صارف کا ورک سٹیشن انفارمیشن سیکورٹی کے لحاظ سے بنیادی ڈھانچے کا سب سے کمزور نقطہ ہے۔ صارفین کو اپنے کام کے ای میل پر ایک خط موصول ہو سکتا ہے جو بظاہر محفوظ ذریعہ سے ہے، لیکن متاثرہ سائٹ کے لنک کے ساتھ۔ شاید کوئی کسی نامعلوم مقام سے کام کے لیے مفید یوٹیلیٹی ڈاؤن لوڈ کرے گا۔ جی ہاں، آپ درجنوں کیسز کے ساتھ آ سکتے ہیں کہ کس طرح میلویئر صارفین کے ذریعے اندرونی کارپوریٹ وسائل میں گھس سکتا ہے۔ اس لیے، ورک سٹیشن پر زیادہ توجہ کی ضرورت ہوتی ہے، اور اس مضمون میں ہم آپ کو بتائیں گے کہ حملوں کی نگرانی کے لیے کہاں اور کون سے واقعات کی ضرورت ہے۔
ممکنہ ابتدائی مرحلے پر حملے کا پتہ لگانے کے لیے، ونڈوز کے پاس ایونٹ کے تین کارآمد ذرائع ہیں: سیکیورٹی ایونٹ لاگ، سسٹم مانیٹرنگ لاگ، اور پاور شیل لاگز۔
سیکیورٹی ایونٹ لاگ
یہ سسٹم سیکیورٹی لاگز کے لیے مرکزی اسٹوریج کی جگہ ہے۔ اس میں صارف کے لاگ ان/لاگ آؤٹ کے واقعات، اشیاء تک رسائی، پالیسی میں تبدیلیاں، اور سیکیورٹی سے متعلق دیگر سرگرمیاں شامل ہیں۔ یقینا، اگر مناسب پالیسی ترتیب دی گئی ہے۔
صارفین اور گروپس کی گنتی (واقعات 4798 اور 4799)۔ حملے کے بالکل شروع میں، میلویئر اکثر مقامی صارف اکاؤنٹس اور ورک سٹیشن پر مقامی گروپس کے ذریعے اپنے مشکوک معاملات کی اسناد تلاش کرتا ہے۔ یہ واقعات بدنیتی پر مبنی کوڈ کے آگے بڑھنے اور جمع کردہ ڈیٹا کو استعمال کرتے ہوئے، دوسرے سسٹمز میں پھیلنے سے پہلے اس کا پتہ لگانے میں مدد کریں گے۔
مقامی اکاؤنٹ کی تخلیق اور مقامی گروپس میں تبدیلیاں (واقعات 4720، 4722–4726، 4738، 4740، 4767، 4780، 4781، 4794، 5376 اور 5377)۔ حملہ بھی شروع ہوسکتا ہے، مثال کے طور پر، مقامی منتظمین کے گروپ میں ایک نئے صارف کو شامل کرکے۔
مقامی اکاؤنٹ کے ساتھ لاگ ان کی کوششیں (واقعہ 4624)۔ قابل احترام صارفین ڈومین اکاؤنٹ کے ساتھ لاگ ان کرتے ہیں، اور مقامی اکاؤنٹ کے تحت لاگ ان کی شناخت کا مطلب حملہ کا آغاز ہو سکتا ہے۔ ایونٹ 4624 میں ڈومین اکاؤنٹ کے تحت لاگ ان بھی شامل ہوتے ہیں، لہذا ایونٹس پر کارروائی کرتے وقت، آپ کو ان ایونٹس کو فلٹر کرنے کی ضرورت ہوتی ہے جہاں ڈومین ورک سٹیشن کے نام سے مختلف ہو۔
مخصوص اکاؤنٹ (ایونٹ 4648) کے ساتھ لاگ ان کرنے کی کوشش۔ ایسا اس وقت ہوتا ہے جب عمل "رن کے طور پر" موڈ میں چل رہا ہو۔ یہ نظام کے عام آپریشن کے دوران نہیں ہونا چاہئے، لہذا اس طرح کے واقعات کو کنٹرول کیا جانا چاہئے.
