Používateľská pracovná stanica je z hľadiska informačnej bezpečnosti najzraniteľnejším bodom infraštruktúry. Používatelia môžu na svoj pracovný e-mail dostať list, ktorý sa zdá byť z bezpečného zdroja, ale s odkazom na infikovanú stránku. Možno si niekto stiahne nástroj užitočný na prácu z neznámeho miesta. Áno, môžete prísť s desiatkami prípadov, ako môže malvér preniknúť cez používateľov do interných firemných zdrojov. Pracovné stanice si preto vyžadujú zvýšenú pozornosť a v tomto článku vám prezradíme, kde a aké udalosti podniknúť na sledovanie útokov.
Na zistenie útoku v čo najskoršom štádiu má systém WIndows tri užitočné zdroje udalostí: Protokol bezpečnostných udalostí, Protokol monitorovania systému a Protokoly Power Shell.
Denník bezpečnostných udalostí
Toto je hlavné úložisko pre denníky zabezpečenia systému. To zahŕňa udalosti prihlásenia/odhlásenia užívateľa, prístupu k objektom, zmeny politiky a ďalšie aktivity súvisiace s bezpečnosťou. Samozrejme, ak je nakonfigurovaná vhodná politika.
Enumerácia používateľov a skupín (udalosti 4798 a 4799). Na úplnom začiatku útoku malvér často prehľadáva miestne používateľské účty a miestne skupiny na pracovnej stanici, aby našiel poverenia pre svoje pochybné akcie. Tieto udalosti pomôžu odhaliť škodlivý kód skôr, ako sa pohne ďalej a pomocou zhromaždených údajov sa rozšíri do iných systémov.
Vytvorenie miestneho účtu a zmeny v miestnych skupinách (udalosti 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 a 5377). Útok môže začať napríklad aj pridaním nového používateľa do lokálnej skupiny správcov.
Pokusy o prihlásenie pomocou lokálneho účtu (udalosť 4624). Slušní používatelia sa prihlasujú pomocou doménového účtu a identifikácia prihlásenia pod lokálnym účtom môže znamenať začiatok útoku. Udalosť 4624 zahŕňa aj prihlásenia pod doménovým účtom, takže pri spracovaní udalostí musíte odfiltrovať udalosti, kde je doména odlišná od názvu pracovnej stanice.
Pokus o prihlásenie pomocou zadaného účtu (udalosť 4648). Stáva sa to, keď proces beží v režime „spustiť ako“. Pri bežnej prevádzke systémov by sa to nemalo stávať, preto je potrebné takéto udalosti kontrolovať.
Uzamknutie/odomknutie pracovnej stanice (udalosti 4800-4803). Kategória podozrivých udalostí zahŕňa všetky akcie, ktoré sa vyskytli na uzamknutej pracovnej stanici.
Zmeny konfigurácie brány firewall (udalosti 4944-4958). Je zrejmé, že pri inštalácii nového softvéru sa môžu zmeniť nastavenia konfigurácie brány firewall, čo spôsobí falošné poplachy. Vo väčšine prípadov nie je potrebné kontrolovať takéto zmeny, ale určite nezaškodí vedieť o nich.
Pripojenie zariadení Plug'n'play (udalosť 6416 a len pre WIndows 10). Je dôležité, aby ste na to dávali pozor, ak používatelia zvyčajne nepripájajú nové zariadenia k pracovnej stanici, no zrazu sa tak stane.
Windows obsahuje 9 kategórií auditu a 50 podkategórií na jemné doladenie. Minimálna množina podkategórií, ktoré by mali byť povolené v nastaveniach:
Prihlásenie/Odhlásenie
- Prihlásiť sa;
- Odhlásiť sa;
- Uzamknutie účtu;
- Ďalšie udalosti prihlásenia/odhlásenia.
Account Management
- Správa používateľských účtov;
- Správa bezpečnostnej skupiny.
Zmena zásad
- Zmena zásad auditu;
- Zmena pravidiel overovania;
- Zmena autorizačnej politiky.
Monitor systému (Sysmon)
Sysmon je nástroj zabudovaný do systému Windows, ktorý dokáže zaznamenávať udalosti do systémového denníka. Zvyčajne ho musíte nainštalovať samostatne.
Tieto isté udalosti možno v zásade nájsť v protokole zabezpečenia (povolením požadovanej politiky auditu), ale Sysmon poskytuje viac podrobností. Aké udalosti možno prevziať zo systému Sysmon?
Vytvorenie procesu (ID udalosti 1). Protokol udalostí zabezpečenia systému vám môže tiež povedať, kedy sa súbor *.exe spustil, a dokonca zobraziť jeho názov a cestu spustenia. Na rozdiel od Sysmonu však nebude môcť zobraziť hash aplikácie. Škodlivý softvér sa môže dokonca nazývať neškodný notepad.exe, ale na svetlo ho vynesie hash.
Sieťové pripojenia (ID udalosti 3). Je zrejmé, že existuje veľa sieťových pripojení a nie je možné ich všetky sledovať. Je však dôležité vziať do úvahy, že Sysmon, na rozdiel od Security Log, môže viazať sieťové pripojenie na polia ProcessID a ProcessGUID a zobrazuje port a IP adresy zdroja a cieľa.
