A felhasználói munkaállomás információbiztonsági szempontból az infrastruktúra legsebezhetőbb pontja. A felhasználók olyan levelet kaphatnak munkahelyi e-mailjükre, amely biztonságos forrásból származik, de tartalmaz egy fertőzött webhelyre mutató hivatkozást. Talán valaki letölt egy, a munkához hasznos segédprogramot egy ismeretlen helyről. Igen, több tucat esettel találkozhat, hogy a rosszindulatú programok miként hatolhatnak be a belső vállalati erőforrásokba a felhasználókon keresztül. Ezért a munkaállomások fokozott figyelmet igényelnek, és ebben a cikkben eláruljuk, hol és milyen eseményekkel kell figyelni a támadásokat.
A támadások lehető legkorábbi észleléséhez a WIndows három hasznos eseményforrást kínál: a biztonsági eseménynaplót, a rendszerfigyelési naplót és a Power Shell naplóit.
Biztonsági eseménynapló
Ez a rendszerbiztonsági naplók fő tárolási helye. Ez magában foglalja a felhasználói bejelentkezés/kijelentkezés eseményeit, az objektumokhoz való hozzáférést, a házirend-módosításokat és más, biztonsággal kapcsolatos tevékenységeket. Természetesen, ha a megfelelő házirend be van állítva.
Felhasználók és csoportok felsorolása (4798. és 4799. esemény). A támadás legelején a rosszindulatú programok gyakran helyi felhasználói fiókokban és helyi csoportokban keresnek egy munkaállomáson, hogy hitelesítő adatokat találjanak az árnyékos ügyleteihez. Ezek az események segítenek észlelni a rosszindulatú kódot, mielőtt az továbbhaladna, és az összegyűjtött adatok felhasználásával átterjedne más rendszerekre.
Helyi számla létrehozása és a helyi csoportok változásai (4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 és 5377 események). A támadás kezdődhet például egy új felhasználó hozzáadásával is a helyi rendszergazdák csoporthoz.
Bejelentkezési kísérletek helyi fiókkal (4624-es esemény). A tekintélyes felhasználók domain fiókkal jelentkeznek be, és a helyi fiók alatti bejelentkezés azonosítása támadás kezdetét jelentheti. A 4624-es esemény a tartományfiók alatti bejelentkezéseket is tartalmazza, így az események feldolgozásakor ki kell szűrnie azokat az eseményeket, amelyeknél a tartomány eltér a munkaállomás nevétől.
Bejelentkezési kísérlet a megadott fiókkal (4648-as esemény). Ez akkor történik, ha a folyamat „futtatásként” módban fut. Ennek nem szabad megtörténnie a rendszerek normál működése során, ezért az ilyen eseményeket ellenőrizni kell.
A munkaállomás zárása/feloldása (4800-4803 esemény). A gyanús események kategóriájába minden olyan művelet beletartozik, amely zárolt munkaállomáson történt.
Változások a tűzfal konfigurációjában (4944-4958 esemény). Nyilvánvaló, hogy új szoftver telepítésekor a tűzfal konfigurációs beállításai módosulhatnak, ami hamis pozitív eredményt eredményez. A legtöbb esetben nincs szükség az ilyen változások ellenőrzésére, de biztosan nem árt tudni róluk.
Plug'n'play eszközök csatlakoztatása (6416. esemény és csak a Windows 10 esetén). Fontos figyelni erre, ha a felhasználók általában nem csatlakoztatnak új eszközöket a munkaállomáshoz, de hirtelen mégis.
A Windows 9 ellenőrzési kategóriát és 50 alkategóriát tartalmaz a finomhangoláshoz. Az alkategóriák minimális készlete, amelyet engedélyezni kell a beállításokban:
Bejelentkezés / kijelentkezés
- Bejelentkezni;
- Kijelentkezés;
- Számlazárás;
- Egyéb bejelentkezési/kijelentkezési események.
Account Management
- Felhasználói fiókok kezelése;
- Biztonsági csoportkezelés.
A politika változása
- Ellenőrzési politika változása;
- A hitelesítési szabályzat változása;
- Engedélyezési szabályzat változása.
Rendszerfigyelő (Sysmon)
A Sysmon egy Windowsba beépített segédprogram, amely eseményeket rögzíthet a rendszernaplóban. Általában külön kell telepíteni.
Ugyanezek az események elvileg megtalálhatók a biztonsági naplóban (a kívánt naplózás engedélyezésével), de a Sysmon részletesebben is szolgál. Milyen eseményeket lehet átvenni a Sysmonból?
Folyamat létrehozása (1. eseményazonosító). A rendszerbiztonsági eseménynapló azt is meg tudja mondani, hogy mikor indult el egy *.exe, és még a nevét és az indítási útvonalat is megjeleníti. A Sysmonnal ellentétben azonban nem tudja megjeleníteni az alkalmazás kivonatát. A rosszindulatú szoftvereket akár ártalmatlan notepad.exe-nek is nevezhetjük, de ez a hash, amely rávilágít.
Hálózati kapcsolatok (3. eseményazonosító). Nyilvánvaló, hogy sok hálózati kapcsolat van, és lehetetlen nyomon követni őket. Fontos azonban figyelembe venni, hogy a Sysmon a biztonsági naplóval ellentétben hálózati kapcsolatot tud kötni a ProcessID és ProcessGUID mezőkkel, és megmutatja a forrás és a cél port- és IP-címét.
