Ο σταθμός εργασίας χρήστη είναι το πιο ευάλωτο σημείο της υποδομής όσον αφορά την ασφάλεια των πληροφοριών. Οι χρήστες ενδέχεται να λάβουν μια επιστολή στο email της εργασίας τους που φαίνεται να προέρχεται από ασφαλή πηγή, αλλά με έναν σύνδεσμο προς έναν μολυσμένο ιστότοπο. Ίσως κάποιος κατεβάσει ένα βοηθητικό πρόγραμμα χρήσιμο για εργασία από μια άγνωστη τοποθεσία. Ναι, μπορείτε να βρείτε δεκάδες περιπτώσεις για το πώς το κακόβουλο λογισμικό μπορεί να διεισδύσει σε εσωτερικούς εταιρικούς πόρους μέσω των χρηστών. Επομένως, οι σταθμοί εργασίας απαιτούν αυξημένη προσοχή και σε αυτό το άρθρο θα σας πούμε πού και ποια συμβάντα να πραγματοποιήσετε για την παρακολούθηση επιθέσεων.
Για τον εντοπισμό μιας επίθεσης στο πιο πρώιμο δυνατό στάδιο, τα Windows έχουν τρεις χρήσιμες πηγές συμβάντων: το αρχείο καταγραφής συμβάντων ασφαλείας, το αρχείο καταγραφής παρακολούθησης συστήματος και τα αρχεία καταγραφής του κελύφους ισχύος.
Αρχείο καταγραφής συμβάντων ασφαλείας
Αυτή είναι η κύρια θέση αποθήκευσης για τα αρχεία καταγραφής ασφαλείας του συστήματος. Αυτό περιλαμβάνει συμβάντα σύνδεσης/αποσύνδεσης χρήστη, πρόσβαση σε αντικείμενα, αλλαγές πολιτικής και άλλες δραστηριότητες που σχετίζονται με την ασφάλεια. Φυσικά, εάν έχει διαμορφωθεί η κατάλληλη πολιτική.
Αριθμός χρηστών και ομάδων (γεγονότα 4798 και 4799). Στην αρχή μιας επίθεσης, το κακόβουλο λογισμικό συχνά αναζητά μέσω τοπικών λογαριασμών χρηστών και τοπικών ομάδων σε έναν σταθμό εργασίας για να βρει διαπιστευτήρια για τις σκοτεινές συναλλαγές του. Αυτά τα συμβάντα θα βοηθήσουν στην ανίχνευση κακόβουλου κώδικα προτού προχωρήσει και, χρησιμοποιώντας τα δεδομένα που συλλέγονται, εξαπλωθεί σε άλλα συστήματα.
Δημιουργία τοπικού λογαριασμού και αλλαγές σε τοπικές ομάδες (συμβάντα 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 και 5377). Η επίθεση μπορεί επίσης να ξεκινήσει, για παράδειγμα, με την προσθήκη ενός νέου χρήστη στην ομάδα τοπικών διαχειριστών.
Προσπάθειες σύνδεσης με τοπικό λογαριασμό (συμβάν 4624). Αξιοσέβαστοι χρήστες συνδέονται με λογαριασμό τομέα και η αναγνώριση μιας σύνδεσης σε έναν τοπικό λογαριασμό μπορεί να σημαίνει την έναρξη μιας επίθεσης. Το συμβάν 4624 περιλαμβάνει επίσης συνδέσεις σε έναν λογαριασμό τομέα, επομένως κατά την επεξεργασία συμβάντων, πρέπει να φιλτράρετε συμβάντα όπου ο τομέας είναι διαφορετικός από το όνομα του σταθμού εργασίας.
Μια προσπάθεια σύνδεσης με τον καθορισμένο λογαριασμό (συμβάν 4648). Αυτό συμβαίνει όταν η διαδικασία εκτελείται σε λειτουργία "εκτέλεση ως". Αυτό δεν πρέπει να συμβαίνει κατά την κανονική λειτουργία των συστημάτων, επομένως τέτοια συμβάντα πρέπει να ελέγχονται.
