Uživatelská pracovní stanice je z hlediska informační bezpečnosti nejzranitelnějším bodem infrastruktury. Uživatelé mohou na svůj pracovní e-mail obdržet dopis, který se zdá být z bezpečného zdroje, ale s odkazem na infikovaný web. Možná si někdo stáhne utilitu užitečnou pro práci z neznámého místa. Ano, můžete přijít s desítkami případů, jak může malware prostřednictvím uživatelů pronikat do interních firemních zdrojů. Pracovní stanice proto vyžadují zvýšenou pozornost a v tomto článku vám prozradíme, kde a jaké události pořizovat pro sledování útoků.
Aby bylo možné detekovat útok v co nejranější fázi, má systém WIndows tři užitečné zdroje událostí: protokol událostí zabezpečení, protokol monitorování systému a protokoly Power Shell.
Protokol bezpečnostních událostí
Toto je hlavní úložiště pro protokoly zabezpečení systému. To zahrnuje události přihlášení/odhlášení uživatele, přístup k objektům, změny zásad a další aktivity související se zabezpečením. Samozřejmě, pokud je nakonfigurována příslušná politika.
Výčet uživatelů a skupin (události 4798 a 4799). Na samém začátku útoku malware často prohledává místní uživatelské účty a místní skupiny na pracovní stanici, aby našel přihlašovací údaje pro své pochybné obchody. Tyto události pomohou odhalit škodlivý kód dříve, než se přesune dál, a pomocí shromážděných dat se rozšíří do dalších systémů.
Vytvoření místního účtu a změny v místních skupinách (události 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 a 5377). Útok může také začít například přidáním nového uživatele do místní skupiny administrators.
Pokusy o přihlášení pomocí místního účtu (událost 4624). Slušní uživatelé se přihlašují pomocí doménového účtu a identifikace přihlášení pod lokálním účtem může znamenat začátek útoku. Událost 4624 zahrnuje také přihlášení pod doménovým účtem, takže při zpracování událostí je potřeba odfiltrovat události, kde se doména liší od názvu pracovní stanice.
Pokus o přihlášení pomocí zadaného účtu (událost 4648). K tomu dochází, když proces běží v režimu „spustit jako“. Při běžném provozu systémů by k tomu nemělo docházet, proto je třeba takové události kontrolovat.
Zamykání/odemykání pracovní stanice (události 4800-4803). Kategorie podezřelých událostí zahrnuje všechny akce, ke kterým došlo na uzamčené pracovní stanici.
Změny konfigurace brány firewall (události 4944-4958). Při instalaci nového softwaru se samozřejmě může změnit nastavení konfigurace brány firewall, což způsobí falešné poplachy. Ve většině případů není potřeba takové změny kontrolovat, ale rozhodně neuškodí o nich vědět.
Připojení zařízení Plug'n'play (událost 6416 a pouze pro WIndows 10). Je důležité na to dávat pozor, pokud uživatelé obvykle nepřipojují nová zařízení k pracovní stanici, ale najednou ano.
Windows obsahuje 9 kategorií auditu a 50 podkategorií pro jemné doladění. Minimální sada podkategorií, které by měly být povoleny v nastavení:
Přihlášení / Odhlášení
- Přihlásit se;
- Odhlásit se;
- Uzamčení účtu;
- Další události přihlášení/odhlášení.
Management účtu
- Správa uživatelských účtů;
- Správa bezpečnostní skupiny.
Změna zásad
- Změna zásad auditu;
- Změna zásad autentizace;
- Změna zásad autorizace.
Monitor systému (Sysmon)
Sysmon je nástroj zabudovaný do systému Windows, který může zaznamenávat události do systémového protokolu. Obvykle jej musíte nainstalovat samostatně.
Tyto stejné události lze v zásadě nalézt v protokolu zabezpečení (povolením požadované zásady auditu), ale Sysmon poskytuje více podrobností. Jaké události lze převzít ze systému Sysmon?
Vytvoření procesu (ID události 1). Protokol událostí zabezpečení systému vám také může sdělit, kdy se soubor *.exe spustil, a dokonce zobrazit jeho název a cestu ke spuštění. Ale na rozdíl od Sysmonu nebude schopen zobrazit hash aplikace. Škodlivý software může být dokonce nazýván neškodným notepad.exe, ale je to hash, který jej vynese na světlo.
Síťová připojení (ID události 3). Je zřejmé, že existuje mnoho síťových připojení a je nemožné je všechny sledovat. Je však důležité vzít v úvahu, že Sysmon, na rozdíl od Security Log, může svázat síťové připojení s poli ProcessID a ProcessGUID a zobrazuje port a IP adresy zdroje a cíle.
