Π§Ρ‚ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠ³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Ρ‚Π°Ρ‰ΠΈΡ‚ΡŒ ΠΈΠ· Π»ΠΎΠ³ΠΎΠ² Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции Π½Π° Π±Π°Π·Π΅ ОБ Windows

ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠ°Ρ рабочая станция β€” самоС уязвимоС мСсто инфраструктуры ΠΏΠΎ части ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΈΠΉΡ‚ΠΈ Π½Π° Ρ€Π°Π±ΠΎΡ‡ΡƒΡŽ ΠΏΠΎΡ‡Ρ‚Ρƒ письмо Π²Ρ€ΠΎΠ΄Π΅ Π±Ρ‹ ΠΈΠ· бСзопасного источника, Π½ΠΎ со ссылкой Π½Π° Π·Π°Ρ€Π°ΠΆΡ‘Π½Π½Ρ‹ΠΉ сайт. Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ, ΠΊΡ‚ΠΎ-Ρ‚ΠΎ скачаСт ΠΏΠΎΠ»Π΅Π·Π½ΡƒΡŽ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρƒ ΠΈΠ· нСизвСстно ΠΊΠ°ΠΊΠΎΠ³ΠΎ мСста. Π”Π° ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΈΠ΄ΡƒΠΌΠ°Ρ‚ΡŒ Π½Π΅ ΠΎΠ΄ΠΈΠ½ дСсяток кСйсов, ΠΊΠ°ΠΊ Ρ‡Π΅Ρ€Π΅Π· ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ врСдоносноС ПО ΠΌΠΎΠΆΠ΅Ρ‚ Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒΡΡ Π½Π° Π²Π½ΡƒΡ‚Ρ€ΠΈΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Π΅ рСсурсы. ΠŸΠΎΡΡ‚ΠΎΠΌΡƒ Ρ€Π°Π±ΠΎΡ‡ΠΈΠ΅ станции Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½Π½ΠΎΠ³ΠΎ внимания, ΠΈ Π² ΡΡ‚Π°Ρ‚ΡŒΠ΅ ΠΌΡ‹ расскаТСм, ΠΎΡ‚ΠΊΡƒΠ΄Π° ΠΈ ΠΊΠ°ΠΊΠΈΠ΅ события Π±Ρ€Π°Ρ‚ΡŒ для отслСТивания Π°Ρ‚Π°ΠΊ.

Π§Ρ‚ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠ³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Ρ‚Π°Ρ‰ΠΈΡ‚ΡŒ ΠΈΠ· Π»ΠΎΠ³ΠΎΠ² Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции Π½Π° Π±Π°Π·Π΅ ОБ Windows

Для выявлСния Π°Ρ‚Π°ΠΊΠΈ Π½Π° самой Ρ€Π°Π½Π½Π΅ΠΉ стадии Π² ОБ WIndows Π΅ΡΡ‚ΡŒ Ρ‚Ρ€ΠΈ ΠΏΠΎΠ»Π΅Π·Π½Ρ‹Ρ… событийных источника: ΠΆΡƒΡ€Π½Π°Π» событий бСзопасности, ΠΆΡƒΡ€Π½Π°Π» систСмного ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° ΠΈ ΠΆΡƒΡ€Π½Π°Π»Ρ‹ Power Shell.

Π–ΡƒΡ€Π½Π°Π» событий бСзопасности (Security Log)

Π­Ρ‚ΠΎ Π³Π»Π°Π²Π½ΠΎΠ΅ мСсто хранСния систСмных Π»ΠΎΠ³ΠΎΠ² бСзопасности. Бюда ΡΠΊΠ»Π°Π΄Ρ‹Π²Π°ΡŽΡ‚ΡΡ события Π²Ρ…ΠΎΠ΄Π°/Π²Ρ‹Ρ…ΠΎΠ΄Π° ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, доступа ΠΊ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Π°ΠΌ, измСнСния ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… активностСй, связанных с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ. РазумССтся, Ссли настроСна ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π°Ρ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°.

