A estación de traballo do usuario é o punto máis vulnerable da infraestrutura en canto á seguridade da información. Os usuarios poden recibir unha carta ao correo electrónico do seu traballo que parece proceder dunha fonte segura, pero cunha ligazón a un sitio infectado. Quizais alguén descargue unha utilidade útil para traballar desde un lugar descoñecido. Si, podes atopar decenas de casos de como o malware pode infiltrarse nos recursos corporativos internos a través dos usuarios. Polo tanto, as estacións de traballo requiren unha maior atención e neste artigo dirémosche onde e que eventos levar para controlar os ataques.
Para detectar un ataque na fase máis precoz posible, WIndows ten tres fontes de eventos útiles: o rexistro de eventos de seguranza, o rexistro de monitorización do sistema e os rexistros de Power Shell.
Rexistro de eventos de seguridade
Este é o lugar de almacenamento principal para os rexistros de seguranza do sistema. Isto inclúe eventos de inicio de sesión/saída do usuario, acceso a obxectos, cambios de políticas e outras actividades relacionadas coa seguridade. Por suposto, se se configura a política adecuada.
Enumeración de usuarios e grupos (eventos 4798 e 4799). Ao comezo dun ataque, o malware adoita buscar nas contas de usuarios locais e en grupos locais nunha estación de traballo para atopar credenciais para os seus negocios sospeitosos. Estes eventos axudarán a detectar código malicioso antes de que avance e, utilizando os datos recollidos, se propague a outros sistemas.
Creación dunha conta local e cambios nos grupos locais (eventos 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 e 5377). O ataque tamén pode comezar, por exemplo, engadindo un novo usuario ao grupo de administradores locais.
Intentos de inicio de sesión cunha conta local (evento 4624). Os usuarios respectables inician sesión cunha conta de dominio e identificar un inicio de sesión cunha conta local pode significar o inicio dun ataque. O evento 4624 tamén inclúe inicios de sesión nunha conta de dominio, polo que ao procesar eventos, cómpre filtrar os eventos nos que o dominio é diferente do nome da estación de traballo.
Un intento de iniciar sesión coa conta especificada (evento 4648). Isto ocorre cando o proceso se executa no modo "executar como". Isto non debería ocorrer durante o funcionamento normal dos sistemas, polo que tales eventos deben ser controlados.
Bloqueo/desbloqueo da estación de traballo (eventos 4800-4803). A categoría de eventos sospeitosos inclúe todas as accións que ocorreron nunha estación de traballo bloqueada.
Cambios na configuración do firewall (eventos 4944-4958). Obviamente, ao instalar software novo, a configuración do firewall pode cambiar, o que provocará falsos positivos. Na maioría dos casos, non hai necesidade de controlar tales cambios, pero definitivamente non estará de máis saber sobre eles.
Conectando dispositivos Plug'n'play (evento 6416 e só para Windows 10). É importante estar atento a isto se os usuarios normalmente non conectan novos dispositivos á estación de traballo, pero de súpeto fano.
Windows inclúe 9 categorías de auditoría e 50 subcategorías para axuste fino. O conxunto mínimo de subcategorías que se deben activar na configuración:
Logon / Logoff
- Iniciar sesión;
- Desconectarse;
- Bloqueo de contas;
- Outros eventos de inicio de sesión/pechada.
Xestión de contas
- Xestión de contas de usuario;
- Xestión de grupos de seguridade.
Cambio de política
- Cambio de política de auditoría;
- Cambio de política de autenticación;
- Cambio de política de autorización.
Monitor do sistema (Sysmon)
Sysmon é unha utilidade integrada en Windows que pode rexistrar eventos no rexistro do sistema. Normalmente cómpre instalalo por separado.
Estes mesmos eventos pódense atopar, en principio, no rexistro de seguridade (activando a política de auditoría desexada), pero Sysmon ofrece máis detalles. Que eventos se poden sacar de Sysmon?
Creación do proceso (ID de evento 1). O rexistro de eventos de seguranza do sistema tamén pode indicarche cando se iniciou un *.exe e incluso mostrar o seu nome e camiño de inicio. Pero a diferenza de Sysmon, non poderá mostrar o hash da aplicación. Incluso pode chamarse software malicioso notepad.exe inofensivo, pero é o hash o que o sacará á luz.
Conexións de rede (ID de evento 3). Obviamente, hai moitas conexións de rede, e é imposible facer un seguimento de todas. Pero é importante ter en conta que Sysmon, a diferenza do mesmo rexistro de seguridade, pode vincular unha conexión de rede aos campos ProcessID e ProcessGUID, e mostra o porto e os enderezos IP da orixe e do destino.