Változások a rendszerleíró adatbázisban (12-14 eseményazonosító). A legegyszerűbb módja annak, hogy hozzáadja magát az automatikus futtatáshoz, ha regisztráljon a rendszerleíró adatbázisban. A Biztonsági napló ezt megteheti, de a Sysmon megmutatja, hogy ki, mikor, honnan, a folyamatazonosító és az előző kulcsérték hajtotta végre a változtatásokat.
Fájl létrehozása (11-es eseményazonosító). A Sysmon a biztonsági naplóval ellentétben nemcsak a fájl helyét, hanem a nevét is megmutatja. Nyilvánvaló, hogy nem lehet mindent nyomon követni, de bizonyos könyvtárakat ellenőrizhet.
És most, ami nincs a Biztonsági napló szabályzatában, de a Sysmonban:
A fájl létrehozási idejének megváltozása (2. eseményazonosító). Egyes rosszindulatú programok meghamisíthatják a fájl létrehozásának dátumát, hogy elrejthessék azt a nemrégiben létrehozott fájlokról szóló jelentések elől.
Illesztőprogramok és dinamikus könyvtárak betöltése (6-7 eseményazonosítók). DLL-ek és eszközvezérlők memóriába való betöltésének figyelése, digitális aláírás és érvényességének ellenőrzése.
Hozzon létre egy szálat egy futó folyamatban (8-as eseményazonosító). A támadások egyik fajtája, amelyet szintén figyelni kell.
RawAccessRead események (9. eseményazonosító). Lemezolvasási műveletek a „.” használatával. Az esetek túlnyomó többségében az ilyen tevékenységet rendellenesnek kell tekinteni.
Hozzon létre egy elnevezett fájlfolyamot (15-ös eseményazonosító). Egy esemény naplózásra kerül, amikor egy elnevezett fájlfolyam jön létre, amely eseményeket bocsát ki a fájl tartalmának kivonatával.
Megnevezett cső és csatlakozás létrehozása (eseményazonosító 17-18). Olyan rosszindulatú kód nyomon követése, amely a megnevezett csővezetéken keresztül kommunikál más összetevőkkel.
WMI-tevékenység (19-es eseményazonosító). A rendszerhez a WMI protokollon keresztüli elérésekor generált események regisztrálása.
Magának a Sysmonnak a védelme érdekében figyelnie kell a 4-es azonosítójú (Sysmon leállás és indítás) és a 16-os azonosítójú (Sysmon konfigurációs változások) eseményeket.
Power Shell naplók
A Power Shell egy hatékony eszköz a Windows-infrastruktúra kezeléséhez, ezért nagy az esély arra, hogy egy támadó ezt választja. Két forrásból szerezheti be a Power Shell eseményadatokat: a Windows PowerShell-naplót és a Microsoft-WindowsPowerShell/Operational log-ot.
Windows PowerShell napló
Adatszolgáltató betöltve (600-as eseményazonosító). A PowerShell-szolgáltatók olyan programok, amelyek adatforrást biztosítanak a PowerShell számára a megtekintéshez és kezeléshez. Beépített szolgáltatók lehetnek például a Windows környezeti változói vagy a rendszerleíró adatbázis. Az új beszállítók megjelenését figyelemmel kell kísérni, hogy a rosszindulatú tevékenységeket időben észlelni lehessen. Ha például azt látja, hogy a WSMan megjelenik a szolgáltatók között, akkor távoli PowerShell-munkamenet indult.
Microsoft-WindowsPowerShell / Működési napló (vagy MicrosoftWindows-PowerShellCore / Működési a PowerShell 6-ban)
Modulnaplózás (4103 eseményazonosító). Az események információkat tárolnak az egyes végrehajtott parancsokról és azokról a paraméterekről, amelyekkel meghívásra kerültek.
Szkriptblokkoló naplózás (4104-es eseményazonosító). A szkriptblokkoló naplózás a végrehajtott PowerShell-kód minden blokkját mutatja. Még ha a támadó megpróbálja is elrejteni a parancsot, ez az eseménytípus a ténylegesen végrehajtott PowerShell-parancsot jeleníti meg. Ez az eseménytípus néhány alacsony szintű API-hívást is naplózhat, ezeket az eseményeket általában bőbeszédűként rögzítik, de ha gyanús parancsot vagy szkriptet használnak egy kódblokkban, akkor az figyelmeztetés súlyosságként kerül naplózásra.
Kérjük, vegye figyelembe, hogy miután az eszközt úgy konfigurálták, hogy összegyűjtse és elemezze ezeket az eseményeket, további hibakeresési időre lesz szükség a hamis pozitív eredmények számának csökkentése érdekében.
Írja meg nekünk kommentben, hogy milyen naplókat gyűjt az információbiztonsági auditokhoz, és milyen eszközöket használ ehhez. Az egyik fókuszterületünk az információbiztonsági események auditálására szolgáló megoldások. A naplók gyűjtése és elemzése problémájának megoldásához javasoljuk, hogy vizsgálja meg közelebbről , amely 20:1 arányban képes tömöríteni a tárolt adatokat, és egy telepített példánya másodpercenként akár 60000 10000 eseményt is képes feldolgozni XNUMX XNUMX forrásból.
Forrás: will.com