Π§Ρ‚ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠ³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Ρ‚Π°Ρ‰ΠΈΡ‚ΡŒ ΠΈΠ· Π»ΠΎΠ³ΠΎΠ² Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции Π½Π° Π±Π°Π·Π΅ ОБ Windows

ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈ Π³Ρ€ΡƒΠΏΠΏ (события 4798 ΠΈ 4799). ВрСдоносноС ПО Π² самом Π½Π°Ρ‡Π°Π»Π΅ Π°Ρ‚Π°ΠΊΠΈ часто ΠΏΠ΅Ρ€Π΅Π±ΠΈΡ€Π°Π΅Ρ‚ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ записи ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ Π³Ρ€ΡƒΠΏΠΏΡ‹ Π½Π° Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π°ΠΉΡ‚ΠΈ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ для своих Ρ‚Ρ‘ΠΌΠ½Ρ‹Ρ… дСлишСк. Π­Ρ‚ΠΈ события ΠΏΠΎΠΌΠΎΠ³ΡƒΡ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ врСдоносный ΠΊΠΎΠ΄ Ρ€Π°Π½ΡŒΡˆΠ΅, Ρ‡Π΅ΠΌ ΠΎΠ½ двинСтся дальшС ΠΈ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ собранныС Π΄Π°Π½Π½Ρ‹Π΅, распространится Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΠ΅ систСмы.

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ локальной ΡƒΡ‡Ρ‘Ρ‚Π½ΠΎΠΉ записи ΠΈ измСнСния Π² Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… Π³Ρ€ΡƒΠΏΠΏΠ°Ρ… (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 ΠΈ 5377). Атака ΠΌΠΎΠΆΠ΅Ρ‚ Ρ‚Π°ΠΊΠΆΠ΅ Π½Π°Ρ‡ΠΈΠ½Π°Ρ‚ΡŒΡΡ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, с добавлСния Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π² Π³Ρ€ΡƒΠΏΠΏΡƒ Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… администраторов.

ΠŸΠΎΠΏΡ‹Ρ‚ΠΊΠΈ Π²Ρ…ΠΎΠ΄Π° с локальной ΡƒΡ‡Ρ‘Ρ‚Π½ΠΎΠΉ записью (событиС 4624). ДобропорядочныС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ заходят с Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠΉ ΡƒΡ‡Ρ‘Ρ‚Π½ΠΎΠΉ записью ΠΈ выявлСниС Π²Ρ…ΠΎΠ΄Π° ΠΏΠΎΠ΄ локальной ΡƒΡ‡Ρ‘Ρ‚Π½ΠΎΠΉ записью ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠ·Π½Π°Ρ‡Π°Ρ‚ΡŒ Π½Π°Ρ‡Π°Π»ΠΎ Π°Ρ‚Π°ΠΊΠΈ. Π‘ΠΎΠ±Ρ‹Ρ‚ΠΈΠ΅ 4624 Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Ρ‚Π°ΠΊΠΆΠ΅ Π²Ρ…ΠΎΠ΄Ρ‹ ΠΏΠΎΠ΄ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠΉ ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью, поэтому ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ событий Π½ΡƒΠΆΠ½ΠΎ Π·Π°Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ²Π°Ρ‚ΡŒ события, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π΄ΠΎΠΌΠ΅Π½ отличаСтся ΠΎΡ‚ ΠΈΠΌΠ΅Π½ΠΈ Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции.

ΠŸΠΎΠΏΡ‹Ρ‚ΠΊΠ° Π²Ρ…ΠΎΠ΄Π° с Π·Π°Π΄Π°Π½Π½ΠΎΠΉ ΡƒΡ‡Ρ‘Ρ‚Π½ΠΎΠΉ записью (событиС 4648). Π’Π°ΠΊΠΎΠ΅ Π±Ρ‹Π²Π°Π΅Ρ‚, ΠΊΠΎΠ³Π΄Π° процСсс выполняСтся Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ β€œΠ—Π°ΠΏΡƒΡΠΊ ΠΎΡ‚ имСни” (run as). Π’ Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½ΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌΠ΅ Ρ€Π°Π±ΠΎΡ‚Ρ‹ систСм Ρ‚Π°ΠΊΠΎΠ³ΠΎ Π½Π΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ, поэтому Ρ‚Π°ΠΊΠΈΠ΅ события Π΄ΠΎΠ»ΠΆΠ½Ρ‹ Π½Π°Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒΡΡ ΠΏΠΎΠ΄ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π΅ΠΌ.

Π‘Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ°/Ρ€Π°Π·Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции (события 4800-4803). К ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… событий ΠΌΠΎΠΆΠ½ΠΎ отнСсти Π»ΡŽΠ±Ρ‹Π΅ дСйствия, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ происходили Π½Π° Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции.

