Korisnička radna stanica najranjivija je točka infrastrukture u smislu informacijske sigurnosti. Korisnici mogu primiti pismo na svoju poslovnu e-poštu za koje se čini da je iz sigurnog izvora, ali s vezom na zaraženu stranicu. Možda će netko preuzeti uslužni program koristan za rad s nepoznate lokacije. Da, možete smisliti desetke slučajeva kako se zlonamjerni softver može infiltrirati u unutarnje korporativne resurse preko korisnika. Stoga radne stanice zahtijevaju povećanu pozornost, au ovom članku ćemo vam reći gdje i koje događaje poduzeti za praćenje napada.
Kako bi otkrio napad u najranijoj mogućoj fazi, WIndows ima tri korisna izvora događaja: Dnevnik sigurnosnih događaja, Dnevnik nadzora sustava i Dnevnik Power Shell-a.
Dnevnik sigurnosnih događaja
Ovo je glavna lokacija za pohranu sigurnosnih zapisa sustava. To uključuje događaje prijave/odjave korisnika, pristupa objektima, promjene pravila i druge aktivnosti povezane sa sigurnošću. Naravno, ako je odgovarajuća politika konfigurirana.
Enumeracija korisnika i grupa (događaji 4798 i 4799). Na samom početku napada zlonamjerni softver često pretražuje lokalne korisničke račune i lokalne grupe na radnoj stanici kako bi pronašao vjerodajnice za svoje sumnjive poslove. Ti će događaji pomoći u otkrivanju zlonamjernog koda prije nego što krene dalje i, koristeći prikupljene podatke, proširi se na druge sustave.
Izrada lokalnog računa i promjene u lokalnim grupama (događaji 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 i 5377). Napad također može započeti, primjerice, dodavanjem novog korisnika u grupu lokalnih administratora.
Pokušaji prijave s lokalnim računom (događaj 4624). Ugledni korisnici prijavljuju se s računom domene, a identificiranje prijave pod lokalnim računom može značiti početak napada. Događaj 4624 također uključuje prijave pod računom domene, tako da prilikom obrade događaja morate filtrirati događaje u kojima se domena razlikuje od naziva radne stanice.
Pokušaj prijave s navedenim računom (događaj 4648). To se događa kada se proces izvodi u načinu rada "pokreni kao". To se ne bi smjelo događati tijekom normalnog rada sustava, pa se takvi događaji moraju kontrolirati.
Zaključavanje/otključavanje radne stanice (događaji 4800-4803). Kategorija sumnjivih događaja uključuje sve radnje koje su se dogodile na zaključanoj radnoj stanici.
Promjene konfiguracije vatrozida (događaji 4944-4958). Očito, prilikom instaliranja novog softvera, postavke konfiguracije vatrozida mogu se promijeniti, što će uzrokovati lažne rezultate. U većini slučajeva nema potrebe kontrolirati takve promjene, ali svakako neće škoditi znati za njih.
Povezivanje Plug'n'play uređaja (event 6416 i samo za WIndows 10). Važno je pripaziti na ovo ako korisnici obično ne povezuju nove uređaje s radnom stanicom, ali onda odjednom to učine.
Windows uključuje 9 kategorija revizije i 50 potkategorija za fino podešavanje. Minimalni skup potkategorija koje treba omogućiti u postavkama:
Prijava / odjava
- Prijaviti se;
- Odjaviti se;
- Zaključavanje računa;
- Ostali događaji prijave/odjave.
Račun za upravljanje
- Upravljanje korisničkim računom;
- Upravljanje sigurnosnom grupom.
Promjena politike
- Promjena politike revizije;
- Promjena pravila autentifikacije;
- Promjena pravila autorizacije.
Monitor sustava (Sysmon)
Sysmon je uslužni program ugrađen u Windows koji može bilježiti događaje u zapisnik sustava. Obično ga morate instalirati zasebno.
Ti se isti događaji u načelu mogu pronaći u sigurnosnom dnevniku (omogućavanjem željene politike revizije), ali Sysmon pruža više detalja. Koji se događaji mogu preuzeti iz Sysmona?
Stvaranje procesa (ID događaja 1). Zapisnik sigurnosnih događaja sustava također vam može reći kada je *.exe pokrenut i čak prikazati njegov naziv i putanju pokretanja. Ali za razliku od Sysmona, neće moći prikazati hash aplikacije. Zlonamjerni softver čak se može nazvati bezopasnim notepad.exe, ali rasvjetljivanje će ga rasvijetliti.
Mrežne veze (ID događaja 3). Očito, postoji mnogo mrežnih veza i nemoguće ih je sve pratiti. Ali važno je uzeti u obzir da Sysmon, za razliku od sigurnosnog dnevnika, može povezati mrežnu vezu s poljima ProcessID i ProcessGUID te prikazuje port i IP adrese izvora i odredišta.