ورک سٹیشن کو لاک/ان لاک کرنا (واقعات 4800-4803)۔ مشتبہ واقعات کے زمرے میں وہ تمام کارروائیاں شامل ہیں جو ایک مقفل ورک سٹیشن پر ہوئی ہیں۔
فائر وال کی ترتیب میں تبدیلیاں (واقعات 4944-4958)۔ ظاہر ہے، نئے سافٹ ویئر کو انسٹال کرتے وقت، فائر وال کنفیگریشن سیٹنگز تبدیل ہو سکتی ہیں، جو غلط مثبت کا سبب بنیں گی۔ زیادہ تر معاملات میں، اس طرح کی تبدیلیوں کو کنٹرول کرنے کی ضرورت نہیں ہے، لیکن ان کے بارے میں جان کر یقیناً تکلیف نہیں ہوگی۔
پلگ ان پلے ڈیوائسز کو جوڑنا (ایونٹ 6416 اور صرف ونڈوز 10 کے لیے)۔ اس پر نظر رکھنا ضروری ہے اگر صارفین عام طور پر نئے آلات کو ورک سٹیشن سے منسلک نہیں کرتے ہیں، لیکن پھر اچانک وہ ایسا کرتے ہیں۔
ونڈوز میں فائن ٹیوننگ کے لیے 9 آڈٹ زمرے اور 50 ذیلی زمرے شامل ہیں۔ ذیلی زمرہ جات کا کم از کم سیٹ جو ترتیبات میں فعال ہونا چاہیے:
لاگ ان/لاگ آف۔
- پر لاگ ان کریں؛
- لاگ آف کریں؛
- اکاؤنٹ لاک آؤٹ؛
- دیگر لاگ ان/لاگ آف ایونٹس۔
اکاؤنٹ مینجمنٹ
- صارف اکاؤنٹ مینجمنٹ؛
- سیکیورٹی گروپ مینجمنٹ۔
پالیسی میں تبدیلی
- آڈٹ پالیسی میں تبدیلی؛
- تصدیق کی پالیسی میں تبدیلی؛
- اجازت کی پالیسی میں تبدیلی۔
سسٹم مانیٹر (Sysmon)
سیسمون ایک ایسی افادیت ہے جو ونڈوز میں بنائی گئی ہے جو سسٹم لاگ میں واقعات کو ریکارڈ کر سکتی ہے۔ عام طور پر آپ کو اسے الگ سے انسٹال کرنے کی ضرورت ہوتی ہے۔
یہی واقعات اصولی طور پر سیکورٹی لاگ میں پائے جا سکتے ہیں (مطلوبہ آڈٹ پالیسی کو فعال کر کے) لیکن Sysmon مزید تفصیل فراہم کرتا ہے۔ Sysmon سے کون سے واقعات لیے جا سکتے ہیں؟
عمل تخلیق (ایونٹ ID 1)۔ سسٹم سیکیورٹی ایونٹ لاگ آپ کو یہ بھی بتا سکتا ہے کہ ایک *.exe کب شروع ہوا اور یہاں تک کہ اس کا نام اور لانچ کا راستہ بھی دکھا سکتا ہے۔ لیکن سیسمون کے برعکس، یہ ایپلی کیشن ہیش کو نہیں دکھا سکے گا۔ نقصان دہ سافٹ ویئر کو بے ضرر notepad.exe بھی کہا جا سکتا ہے، لیکن یہ ہیش ہے جو اسے سامنے لائے گی۔
نیٹ ورک کنکشنز (ایونٹ ID 3)۔ ظاہر ہے، بہت سارے نیٹ ورک کنکشن ہیں، اور ان سب پر نظر رکھنا ناممکن ہے۔ لیکن اس بات پر غور کرنا ضروری ہے کہ Sysmon، سیکورٹی لاگ کے برعکس، ProcessID اور ProcessGUID فیلڈز سے نیٹ ورک کنکشن کو باندھ سکتا ہے، اور سورس اور منزل کے پورٹ اور IP پتے دکھاتا ہے۔