ИзмСнСния ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ Ρ„Π°ΠΉΡ€Π²ΠΎΠ»Π»Π° (события 4944-4958). ΠžΡ‡Π΅Π²ΠΈΠ΄Π½ΠΎ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈ установкС Π½ΠΎΠ²ΠΎΠ³ΠΎ ПО настройки ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ Ρ„Π°ΠΉΡ€Π²ΠΎΠ»Π»Π° ΠΌΠΎΠ³ΡƒΡ‚ ΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ Π²Ρ‹Π·ΠΎΠ²Π΅Ρ‚ Π»ΠΎΠΆΠ½Ρ‹Π΅ срабатывания. ΠšΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚Π°ΠΊΠΈΠ΅ измСнСния Π² Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π΅ случаСв Π½Π΅Ρ‚ нСобходимости, Π½ΠΎ Π·Π½Π°Ρ‚ΡŒ ΠΎ Π½ΠΈΡ… Ρ‚ΠΎΡ‡Π½ΠΎ лишним Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚.

ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ устройств Plug’n’play (событиС 6416 ΠΈ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для WIndows 10). Π—Π° этим Π²Π°ΠΆΠ½ΠΎ ΡΠ»Π΅Π΄ΠΈΡ‚ΡŒ, Ссли ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ Π½Π΅ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ Π½ΠΎΠ²Ρ‹Π΅ устройства ΠΊ Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции, Π° Ρ‚ΡƒΡ‚ Π²Π΄Ρ€ΡƒΠ³ Ρ€Π°Π· β€” ΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΠ»ΠΈ.

Windows Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π² сСбя 9 ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΉ Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈ 50 субкатСгорий для Ρ‚ΠΎΠ½ΠΊΠΎΠΉ настройки. ΠœΠΈΠ½ΠΈΠΌΠ°Π»ΡŒΠ½Ρ‹ΠΉ Π½Π°Π±ΠΎΡ€ субкатСгорий, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ стоит Π²ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ Π² настройках:

Logon/Logoff

  • Logon;
  • Logoff;
  • Account Lockout;
  • Other Logon/Logoff Events.

Account Management

  • User Account Management;
  • Security Group Management.

Policy Change

  • Audit Policy Change;
  • Authentication Policy Change;
  • Authorization Policy Change.

БистСмный ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ (Sysmon)

Sysmon β€” встроСнная Π² Windows ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Π°, которая ΡƒΠΌΠ΅Π΅Ρ‚ Π·Π°ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒ события Π² систСмный ΠΆΡƒΡ€Π½Π°Π». ΠžΠ±Ρ‹Ρ‡Π½ΠΎ трСбуСтся Π΅Π³ΠΎ ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎ.

Π§Ρ‚ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠ³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Ρ‚Π°Ρ‰ΠΈΡ‚ΡŒ ΠΈΠ· Π»ΠΎΠ³ΠΎΠ² Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции Π½Π° Π±Π°Π·Π΅ ОБ Windows

Π­Ρ‚ΠΈ ΠΆΠ΅ события ΠΌΠΎΠΆΠ½ΠΎ Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π½Π°ΠΉΡ‚ΠΈ Π² ΠΆΡƒΡ€Π½Π°Π»Π΅ бСзопасности (Π²ΠΊΠ»ΡŽΡ‡ΠΈΠ² Π½ΡƒΠΆΠ½ΡƒΡŽ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ Π°ΡƒΠ΄ΠΈΡ‚Π°), Π½ΠΎ Sysmon Π΄Π°Ρ‘Ρ‚ большС подробностСй. КакиС события ΠΌΠΎΠΆΠ½ΠΎ Π·Π°Π±ΠΈΡ€Π°Ρ‚ΡŒ ΠΈΠ· Sysmon?

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ процСсса (ID события 1). БистСмный ΠΆΡƒΡ€Π½Π°Π» событий бСзопасности Ρ‚ΠΎΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠΊΠ°Π·Π°Ρ‚ΡŒ, ΠΊΠΎΠ³Π΄Π° запустился ΠΊΠ°ΠΊΠΎΠΉ-Π½ΠΈΠ±ΡƒΠ΄ΡŒ *.exe ΠΈ Π΄Π°ΠΆΠ΅ ΠΏΠΎΠΊΠ°ΠΆΠ΅Ρ‚ Π΅Π³ΠΎ имя ΠΈ ΠΏΡƒΡ‚ΡŒ запуска. Но Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ Sysmon Π½Π΅ смоТСт ΠΏΠΎΠΊΠ°Π·Π°Ρ‚ΡŒ Ρ…ΡΡˆ прилоТСния. Π—Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΠΎΠ΅ ПО ΠΌΠΎΠΆΠ΅Ρ‚ Π½Π°Π·Ρ‹Π²Π°Ρ‚ΡŒΡΡ Π΄Π°ΠΆΠ΅ Π±Π΅Π·ΠΎΠ±ΠΈΠ΄Π½Ρ‹ΠΌ notepad.exe, Π½ΠΎ ΠΈΠΌΠ΅Π½Π½ΠΎ Ρ…ΡΡˆ Π²Ρ‹Π²Π΅Π΄Π΅Ρ‚ Π΅Π³ΠΎ Π½Π° Ρ‡ΠΈΡΡ‚ΡƒΡŽ Π²ΠΎΠ΄Ρƒ.

