080 avec les paramètres suivants:

Accédons à présent à l’interface Web de LongonTracer via l’adresse http://localhost:8080 .

Cliquez sur le bouton Upload ETVX button situé tout en bas de l’interface Web pour importer le log d’évènement de sécurité.

 

Après l’import du fichier, rechargez votre page Web.

Utilisez le menu de gauche de LogonTracer pour chercher les comptes d’utilisateurs selon certains critères.
L’option All users vous permet de voir toutes les tentatives de connexions.

Logon Failure vous affiche les tentatives de connexion erronnées.

La barre de navigation vous permettra de chercher un compte d’utilisateur, un nom d’hôte, une adresse IP.
Le bouton export vous aidera à télécharger la graphe au format JPG, JSON, PNG, CSV.

III – Docker

Une image Docker de LogonTracer est également disponible.
Il est nécessaire d’activer JavaScript sur votre navigateur pour utiliser LogonTracer.

$ docker pull jpcertcc/docker-logontracer

$ docker run \
--detach \
--publish=7474:7474 --publish=7687:7687 --publish=8080:8080 \
-e LTHOSTNAME=[IP_Address] \
jpcertcc/docker-logontracer

mdestroy

Leave a Reply

Your email address will not be published. Required fields are marked *