Zmeny v systémovom registri (ID udalosti 12-14). Najjednoduchší spôsob, ako sa pridať do autorun, je zaregistrovať sa v registri. Security Log to dokáže, ale Sysmon zobrazuje, kto vykonal zmeny, kedy, odkiaľ, ID procesu a predchádzajúcu hodnotu kľúča.
Vytvorenie súboru (ID udalosti 11). Sysmon, na rozdiel od Security Log, zobrazí nielen umiestnenie súboru, ale aj jeho názov. Je jasné, že nemôžete sledovať všetko, ale môžete auditovať určité adresáre.
A teraz to, čo nie je v politikách denníka zabezpečenia, ale je v systéme Sysmon:
Zmena času vytvorenia súboru (ID udalosti 2). Niektorý malvér môže sfalšovať dátum vytvorenia súboru, aby ho skryl pred správami o nedávno vytvorených súboroch.
Načítavajú sa ovládače a dynamické knižnice (ID udalostí 6-7). Sledovanie načítania DLL a ovládačov zariadení do pamäte, kontrola digitálneho podpisu a jeho platnosti.
Vytvorte vlákno v spustenom procese (ID udalosti 8). Jeden typ útoku, ktorý je tiež potrebné monitorovať.
Udalosti RawAccessRead (ID udalosti 9). Operácie čítania disku pomocou „.“. Vo veľkej väčšine prípadov by sa takáto aktivita mala považovať za abnormálnu.
Vytvorte prúd pomenovaného súboru (ID udalosti 15). Udalosť sa zaprotokoluje, keď sa vytvorí pomenovaný prúd súboru, ktorý vysiela udalosti s hashom obsahu súboru.
Vytvorenie pomenovaného potrubia a pripojenia (ID udalosti 17-18). Sledovanie škodlivého kódu, ktorý komunikuje s inými komponentmi prostredníctvom pomenovaného kanála.
Aktivita WMI (ID udalosti 19). Registrácia udalostí, ktoré sa generujú pri prístupe do systému cez protokol WMI.
Na ochranu samotného Sysmonu je potrebné monitorovať udalosti s ID 4 (Sysmon zastavenie a spustenie) a ID 16 (zmeny konfigurácie Sysmonu).
Protokoly Power Shell
Power Shell je výkonný nástroj na správu infraštruktúry systému Windows, takže je vysoká pravdepodobnosť, že si ho útočník vyberie. Existujú dva zdroje, ktoré môžete použiť na získanie údajov udalostí Power Shell: denník Windows PowerShell a denník Microsoft-WindowsPowerShell/operačný.
Denník prostredia Windows PowerShell
Poskytovateľ údajov sa načítal (ID udalosti 600). Poskytovatelia PowerShellu sú programy, ktoré poskytujú zdroj údajov pre PowerShell na zobrazenie a správu. Napríklad vstavanými poskytovateľmi môžu byť premenné prostredia Windows alebo systémový register. Vznik nových dodávateľov je potrebné sledovať, aby sa včas odhalila škodlivá činnosť. Ak sa napríklad medzi poskytovateľmi zobrazuje WSMan, bola spustená vzdialená relácia PowerShell.
Microsoft-WindowsPowerShell / Operačný denník (alebo MicrosoftWindows-PowerShellCore / Operational v PowerShell 6)
Protokolovanie modulu (ID udalosti 4103). Udalosti uchovávajú informácie o každom vykonanom príkaze a parametroch, s ktorými bol vyvolaný.
Protokolovanie blokovania skriptu (ID udalosti 4104). Protokol blokovania skriptov zobrazuje každý spustený blok kódu PowerShell. Aj keď sa útočník pokúsi skryť príkaz, tento typ udalosti zobrazí príkaz PowerShell, ktorý bol skutočne vykonaný. Tento typ udalosti môže zaznamenať aj niektoré uskutočňované volania rozhrania API na nízkej úrovni. Tieto udalosti sa zvyčajne zaznamenávajú ako podrobné, ale ak sa v bloku kódu použije podozrivý príkaz alebo skript, zaznamená sa ako závažnosť varovania.
Upozorňujeme, že keď je nástroj nakonfigurovaný na zhromažďovanie a analýzu týchto udalostí, na zníženie počtu falošných poplachov bude potrebný ďalší čas na ladenie.
Povedzte nám v komentároch, aké protokoly zhromažďujete pre audity bezpečnosti informácií a aké nástroje na to používate. Jednou z našich oblastí sú riešenia pre audit udalostí informačnej bezpečnosti. Ak chcete vyriešiť problém zhromažďovania a analýzy protokolov, odporúčame vám pozrieť sa bližšie na , ktorý dokáže komprimovať uložené dáta v pomere 20:1 a jedna jeho nainštalovaná inštancia je schopná spracovať až 60000 10000 udalostí za sekundu z XNUMX XNUMX zdrojov.
Zdroj: hab.com