Κλείδωμα/ξεκλείδωμα του σταθμού εργασίας (συμβάντα 4800-4803). Η κατηγορία των ύποπτων συμβάντων περιλαμβάνει όλες τις ενέργειες που πραγματοποιήθηκαν σε έναν κλειδωμένο σταθμό εργασίας.
Αλλαγές στη διαμόρφωση του τείχους προστασίας (συμβάντα 4944-4958). Προφανώς, κατά την εγκατάσταση νέου λογισμικού, οι ρυθμίσεις παραμέτρων του τείχους προστασίας ενδέχεται να αλλάξουν, κάτι που θα προκαλέσει ψευδώς θετικά αποτελέσματα. Στις περισσότερες περιπτώσεις, δεν υπάρχει λόγος να ελέγχετε τέτοιες αλλαγές, αλλά σίγουρα δεν θα σας βλάψει να τις μάθετε.
Σύνδεση συσκευών Plug'n'play (συμβάν 6416 και μόνο για Windows 10). Είναι σημαντικό να το παρακολουθείτε εάν οι χρήστες συνήθως δεν συνδέουν νέες συσκευές στο σταθμό εργασίας, αλλά ξαφνικά το κάνουν.
Τα Windows περιλαμβάνουν 9 κατηγορίες ελέγχου και 50 υποκατηγορίες για τελειοποίηση. Το ελάχιστο σύνολο υποκατηγοριών που πρέπει να ενεργοποιηθεί στις ρυθμίσεις:
Σύνδεση/Αποσύνδεση
- Συνδεθείτε;
- Αποσύνδεση;
- Κλείδωμα λογαριασμού.
- Άλλα συμβάντα σύνδεσης/αποσύνδεσης.
Διαχείριση Λογαριασμού
- Διαχείριση λογαριασμού χρήστη.
- Διαχείριση Ομάδας Ασφαλείας.
Αλλαγή Πολιτικής
- Αλλαγή πολιτικής ελέγχου.
- Αλλαγή πολιτικής ελέγχου ταυτότητας.
- Αλλαγή Πολιτικής Εξουσιοδότησης.
Οθόνη συστήματος (Sysmon)
Το Sysmon είναι ένα βοηθητικό πρόγραμμα ενσωματωμένο στα Windows που μπορεί να καταγράφει συμβάντα στο αρχείο καταγραφής συστήματος. Συνήθως πρέπει να το εγκαταστήσετε ξεχωριστά.
Αυτά τα ίδια συμβάντα μπορούν, καταρχήν, να βρεθούν στο αρχείο καταγραφής ασφαλείας (ενεργοποιώντας την επιθυμητή πολιτική ελέγχου), αλλά το Sysmon παρέχει περισσότερες λεπτομέρειες. Ποια γεγονότα μπορούν να ληφθούν από το Sysmon;
Δημιουργία διαδικασίας (αναγνωριστικό συμβάντος 1). Το αρχείο καταγραφής συμβάντων ασφαλείας συστήματος μπορεί επίσης να σας πει πότε ξεκίνησε ένα *.exe και ακόμη και να εμφανίσει το όνομά του και τη διαδρομή εκκίνησης. Αλλά σε αντίθεση με το Sysmon, δεν θα μπορεί να εμφανίσει το κατακερματισμό της εφαρμογής. Το κακόβουλο λογισμικό μπορεί να ονομάζεται ακόμη και αβλαβές notepad.exe, αλλά είναι ο κατακερματισμός που θα το φέρει στο φως.
