PZero Revealer: A library for Detecting Patient Zero through Windows Event Log Analysis

Abstract

Abstract : Digital forensics and Incident Response are vital aspects of cybersecurity. They play a crucial role in safeguarding organizations from the increasing threat of cyberattacks, which have become prevalent in the business world. Many services, including those connected to global networks, face the risk of attacks from hacker groups and malware. Fortunately, these services keep various logs. Incident Response focuses on recovering from these attacks, relying on the forensic investigation, which, in turn, relies on these recorded logs. In this study, we explore modern methods and tools developed by the research community to simplify the analysis of these logs. Our aim is to identify the root causes of incidents, ensure vulnerabilities are addressed, and prevent future attacks. We will delve into our implementation of PZero Revealer, a tool designed to analyze Windows event logs stored in an ELK (Elasticsearch, Logstash, Kibana) server using Elasticsearch. Our tool helps us trace related logon events and various network connection records. This enables us to identify the first infected machine, which we refer to as ’Patient Zero.***

Résumé : La cybercriminalité et la réponse aux incidents sont des aspects essentiels de la cybersécurité. Ils jouent un rôle crucial dans la protection des organisations contre la menace croissante des cyberattaques, devenues courantes dans le monde des affaires. De nombreux services, y compris ceux connectés à des réseaux mondiaux, sont exposés au risque d’attaques de la part de groupes de pirates informatiques et de logiciels malveillants. Heureusement, ces services conservent divers journaux. La réponse aux incidents se concentre sur la récupération après ces attaques, en s’appuyant sur une enquête médico-légale qui, à son tour, s’appuie sur ces journaux enregistrés. Dans cette étude, nous explorons les méthodes et les outils modernes développés par la communauté de recherche pour simplifier l’analyse de ces journaux. Notre objectif est de réaliser un état de l’art des études récentes concernant les enquêtes médico-légales sous Windows et l’utilisation de ses fonctionnalités, ainsi que du journal des événements de Windows. Enfin, nous fournissons une comparaison utile des performances et de la complexité en résumant les conclusions empiriques de chaque article et en soulignant les principales différences entre eux.