سسٹم رجسٹری میں تبدیلیاں (ایونٹ ID 12-14)۔ خود کو آٹورن میں شامل کرنے کا سب سے آسان طریقہ رجسٹری میں رجسٹر کرنا ہے۔ سیکیورٹی لاگ ایسا کر سکتا ہے، لیکن سیسمون دکھاتا ہے کہ تبدیلیاں کس نے، کب، کہاں سے، ID اور پچھلی کلیدی قدر کی ہیں۔
فائل تخلیق (ایونٹ ID 11)۔ Sysmon، سیکورٹی لاگ کے برعکس، نہ صرف فائل کا مقام، بلکہ اس کا نام بھی دکھائے گا۔ یہ واضح ہے کہ آپ ہر چیز پر نظر نہیں رکھ سکتے، لیکن آپ کچھ ڈائریکٹریز کا آڈٹ کر سکتے ہیں۔
اور اب جو سیکیورٹی لاگ پالیسیوں میں نہیں ہے، لیکن سیسمون میں ہے:
فائل بنانے کے وقت کی تبدیلی (ایونٹ ID 2)۔ کچھ مالویئر فائل کی تخلیق کی تاریخ کو جعلی بنا کر اسے حال ہی میں بنائی گئی فائلوں کی رپورٹوں سے چھپا سکتے ہیں۔
ڈرائیورز اور متحرک لائبریریوں کو لوڈ کیا جا رہا ہے (ایونٹ IDs 6-7)۔ ڈی ایل ایل اور ڈیوائس ڈرائیورز کی میموری میں لوڈنگ کی نگرانی، ڈیجیٹل دستخط اور اس کی درستگی کی جانچ کرنا۔
چلتے ہوئے عمل میں ایک تھریڈ بنائیں (ایونٹ ID 8)۔ حملے کی ایک قسم جس پر بھی نظر رکھنے کی ضرورت ہے۔
RawAccessRead ایونٹس (ایونٹ ID 9)۔ "" کا استعمال کرتے ہوئے ڈسک ریڈ آپریشنز۔ زیادہ تر معاملات میں، اس طرح کی سرگرمی کو غیر معمولی سمجھا جانا چاہئے۔
ایک نامزد فائل اسٹریم بنائیں (ایونٹ ID 15)۔ ایک ایونٹ لاگ ان ہوتا ہے جب ایک نامزد فائل اسٹریم بنائی جاتی ہے جو فائل کے مشمولات کے ہیش کے ساتھ واقعات کو خارج کرتی ہے۔
ایک نامزد پائپ اور کنکشن بنانا (ایونٹ ID 17-18)۔ بدنیتی پر مبنی کوڈ کو ٹریک کرنا جو نامزد پائپ کے ذریعے دوسرے اجزاء کے ساتھ بات چیت کرتا ہے۔
WMI سرگرمی (ایونٹ ID 19)۔ WMI پروٹوکول کے ذریعے سسٹم تک رسائی کے دوران پیدا ہونے والے واقعات کی رجسٹریشن۔
خود Sysmon کی حفاظت کے لیے، آپ کو ID 4 (Sysmon کو روکنا اور شروع کرنا) اور ID 16 (Sysmon کنفیگریشن تبدیلیاں) والے واقعات کی نگرانی کرنے کی ضرورت ہے۔
پاور شیل لاگز
پاور شیل ونڈوز کے بنیادی ڈھانچے کے انتظام کے لیے ایک طاقتور ٹول ہے، اس لیے اس بات کے امکانات زیادہ ہیں کہ حملہ آور اسے منتخب کر لے گا۔ پاور شیل ایونٹ کا ڈیٹا حاصل کرنے کے لیے آپ دو ذرائع استعمال کر سکتے ہیں: Windows PowerShell لاگ اور Microsoft-WindowsPowerShell/آپریشنل لاگ۔