Συνδέσεις δικτύου (Αναγνωριστικό συμβάντος 3). Προφανώς, υπάρχουν πολλές συνδέσεις δικτύου και είναι αδύνατο να τις παρακολουθήσετε όλες. Ωστόσο, είναι σημαντικό να λάβετε υπόψη ότι το Sysmon, σε αντίθεση με το αρχείο καταγραφής ασφαλείας, μπορεί να συνδέσει μια σύνδεση δικτύου στα πεδία ProcessID και ProcessGUID και εμφανίζει τη θύρα και τις διευθύνσεις IP της πηγής και του προορισμού.
Αλλαγές στο μητρώο συστήματος (αναγνωριστικό συμβάντος 12-14). Ο ευκολότερος τρόπος για να προσθέσετε τον εαυτό σας στο autorun είναι να εγγραφείτε στο μητρώο. Το αρχείο καταγραφής ασφαλείας μπορεί να το κάνει αυτό, αλλά το Sysmon δείχνει ποιος έκανε τις αλλαγές, πότε, από πού, το αναγνωριστικό διεργασίας και την προηγούμενη τιμή κλειδιού.
Δημιουργία αρχείου (αναγνωριστικό συμβάντος 11). Το Sysmon, σε αντίθεση με το αρχείο καταγραφής ασφαλείας, θα εμφανίζει όχι μόνο τη θέση του αρχείου, αλλά και το όνομά του. Είναι σαφές ότι δεν μπορείτε να παρακολουθείτε τα πάντα, αλλά μπορείτε να ελέγξετε ορισμένους καταλόγους.
Και τώρα αυτό που δεν περιλαμβάνεται στις πολιτικές καταγραφής ασφαλείας, αλλά είναι στο Sysmon:
Αλλαγή χρόνου δημιουργίας αρχείου (αναγνωριστικό συμβάντος 2). Κάποιο κακόβουλο λογισμικό μπορεί να πλαστογραφήσει την ημερομηνία δημιουργίας ενός αρχείου για να το κρύψει από αναφορές αρχείων που δημιουργήθηκαν πρόσφατα.
Φόρτωση προγραμμάτων οδήγησης και δυναμικών βιβλιοθηκών (αναγνωριστικά συμβάντων 6-7). Παρακολούθηση της φόρτωσης DLL και προγραμμάτων οδήγησης συσκευών στη μνήμη, έλεγχος της ψηφιακής υπογραφής και της εγκυρότητάς της.
Δημιουργήστε ένα νήμα σε μια διαδικασία που εκτελείται (αναγνωριστικό συμβάντος 8). Ένας τύπος επίθεσης που πρέπει επίσης να παρακολουθείται.
Συμβάντα RawAccessRead (Αναγνωριστικό συμβάντος 9). Λειτουργίες ανάγνωσης δίσκου χρησιμοποιώντας το ".". Στη συντριπτική πλειονότητα των περιπτώσεων, μια τέτοια δραστηριότητα θα πρέπει να θεωρείται μη φυσιολογική.
Δημιουργήστε μια ροή αρχείου με όνομα (αναγνωριστικό συμβάντος 15). Ένα συμβάν καταγράφεται όταν δημιουργείται μια ροή αρχείων με όνομα που εκπέμπει συμβάντα με κατακερματισμό των περιεχομένων του αρχείου.
Δημιουργία επώνυμου σωλήνα και σύνδεσης (αναγνωριστικό συμβάντος 17-18). Παρακολούθηση κακόβουλου κώδικα που επικοινωνεί με άλλα στοιχεία μέσω του ονομαζόμενου σωλήνα.
Δραστηριότητα WMI (αναγνωριστικό συμβάντος 19). Καταχώρηση συμβάντων που δημιουργούνται κατά την πρόσβαση στο σύστημα μέσω του πρωτοκόλλου WMI.
Για να προστατέψετε το ίδιο το Sysmon, πρέπει να παρακολουθείτε συμβάντα με ID 4 (Sysmon σταμάτημα και εκκίνηση) και ID 16 (αλλαγές στη διαμόρφωση του Sysmon).