Π‘Π΅Ρ‚Π΅Π²Ρ‹Π΅ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ (ID события 3). ΠžΡ‡Π΅Π²ΠΈΠ΄Π½ΠΎ, Ρ‡Ρ‚ΠΎ сСтСвых ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉ ΠΌΠ½ΠΎΠ³ΠΎ, ΠΈ Π·Π° всСми Π½Π΅ ΡƒΡΠ»Π΅Π΄ΠΈΡ‚ΡŒ. Но Π²Π°ΠΆΠ½ΠΎ ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ Sysmon Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ Ρ‚ΠΎΠ³ΠΎ ΠΆΠ΅ Security Log ΡƒΠΌΠ΅Π΅Ρ‚ ΠΏΡ€ΠΈΠ²ΡΠ·Π°Ρ‚ΡŒ сСтСвоС ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ полям ProcessID ΠΈ ProcessGUID, ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ ΠΏΠΎΡ€Ρ‚ ΠΈ IP-адрСса источника ΠΈ ΠΏΡ€ΠΈΡ‘ΠΌΠ½ΠΈΠΊΠ°.

ИзмСнСния Π² систСмном рССстрС (ID события 12-14). Π‘Π°ΠΌΡ‹ΠΉ простой способ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ сСбя Π² автозапуск β€” ΠΏΡ€ΠΎΠΏΠΈΡΠ°Ρ‚ΡŒΡΡ Π² рССстрС. Security Log это ΡƒΠΌΠ΅Π΅Ρ‚, Π½ΠΎ Sysmon ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚, ΠΊΡ‚ΠΎ внёс измСнСния, ΠΊΠΎΠ³Π΄Π°, ΠΎΡ‚ΠΊΡƒΠ΄Π°, process ID ΠΈ ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅Π΅ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π°.

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»Π° (ID события 11). Sysmon, Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ Security Log, ΠΏΠΎΠΊΠ°ΠΆΠ΅Ρ‚ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ располоТСниС Ρ„Π°ΠΉΠ»Π°, Π½ΠΎ ΠΈ Π΅Π³ΠΎ имя. ΠŸΠΎΠ½ΡΡ‚Π½ΠΎ, Ρ‡Ρ‚ΠΎ Π·Π° всСм Π½Π΅ ΡƒΡΠ»Π΅Π΄ΠΈΡˆΡŒ, Π½ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΆΠ΅ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΉ.

А Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ Ρ‚ΠΎ, Ρ‡Π΅Π³ΠΎ Π² ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°Ρ… Security Log Π½Π΅Ρ‚, Π½ΠΎ Π΅ΡΡ‚ΡŒ Π² Sysmon:

ИзмСнСниС Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ создания Ρ„Π°ΠΉΠ»Π° (ID события 2). НСкотороС врСдоносноС ПО ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠ΄ΠΌΠ΅Π½ΡΡ‚ΡŒ Π΄Π°Ρ‚Ρƒ создания Ρ„Π°ΠΉΠ»Π° для Π΅Π³ΠΎ скрытия ΠΈΠ· ΠΎΡ‚Ρ‡Ρ‘Ρ‚ΠΎΠ² с Π½Π΅Π΄Π°Π²Π½ΠΎ созданными Ρ„Π°ΠΉΠ»Π°ΠΌΠΈ.

Π—Π°Π³Ρ€ΡƒΠ·ΠΊΠ° Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ΠΎΠ² ΠΈ динамичСских Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ (ID событий 6-7). ΠžΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Π½ΠΈΠ΅ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π² ΠΏΠ°ΠΌΡΡ‚ΡŒ DLL ΠΈ Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ΠΎΠ² устройств, ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписи ΠΈ Π΅Ρ‘ валидности.