Cambios no rexistro do sistema (ID de evento 12-14). O xeito máis doado de engadirse ao autorun é rexistrarse no rexistro. O rexistro de seguranza pode facelo, pero Sysmon mostra quen fixo os cambios, cando, desde onde, procesa o ID e o valor da chave anterior.
Creación de ficheiros (ID de evento 11). Sysmon, a diferenza do rexistro de seguranza, mostrará non só a localización do ficheiro, senón tamén o seu nome. Está claro que non podes facer un seguimento de todo, pero podes auditar certos directorios.
E agora o que non está nas políticas de rexistro de seguridade, senón que está en Sysmon:
Cambio da hora de creación do ficheiro (ID de evento 2). Algúns programas maliciosos poden falsificar a data de creación dun ficheiro para ocultalo dos informes dos ficheiros creados recentemente.
Cargando controladores e bibliotecas dinámicas (ID de eventos 6-7). Supervisar a carga de DLL e controladores de dispositivos na memoria, comprobando a sinatura dixital e a súa validez.
Cree un fío nun proceso en execución (ID de evento 8). Un tipo de ataque que tamén hai que supervisar.
Eventos de RawAccessRead (ID de evento 9). Operacións de lectura do disco usando “.”. Na gran maioría dos casos, tal actividade debe considerarse anormal.
Crea un fluxo de ficheiros con nome (ID de evento 15). Un evento rexístrase cando se crea un fluxo de ficheiros con nome que emite eventos cun hash do contido do ficheiro.
Creación dunha canalización e conexión con nome (ID de evento 17-18). Rastrexar código malicioso que se comunica con outros compoñentes a través da canalización denominada.
Actividade WMI (ID de evento 19). Rexistro de eventos que se xeran ao acceder ao sistema a través do protocolo WMI.
Para protexer o propio Sysmon, cómpre supervisar os eventos con ID 4 (parada e inicio de Sysmon) e ID 16 (cambios de configuración de Sysmon).
Rexistros de Power Shell
Power Shell é unha poderosa ferramenta para xestionar a infraestrutura de Windows, polo que hai moitas posibilidades de que un atacante a elixa. Podes usar dúas fontes para obter datos de eventos de Power Shell: rexistro de Windows PowerShell e rexistro de Microsoft-WindowsPowerShell/Operational.
Rexistro de Windows PowerShell
Fornecedor de datos cargado (ID de evento 600). Os provedores de PowerShell son programas que proporcionan unha fonte de datos para que PowerShell poida ver e xestionar. Por exemplo, os provedores integrados poden ser variables de ambiente de Windows ou o rexistro do sistema. Hai que vixiar a aparición de novos provedores para detectar a tempo a actividade maliciosa. Por exemplo, se ves que WSMan aparece entre os provedores, entón iniciouse unha sesión remota de PowerShell.
Microsoft-WindowsPowerShell/Registro operativo (ou MicrosoftWindows-PowerShellCore/Operacional en PowerShell 6)
Rexistro de módulo (ID de evento 4103). Os eventos almacenan información sobre cada comando executado e os parámetros cos que foi chamado.
Rexistro de bloqueo de scripts (ID de evento 4104). O rexistro de bloqueo de script mostra cada bloque de código de PowerShell executado. Aínda que un atacante tenta ocultar o comando, este tipo de evento mostrará o comando de PowerShell que se executou realmente. Este tipo de evento tamén pode rexistrar algunhas chamadas de API de baixo nivel que se realizan; estes eventos adoitan rexistrarse como Verbose, pero se se usa un comando ou script sospeitoso nun bloque de código, rexistrarase como unha gravidade de Aviso.
Ten en conta que unha vez que a ferramenta estea configurada para recoller e analizar estes eventos, será necesario un tempo de depuración adicional para reducir o número de falsos positivos.
Indícanos nos comentarios que rexistros recompilas para as auditorías de seguridade da información e que ferramentas utilizas para iso. Unha das nosas áreas de enfoque son as solucións para auditar eventos de seguridade da información. Para resolver o problema de recoller e analizar rexistros, podemos suxerirlle unha ollada máis atenta , que pode comprimir os datos almacenados cunha proporción de 20:1, e unha instancia instalada dela é capaz de procesar ata 60000 eventos por segundo a partir de 10000 fontes.
Fonte: www.habr.com