El puesto de trabajo del usuario es el punto más vulnerable de la infraestructura en términos de seguridad de la información. Los usuarios pueden recibir una carta en el correo electrónico de su trabajo que parece provenir de una fuente segura, pero con un enlace a un sitio infectado. Quizás alguien descargue una utilidad útil para trabajar desde una ubicación desconocida. Sí, se pueden encontrar docenas de casos de cómo el malware puede infiltrarse en los recursos corporativos internos a través de los usuarios. Por lo tanto, las estaciones de trabajo requieren mayor atención y en este artículo le diremos dónde y qué eventos realizar para monitorear los ataques.
Para detectar un ataque en la etapa más temprana posible, Windows tiene tres fuentes de eventos útiles: el registro de eventos de seguridad, el registro de monitoreo del sistema y los registros de Power Shell.
Registro de eventos de seguridad
Esta es la ubicación de almacenamiento principal de los registros de seguridad del sistema. Esto incluye eventos de inicio y cierre de sesión del usuario, acceso a objetos, cambios de políticas y otras actividades relacionadas con la seguridad. Por supuesto, si se configura la política adecuada.
Enumeración de usuarios y grupos (eventos 4798 y 4799). Al comienzo de un ataque, el malware a menudo busca en cuentas de usuarios locales y grupos locales en una estación de trabajo para encontrar credenciales para sus negocios turbios. Estos eventos ayudarán a detectar códigos maliciosos antes de que avancen y, utilizando los datos recopilados, se propaguen a otros sistemas.
Creación de una cuenta local y cambios en grupos locales (eventos 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 y 5377). El ataque también puede comenzar, por ejemplo, añadiendo un nuevo usuario al grupo de administradores locales.
Intentos de inicio de sesión con una cuenta local (evento 4624). Los usuarios respetables inician sesión con una cuenta de dominio e identificar un inicio de sesión con una cuenta local puede significar el inicio de un ataque. El evento 4624 también incluye inicios de sesión en una cuenta de dominio, por lo que al procesar eventos, debe filtrar los eventos en los que el dominio es diferente del nombre de la estación de trabajo.
Un intento de iniciar sesión con la cuenta especificada (evento 4648). Esto sucede cuando el proceso se ejecuta en modo "ejecutar como". Esto no debería suceder durante el funcionamiento normal de los sistemas, por lo que dichos eventos deben controlarse.
Bloquear/desbloquear la estación de trabajo (eventos 4800-4803). La categoría de eventos sospechosos incluye cualquier acción que haya ocurrido en una estación de trabajo bloqueada.
Cambios en la configuración del firewall (eventos 4944-4958). Obviamente, al instalar un nuevo software, la configuración del firewall puede cambiar, lo que provocará falsos positivos. En la mayoría de los casos, no es necesario controlar dichos cambios, pero definitivamente no estará de más conocerlos.
Conexión de dispositivos Plug'n'play (evento 6416 y solo para Windows 10). Es importante estar atento a esto si los usuarios normalmente no conectan nuevos dispositivos a la estación de trabajo, pero de repente lo hacen.
Windows incluye 9 categorías de auditoría y 50 subcategorías para realizar ajustes. El conjunto mínimo de subcategorías que deben habilitarse en la configuración:
Logon / Logoff
- Iniciar sesión;
- Desconectarse;
- Bloqueo de Cuenta;
- Otros eventos de inicio/cierre de sesión.
Administración de cuentas
- Gestión de cuentas de usuario;
- Gestión de grupos de seguridad.
Cambio de política
- Cambio de política de auditoría;
- Cambio de política de autenticación;
- Cambio de política de autorización.
Monitor del sistema (Sysmon)
Sysmon es una utilidad integrada en Windows que puede registrar eventos en el registro del sistema. Por lo general, es necesario instalarlo por separado.
En principio, estos mismos eventos se pueden encontrar en el registro de seguridad (al habilitar la política de auditoría deseada), pero Sysmon proporciona más detalles. ¿Qué eventos se pueden tomar de Sysmon?
Creación de proceso (ID de evento 1). El registro de eventos de seguridad del sistema también puede indicarle cuándo se inició un *.exe e incluso mostrar su nombre y ruta de inicio. Pero a diferencia de Sysmon, no podrá mostrar el hash de la aplicación. El software malicioso puede incluso llamarse notepad.exe inofensivo, pero es el hash el que lo sacará a la luz.