Promjene u registru sustava (ID događaja 12-14). Najlakši način da se dodate u autorun je registracija u registru. Sigurnosni dnevnik to može učiniti, ali Sysmon pokazuje tko je napravio promjene, kada, odakle, ID procesa i prethodnu vrijednost ključa.
Stvaranje datoteke (ID događaja 11). Sysmon, za razliku od sigurnosnog dnevnika, prikazat će ne samo lokaciju datoteke, već i njezin naziv. Jasno je da ne možete pratiti sve, ali možete revidirati određene direktorije.
A sada ono što nije u pravilima sigurnosnog dnevnika, ali je u Sysmonu:
Promjena vremena kreiranja datoteke (ID događaja 2). Neki zlonamjerni softver može lažirati datum stvaranja datoteke kako bi je sakrio od izvješća o nedavno stvorenim datotekama.
Učitavanje upravljačkih programa i dinamičkih biblioteka (ID-ovi događaja 6-7). Praćenje učitavanja DLL-ova i upravljačkih programa uređaja u memoriju, provjera digitalnog potpisa i njegove valjanosti.
Stvorite nit u pokrenutom procesu (ID događaja 8). Jedna vrsta napada koju također treba nadzirati.
Događaji RawAccessRead (ID događaja 9). Operacije čitanja diska pomoću ".". U velikoj većini slučajeva takvu bi aktivnost trebalo smatrati abnormalnom.
Stvorite imenovani tok datoteke (ID događaja 15). Događaj se bilježi kada se kreira imenovani tok datoteke koji emitira događaje s hashom sadržaja datoteke.
Stvaranje imenovane cijevi i veze (ID događaja 17-18). Praćenje zlonamjernog koda koji komunicira s drugim komponentama kroz imenovani kanal.
WMI aktivnost (ID događaja 19). Registracija događaja koji se generiraju prilikom pristupa sustavu putem WMI protokola.
Kako biste zaštitili sam Sysmon, trebate nadzirati događaje s ID-om 4 (zaustavljanje i pokretanje Sysmona) i ID-om 16 (promjene konfiguracije Sysmona).
Dnevnici Power Shell-a
Power Shell moćan je alat za upravljanje Windows infrastrukturom pa su velike šanse da će ga napadač odabrati. Postoje dva izvora koja možete koristiti za dobivanje podataka o događajima Power Shell-a: Windows PowerShell dnevnik i Microsoft-WindowsPowerShell/Operational log.
Dnevnik Windows PowerShell
Davatelj podataka je učitan (ID događaja 600). Davatelji PowerShell su programi koji pružaju izvor podataka za PowerShell za pregled i upravljanje. Na primjer, ugrađeni pružatelji mogu biti varijable okruženja Windowsa ili registar sustava. Pojava novih dobavljača mora se pratiti kako bi se na vrijeme otkrila zlonamjerna aktivnost. Na primjer, ako vidite da se WSMan pojavljuje među pružateljima, tada je pokrenuta udaljena PowerShell sesija.
Microsoft-WindowsPowerShell / Operativni dnevnik (ili MicrosoftWindows-PowerShellCore / Operational u PowerShell 6)
Zapisivanje modula (ID događaja 4103). Događaji pohranjuju informacije o svakoj izvršenoj naredbi i parametrima s kojima je pozvana.
Zapisivanje blokiranja skripte (ID događaja 4104). Evidentiranje blokiranja skripte prikazuje svaki blok PowerShell koda koji je izvršen. Čak i ako napadač pokuša sakriti naredbu, ova vrsta događaja prikazat će naredbu PowerShell koja je stvarno izvršena. Ova vrsta događaja također može zabilježiti neke API pozive niske razine, ti se događaji obično bilježe kao Verbose, ali ako se sumnjiva naredba ili skripta koristi u bloku koda, bit će zabilježena kao ozbiljnost upozorenja.
Imajte na umu da će, nakon što je alat konfiguriran za prikupljanje i analizu tih događaja, biti potrebno dodatno vrijeme za otklanjanje pogrešaka kako bi se smanjio broj lažno pozitivnih rezultata.
Recite nam u komentarima koje zapise prikupljate za revizije informacijske sigurnosti i koje alate koristite za to. Jedno od naših područja fokusa su rješenja za reviziju događaja informacijske sigurnosti. Kako bismo riješili problem prikupljanja i analize dnevnika, možemo predložiti da ih pobliže pogledamo , koji može komprimirati pohranjene podatke u omjeru 20:1, a jedna njegova instalirana instanca sposobna je obraditi do 60000 događaja u sekundi iz 10000 izvora.
Izvor: www.habr.com