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΠΎΡ‚ΠΎΠΊΠ° Π² Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡŽΡ‰Π΅ΠΌΡΡ процСссС (ID события 8). Один ΠΈΠ· Π²ΠΈΠ΄ΠΎΠ² Π°Ρ‚Π°ΠΊΠΈ, Π·Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ Ρ‚ΠΎΠΆΠ΅ Π½ΡƒΠΆΠ½ΠΎ ΡΠ»Π΅Π΄ΠΈΡ‚ΡŒ.

Бобытия RawAccessRead (ID события 9). ΠžΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ чтСния с диска ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ β€œ.”. Π’ Π°Π±ΡΠΎΠ»ΡŽΡ‚Π½ΠΎΠΌ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π΅ случаСв такая Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π΄ΠΎΠ»ΠΆΠ½Π° ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒΡΡ Π½Π΅Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½ΠΎΠΉ.

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠ³ΠΎ ΠΏΠΎΡ‚ΠΎΠΊΠ° (ID события 15). Π‘ΠΎΠ±Ρ‹Ρ‚ΠΈΠ΅ рСгистрируСтся, ΠΊΠΎΠ³Π΄Π° создаСтся ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ Ρ„Π°ΠΉΠ»ΠΎΠ²Ρ‹ΠΉ ΠΏΠΎΡ‚ΠΎΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ события с Ρ…ΡΡˆΠ΅ΠΌ содСрТимого Ρ„Π°ΠΉΠ»Π°.

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ named pipe ΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ (ID события 17-18). ΠžΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Π½ΠΈΠ΅ врСдоносного ΠΊΠΎΠ΄Π°, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΡ†ΠΈΡ€ΡƒΠ΅Ρ‚ с Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°ΠΌΠΈ Ρ‡Π΅Ρ€Π΅Π· named pipe.

ΠΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ ΠΏΠΎ WMI (ID события 19). РСгистрация событий, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΡŽΡ‚ΡΡ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠΈ ΠΊ систСмС ΠΏΠΎ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρƒ WMI.

Для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ самого Sysmon Π½ΡƒΠΆΠ½ΠΎ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ события с ID 4 (остановка ΠΈ запуск Sysmon) ΠΈ ID 16 (ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ Sysmon).

Π–ΡƒΡ€Π½Π°Π»Ρ‹ Power Shell

Power Shell β€” ΠΌΠΎΡ‰Π½Ρ‹ΠΉ инструмСнт управлСния Windows-инфраструктурой, поэтому Π²Π΅Π»ΠΈΠΊΠΈ ΡˆΠ°Π½ΡΡ‹, Ρ‡Ρ‚ΠΎ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ Π²Ρ‹Π±Π΅Ρ€Π΅Ρ‚ ΠΈΠΌΠ΅Π½Π½ΠΎ Π΅Π³ΠΎ. Для получСния Π΄Π°Π½Π½Ρ‹Ρ… ΠΎ событиях Power Shell ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π΄Π²Π° источника: Windows PowerShell log ΠΈ Microsoft-WindowsPowerShell / Operational log.

Windows PowerShell log

Π§Ρ‚ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠ³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Ρ‚Π°Ρ‰ΠΈΡ‚ΡŒ ΠΈΠ· Π»ΠΎΠ³ΠΎΠ² Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции Π½Π° Π±Π°Π·Π΅ ОБ Windows

Π—Π°Π³Ρ€ΡƒΠΆΠ΅Π½ поставщик Π΄Π°Π½Π½Ρ‹Ρ… (ID события 600). ΠŸΠΎΡΡ‚Π°Π²Ρ‰ΠΈΠΊΠΈ PowerShell β€” это ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ слуТат источником Π΄Π°Π½Π½Ρ‹Ρ… для PowerShell для просмотра ΠΈ управлСния ΠΈΠΌΠΈ. НапримСр, встроСнными поставщиками ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Π΅ срСды Windows ΠΈΠ»ΠΈ систСмный рССстр. Π—Π° появлСниСм Π½ΠΎΠ²Ρ‹Ρ… поставщиков Π½ΡƒΠΆΠ½ΠΎ ΡΠ»Π΅Π΄ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ воврСмя Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΡƒΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ. НапримСр, Ссли Π²ΠΈΠ΄ΠΈΡ‚Π΅, Ρ‡Ρ‚ΠΎ срСди поставщиков появился WSMan, Π·Π½Π°Ρ‡ΠΈΡ‚ Π±Ρ‹Π» Π½Π°Ρ‡Π°Ρ‚ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΉ сСанс PowerShell.