Conexiones de red (ID de evento 3). Obviamente, hay muchas conexiones de red y es imposible realizar un seguimiento de todas ellas. Pero es importante tener en cuenta que Sysmon, a diferencia de Security Log, puede vincular una conexión de red a los campos ProcessID y ProcessGUID y muestra el puerto y las direcciones IP de origen y destino.
Cambios en el registro del sistema (ID de evento 12-14). La forma más sencilla de agregarse a la ejecución automática es registrarse en el registro. El Registro de seguridad puede hacer esto, pero Sysmon muestra quién realizó los cambios, cuándo, desde dónde, el ID del proceso y el valor de la clave anterior.
Creación de archivos (ID de evento 11). Sysmon, a diferencia del Registro de seguridad, mostrará no sólo la ubicación del archivo, sino también su nombre. Está claro que no se puede realizar un seguimiento de todo, pero se pueden auditar determinados directorios.
Y ahora lo que no está en las políticas del Registro de Seguridad, pero sí en Sysmon:
Cambio de hora de creación del archivo (ID de evento 2). Algunos programas maliciosos pueden falsificar la fecha de creación de un archivo para ocultarlo de los informes de archivos creados recientemente.
Cargando controladores y bibliotecas dinámicas (ID de evento 6-7). Monitorear la carga de DLL y controladores de dispositivos en la memoria, verificando la firma digital y su validez.
Cree un hilo en un proceso en ejecución (ID de evento 8). Un tipo de ataque que también es necesario vigilar.
Eventos RawAccessRead (ID de evento 9). Operaciones de lectura de disco utilizando “.”. En la gran mayoría de los casos, dicha actividad debería considerarse anormal.
Cree una secuencia de archivos con nombre (ID de evento 15). Se registra un evento cuando se crea una secuencia de archivo con nombre que emite eventos con un hash del contenido del archivo.
Creando una tubería con nombre y una conexión (ID de evento 17-18). Seguimiento de código malicioso que se comunica con otros componentes a través de la canalización con nombre.
Actividad de WMI (ID de evento 19). Registro de eventos que se generan al acceder al sistema vía protocolo WMI.
Para proteger Sysmon, debe monitorear los eventos con ID 4 (detención e inicio de Sysmon) y ID 16 (cambios de configuración de Sysmon).
Registros de Power Shell
Power Shell es una poderosa herramienta para administrar la infraestructura de Windows, por lo que hay muchas posibilidades de que un atacante la elija. Hay dos fuentes que puede utilizar para obtener datos de eventos de Power Shell: el registro de Windows PowerShell y el registro operativo/de Microsoft-WindowsPowerShell.
Registro de Windows PowerShell
Proveedor de datos cargado (ID de evento 600). Los proveedores de PowerShell son programas que proporcionan una fuente de datos para que PowerShell los vea y administre. Por ejemplo, los proveedores integrados podrían ser variables de entorno de Windows o el registro del sistema. Es necesario monitorear la aparición de nuevos proveedores para detectar a tiempo actividades maliciosas. Por ejemplo, si ve que aparece WSMan entre los proveedores, entonces se ha iniciado una sesión remota de PowerShell.
Microsoft-WindowsPowerShell/registro operativo (o MicrosoftWindows-PowerShellCore/operativo en PowerShell 6)
Registro del módulo (ID de evento 4103). Los eventos almacenan información sobre cada comando ejecutado y los parámetros con los que fue llamado.
Registro de bloqueo de secuencias de comandos (ID de evento 4104). El registro de bloqueo de scripts muestra cada bloque de código de PowerShell ejecutado. Incluso si un atacante intenta ocultar el comando, este tipo de evento mostrará el comando de PowerShell que realmente se ejecutó. Este tipo de evento también puede registrar algunas llamadas API de bajo nivel que se realizan; estos eventos generalmente se registran como detallados, pero si se utiliza un comando o script sospechoso en un bloque de código, se registrará como una gravedad de advertencia.
Tenga en cuenta que una vez que la herramienta esté configurada para recopilar y analizar estos eventos, se necesitará tiempo de depuración adicional para reducir la cantidad de falsos positivos.
Cuéntenos en los comentarios qué registros recopila para las auditorías de seguridad de la información y qué herramientas utiliza para ello. Una de nuestras áreas de enfoque son las soluciones para auditar eventos de seguridad de la información. Para resolver el problema de recopilar y analizar registros, podemos sugerirle que eche un vistazo más de cerca a , que puede comprimir datos almacenados con una proporción de 20:1, y una instancia instalada es capaz de procesar hasta 60000 eventos por segundo de 10000 fuentes.
Fuente: habr.com