ونڈوز پاور شیل لاگ
ڈیٹا فراہم کنندہ لوڈ ہوا (ایونٹ ID 600)۔ PowerShell فراہم کنندگان ایسے پروگرام ہیں جو PowerShell کو دیکھنے اور نظم کرنے کے لیے ڈیٹا کا ذریعہ فراہم کرتے ہیں۔ مثال کے طور پر، بلٹ ان فراہم کنندگان ونڈوز ماحولیاتی متغیرات یا سسٹم رجسٹری ہو سکتے ہیں۔ بروقت بدنیتی پر مبنی سرگرمی کا پتہ لگانے کے لیے نئے سپلائرز کے ظہور کی نگرانی کی جانی چاہیے۔ مثال کے طور پر، اگر آپ دیکھتے ہیں کہ فراہم کنندگان کے درمیان WSMan ظاہر ہوتا ہے، تو ایک ریموٹ پاور شیل سیشن شروع ہو چکا ہے۔
Microsoft-WindowsPowerShell / آپریشنل لاگ (یا MicrosoftWindows-PowerShellCore / PowerShell 6 میں آپریشنل)
ماڈیول لاگنگ (ایونٹ ID 4103)۔ ایونٹس ہر ایک ایگزیکیٹڈ کمانڈ اور ان پیرامیٹرز کے بارے میں معلومات اسٹور کرتے ہیں جن کے ساتھ اسے بلایا گیا تھا۔
اسکرپٹ بلاکنگ لاگنگ (ایونٹ ID 4104)۔ اسکرپٹ بلاکنگ لاگنگ پاور شیل کوڈ کے ہر بلاک کو ظاہر کرتی ہے۔ یہاں تک کہ اگر کوئی حملہ آور کمانڈ کو چھپانے کی کوشش کرتا ہے، تو یہ ایونٹ کی قسم PowerShell کمانڈ کو دکھائے گی جو دراصل عمل میں آئی تھی۔ ایونٹ کی یہ قسم کچھ نچلی سطح کی API کالز کو بھی لاگ کر سکتی ہے جو کی جا رہی ہے، یہ واقعات عام طور پر Verbose کے طور پر ریکارڈ کیے جاتے ہیں، لیکن اگر کوڈ کے بلاک میں کوئی مشکوک کمانڈ یا اسکرپٹ استعمال ہوتا ہے، تو اسے وارننگ سیوریٹی کے طور پر لاگ ان کیا جائے گا۔
براہ کرم نوٹ کریں کہ ان واقعات کو جمع کرنے اور تجزیہ کرنے کے لیے ٹول کو ترتیب دینے کے بعد، غلط مثبت کی تعداد کو کم کرنے کے لیے اضافی ڈیبگنگ وقت درکار ہوگا۔
ہمیں تبصروں میں بتائیں کہ آپ انفارمیشن سیکیورٹی آڈٹ کے لیے کون سے لاگز جمع کرتے ہیں اور اس کے لیے آپ کون سے ٹولز استعمال کرتے ہیں۔ ہماری توجہ کے شعبوں میں سے ایک انفارمیشن سیکیورٹی ایونٹس کی آڈیٹنگ کے لیے حل ہے۔ نوشتہ جات جمع کرنے اور ان کا تجزیہ کرنے کے مسئلے کو حل کرنے کے لیے، ہم اسے قریب سے دیکھنے کا مشورہ دے سکتے ہیں۔ ، جو 20:1 کے تناسب سے ذخیرہ شدہ ڈیٹا کو کمپریس کر سکتا ہے، اور اس کی ایک انسٹال شدہ مثال 60000 ذرائع سے 10000 واقعات فی سیکنڈ تک پروسیس کرنے کی صلاحیت رکھتی ہے۔
ماخذ: www.habr.com