Změny v systémovém registru (ID události 12-14). Nejjednodušší způsob, jak se přidat do automatického spouštění, je zaregistrovat se v registru. Security Log to dokáže, ale Sysmon ukazuje, kdo provedl změny, kdy, odkud, ID procesu a předchozí hodnotu klíče.
Vytvoření souboru (ID události 11). Sysmon, na rozdíl od Security Log, zobrazí nejen umístění souboru, ale také jeho název. Je jasné, že nemůžete sledovat všechno, ale můžete auditovat určité adresáře.
A nyní to, co není v zásadách protokolu zabezpečení, ale je v systému Sysmon:
Změna času vytvoření souboru (ID události 2). Některý malware může podvrhnout datum vytvoření souboru, aby jej skryl před zprávami o nedávno vytvořených souborech.
Načítání ovladačů a dynamických knihoven (ID událostí 6-7). Sledování načítání knihoven DLL a ovladačů zařízení do paměti, kontrola digitálního podpisu a jeho platnosti.
Vytvořte vlákno v běžícím procesu (ID události 8). Jeden typ útoku, který je také potřeba monitorovat.
Události RawAccessRead (ID události 9). Operace čtení disku pomocí „.“. V naprosté většině případů by taková činnost měla být považována za abnormální.
Vytvořte proud pojmenovaného souboru (ID události 15). Událost se zaprotokoluje, když je vytvořen proud pojmenovaného souboru, který vysílá události s hash obsahu souboru.
Vytvoření pojmenovaného kanálu a připojení (ID události 17-18). Sledování škodlivého kódu, který komunikuje s ostatními součástmi prostřednictvím pojmenovaného kanálu.
Aktivita WMI (ID události 19). Registrace událostí, které jsou generovány při přístupu do systému přes protokol WMI.
Chcete-li chránit samotný systém Sysmon, musíte sledovat události s ID 4 (zastavení a spuštění systému Sysmon) a ID 16 (změny konfigurace systému Sysmon).
Protokoly Power Shell
Power Shell je výkonný nástroj pro správu infrastruktury Windows, takže je vysoká pravděpodobnost, že si jej útočník vybere. Existují dva zdroje, které můžete použít k získání dat událostí Power Shell: protokol Windows PowerShell a protokol Microsoft-WindowsPowerShell/provozní.
Protokol prostředí Windows PowerShell
Poskytovatel dat načten (ID události 600). Poskytovatelé PowerShellu jsou programy, které poskytují zdroj dat pro PowerShell k zobrazení a správě. Vestavěnými poskytovateli mohou být například proměnné prostředí Windows nebo systémový registr. Vznik nových dodavatelů je třeba sledovat, aby bylo možné včas odhalit zákeřnou činnost. Pokud například vidíte, že se mezi poskytovateli objevuje WSMan, byla spuštěna vzdálená relace PowerShellu.
Microsoft-WindowsPowerShell / Operational log (nebo MicrosoftWindows-PowerShellCore / Operational v PowerShell 6)
Protokolování modulu (ID události 4103). Události ukládají informace o každém provedeném příkazu a parametrech, se kterými byl vyvolán.
Protokolování blokování skriptu (ID události 4104). Protokolování blokování skriptů zobrazuje každý spuštěný blok kódu PowerShellu. I když se útočník pokusí skrýt příkaz, tento typ události zobrazí příkaz PowerShellu, který byl skutečně proveden. Tento typ události může také zaznamenávat některá prováděná volání rozhraní API na nízké úrovni, tyto události jsou obvykle zaznamenány jako podrobné, ale pokud je v bloku kódu použit podezřelý příkaz nebo skript, bude zaznamenán jako závažnost varování.
Vezměte prosím na vědomí, že jakmile je nástroj nakonfigurován ke shromažďování a analýze těchto událostí, bude zapotřebí další čas na ladění, aby se snížil počet falešných poplachů.
Řekněte nám v komentářích, jaké protokoly shromažďujete pro audity bezpečnosti informací a jaké nástroje k tomu používáte. Jednou z našich oblastí zaměření jsou řešení pro audit událostí zabezpečení informací. Chcete-li vyřešit problém shromažďování a analýzy protokolů, můžeme navrhnout, abyste se blíže podívali na , který dokáže komprimovat uložená data v poměru 20:1 a jedna jeho nainstalovaná instance je schopna zpracovat až 60000 10000 událostí za sekundu z XNUMX XNUMX zdrojů.
Zdroj: www.habr.com