Καταγραφές Power Shell
Το Power Shell είναι ένα ισχυρό εργαλείο για τη διαχείριση της υποδομής των Windows, επομένως είναι υψηλές οι πιθανότητες να το επιλέξει κάποιος εισβολέας. Υπάρχουν δύο πηγές που μπορείτε να χρησιμοποιήσετε για να αποκτήσετε δεδομένα συμβάντων Power Shell: το αρχείο καταγραφής Windows PowerShell και το αρχείο καταγραφής Microsoft-WindowsPowerShell/Λειτουργικό.
Αρχείο καταγραφής Windows PowerShell
Φορτώθηκε ο πάροχος δεδομένων (αναγνωριστικό συμβάντος 600). Οι πάροχοι PowerShell είναι προγράμματα που παρέχουν μια πηγή δεδομένων για προβολή και διαχείριση του PowerShell. Για παράδειγμα, οι ενσωματωμένοι πάροχοι θα μπορούσαν να είναι μεταβλητές περιβάλλοντος των Windows ή το μητρώο του συστήματος. Η εμφάνιση νέων προμηθευτών πρέπει να παρακολουθείται προκειμένου να εντοπιστεί έγκαιρα κακόβουλη δραστηριότητα. Για παράδειγμα, αν δείτε το WSMan να εμφανίζεται μεταξύ των παρόχων, τότε έχει ξεκινήσει μια απομακρυσμένη περίοδος λειτουργίας PowerShell.
Microsoft-WindowsPowerShell / Λειτουργικό αρχείο καταγραφής (ή MicrosoftWindows-PowerShellCore / Operational στο PowerShell 6)
Καταγραφή ενότητας (αναγνωριστικό συμβάντος 4103). Τα συμβάντα αποθηκεύουν πληροφορίες για κάθε εκτελούμενη εντολή και τις παραμέτρους με τις οποίες κλήθηκε.
Καταγραφή αποκλεισμού δέσμης ενεργειών (αναγνωριστικό συμβάντος 4104). Η καταγραφή αποκλεισμού σεναρίων εμφανίζει κάθε μπλοκ κώδικα PowerShell που εκτελείται. Ακόμα κι αν ένας εισβολέας προσπαθήσει να αποκρύψει την εντολή, αυτός ο τύπος συμβάντος θα εμφανίσει την εντολή PowerShell που εκτελέστηκε πραγματικά. Αυτός ο τύπος συμβάντος μπορεί επίσης να καταγράφει ορισμένες κλήσεις χαμηλού επιπέδου API που πραγματοποιούνται, αυτά τα συμβάντα συνήθως καταγράφονται ως Verbose, αλλά εάν μια ύποπτη εντολή ή σενάριο χρησιμοποιείται σε ένα μπλοκ κώδικα, θα καταγραφεί ως σοβαρότητα προειδοποίησης.
Λάβετε υπόψη ότι όταν το εργαλείο διαμορφωθεί για τη συλλογή και ανάλυση αυτών των συμβάντων, θα απαιτηθεί επιπλέον χρόνος εντοπισμού σφαλμάτων για να μειωθεί ο αριθμός των ψευδώς θετικών.
Πείτε μας στα σχόλια ποια αρχεία καταγραφής συλλέγετε για ελέγχους ασφάλειας πληροφοριών και ποια εργαλεία χρησιμοποιείτε για αυτό. Ένας από τους τομείς εστίασής μας είναι οι λύσεις για τον έλεγχο συμβάντων ασφάλειας πληροφοριών. Για να λύσετε το πρόβλημα της συλλογής και ανάλυσης κορμών, μπορούμε να προτείνουμε να ρίξετε μια πιο προσεκτική ματιά , το οποίο μπορεί να συμπιέσει αποθηκευμένα δεδομένα με αναλογία 20:1 και μια εγκατεστημένη παρουσία του είναι ικανή να επεξεργαστεί έως και 60000 συμβάντα ανά δευτερόλεπτο από 10000 πηγές.
Πηγή: www.habr.com