Microsoft-WindowsPowerShell / Operational log (ΠΈΠ»ΠΈ MicrosoftWindows-PowerShellCore / Operational Π² PowerShell 6)

Π§Ρ‚ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠ³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Ρ‚Π°Ρ‰ΠΈΡ‚ΡŒ ΠΈΠ· Π»ΠΎΠ³ΠΎΠ² Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции Π½Π° Π±Π°Π·Π΅ ОБ Windows

Π–ΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ (ID события 4103). Π’ событиях хранится информация ΠΎ ΠΊΠ°ΠΆΠ΄ΠΎΠΉ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½Π½ΠΎΠΉ ΠΊΠΎΠΌΠ°Π½Π΄Π΅ ΠΈ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°Ρ…, с ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ ΠΎΠ½Π° Π²Ρ‹Π·Ρ‹Π²Π°Π»Π°ΡΡŒ.

Π–ΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ скриптов (ID события 4104). Π–ΡƒΡ€Π½Π°Π»ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ скриптов ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½Π½Ρ‹ΠΉ Π±Π»ΠΎΠΊ ΠΊΠΎΠ΄Π° PowerShell. Π”Π°ΠΆΠ΅ Ссли Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ попытаСтся ΡΠΊΡ€Ρ‹Ρ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ, этот Ρ‚ΠΈΠΏ события ΠΏΠΎΠΊΠ°ΠΆΠ΅Ρ‚ фактичСски Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½Π½ΡƒΡŽ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ PowerShell. Π•Ρ‰Ρ‘ Π² этом Ρ‚ΠΈΠΏΠ΅ события ΠΌΠΎΠ³ΡƒΡ‚ Ρ„ΠΈΠΊΡΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ выполняСмыС Π½ΠΈΠ·ΠΊΠΎΡƒΡ€ΠΎΠ²Π½Π΅Π²Ρ‹Π΅ Π²Ρ‹Π·ΠΎΠ²Ρ‹ API, эти события ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ записываСтся ΠΊΠ°ΠΊ Verbose, Π½ΠΎ Ссли ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Π°Ρ ΠΊΠΎΠΌΠ°Π½Π΄Π° ΠΈΠ»ΠΈ сцСнарий ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π² Π±Π»ΠΎΠΊΠ΅ ΠΊΠΎΠ΄Π°, ΠΎΠ½ Π±ΡƒΠ΄Π΅Ρ‚ зарСгистрирован ΠΊΠ°ΠΊ c ΠΊΡ€ΠΈΡ‚ΠΈΡ‡Π½ΠΎΡΡ‚ΡŒΡŽ Warning.

ΠžΠ±Ρ€Π°Ρ‚ΠΈΡ‚Π΅ Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅, Ρ‡Ρ‚ΠΎ послС настройки инструмСнта сбора ΠΈ Π°Π½Π°Π»ΠΈΠ·Π° этих событий потрСбуСтся Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ врСмя Π½Π° ΠΎΡ‚Π»Π°Π΄ΠΊΡƒ для сниТСния количСства Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний.

РасскаТитС Π² коммСнтариях, ΠΊΠ°ΠΊΠΈΠ΅ собираСтС Π»ΠΎΠ³ΠΈ для Π°ΡƒΠ΄ΠΈΡ‚Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности ΠΈ ΠΊΠ°ΠΊΠΈΠ΅ инструмСнты для этого ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚Π΅. Одно ΠΈΠ· Π½Π°ΡˆΠΈΡ… Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΉ β€” Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ для Π°ΡƒΠ΄ΠΈΡ‚Π° событий ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности. Для Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ Π·Π°Π΄Π°Ρ‡ΠΈ сбора ΠΈ Π°Π½Π°Π»ΠΈΠ·Π° Π»ΠΎΠ³ΠΎΠ² ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠΈΡ‚ΡŒ ΠΏΡ€ΠΈΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒΡΡ ΠΊ Quest InTrust, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΡƒΠΌΠ΅Π΅Ρ‚ ΡΠΆΠΈΠΌΠ°Ρ‚ΡŒ хранящиСся Π΄Π°Π½Π½Ρ‹Π΅ с коэффициСнтом 20:1, Π° ΠΎΠ΄ΠΈΠ½ Π΅Π³ΠΎ установлСнный экзСмпляр способСн ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ Π΄ΠΎ 60000 событий Π² сСкунду ΠΈΠ· 10000 источников.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