Máy trạm của người dùng là điểm dễ bị tổn thương nhất của cơ sở hạ tầng về mặt bảo mật thông tin. Người dùng có thể nhận được một lá thư gửi đến email công việc của họ có vẻ như đến từ một nguồn an toàn nhưng có liên kết đến một trang web bị nhiễm virus. Có lẽ ai đó sẽ tải xuống một tiện ích hữu ích cho công việc từ một địa điểm không xác định. Có, bạn có thể nghĩ ra hàng chục trường hợp về cách phần mềm độc hại có thể xâm nhập vào tài nguyên nội bộ của công ty thông qua người dùng. Do đó, các máy trạm đòi hỏi sự chú ý nhiều hơn và trong bài viết này, chúng tôi sẽ cho bạn biết cần thực hiện ở đâu và những sự kiện nào để theo dõi các cuộc tấn công.
Để phát hiện cuộc tấn công ở giai đoạn sớm nhất có thể, WIndows có ba nguồn sự kiện hữu ích: Nhật ký sự kiện bảo mật, Nhật ký giám sát hệ thống và Nhật ký Power Shell.
Nhật ký sự kiện bảo mật
Đây là vị trí lưu trữ chính cho nhật ký bảo mật hệ thống. Điều này bao gồm các sự kiện đăng nhập/đăng xuất của người dùng, quyền truy cập vào các đối tượng, thay đổi chính sách và các hoạt động liên quan đến bảo mật khác. Tất nhiên, nếu chính sách thích hợp được cấu hình.
Việc liệt kê người dùng và nhóm (sự kiện 4798 và 4799). Khi bắt đầu cuộc tấn công, phần mềm độc hại thường tìm kiếm thông qua tài khoản người dùng cục bộ và nhóm cục bộ trên máy trạm để tìm thông tin xác thực cho các giao dịch mờ ám của nó. Những sự kiện này sẽ giúp phát hiện mã độc trước khi nó tiếp tục và sử dụng dữ liệu được thu thập để lây lan sang các hệ thống khác.
Tạo tài khoản cục bộ và thay đổi trong nhóm cục bộ (sự kiện 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 và 5377). Cuộc tấn công cũng có thể bắt đầu, ví dụ, bằng cách thêm người dùng mới vào nhóm quản trị viên cục bộ.
Các nỗ lực đăng nhập bằng tài khoản cục bộ (sự kiện 4624). Những người dùng đáng kính đăng nhập bằng tài khoản miền và việc xác định thông tin đăng nhập bằng tài khoản cục bộ có thể đồng nghĩa với việc bắt đầu một cuộc tấn công. Sự kiện 4624 cũng bao gồm các thông tin đăng nhập bằng tài khoản miền, vì vậy khi xử lý sự kiện, bạn cần lọc ra các sự kiện trong đó miền khác với tên máy trạm.
Nỗ lực đăng nhập bằng tài khoản được chỉ định (sự kiện 4648). Điều này xảy ra khi tiến trình đang chạy ở chế độ “run as”. Điều này không nên xảy ra trong quá trình vận hành bình thường của hệ thống, vì vậy những sự kiện như vậy phải được kiểm soát.
Khóa/mở khóa máy trạm (sự kiện 4800-4803). Danh mục các sự kiện đáng ngờ bao gồm mọi hành động xảy ra trên một máy trạm bị khóa.
Thay đổi cấu hình tường lửa (sự kiện 4944-4958). Rõ ràng, khi cài đặt phần mềm mới, cài đặt cấu hình tường lửa có thể thay đổi, điều này sẽ gây ra kết quả dương tính giả. Trong hầu hết các trường hợp, không cần thiết phải kiểm soát những thay đổi đó, nhưng chắc chắn sẽ không có hại gì nếu biết về chúng.
Kết nối các thiết bị Plug'n'play (sự kiện 6416 và chỉ dành cho WIndows 10). Điều quan trọng là phải chú ý đến điều này nếu người dùng thường không kết nối thiết bị mới với máy trạm nhưng đột nhiên lại làm như vậy.
Windows bao gồm 9 danh mục kiểm tra và 50 danh mục phụ để tinh chỉnh. Nhóm danh mục phụ tối thiểu cần được bật trong cài đặt:
Đăng nhập / Đăng xuất
- Đăng nhập;
- Đăng xuất;
- Khóa tài khoản;
- Các sự kiện đăng nhập/đăng xuất khác.
Quản lý tài khoản
- Quản lý tài khoản người dùng;
- Quản lý nhóm bảo mật.
Thay đổi chính sách
- Thay đổi chính sách kiểm toán;
- Thay đổi chính sách xác thực;
- Thay đổi chính sách ủy quyền.
Giám sát hệ thống (Sysmon)
Sysmon là một tiện ích được tích hợp trong Windows có thể ghi lại các sự kiện trong nhật ký hệ thống. Thông thường bạn cần phải cài đặt nó một cách riêng biệt.
Về nguyên tắc, những sự kiện tương tự này có thể được tìm thấy trong nhật ký bảo mật (bằng cách kích hoạt chính sách kiểm tra mong muốn), nhưng Sysmon cung cấp thêm chi tiết. Những sự kiện nào có thể được lấy từ Sysmon?
Tạo quy trình (ID sự kiện 1). Nhật ký sự kiện bảo mật hệ thống cũng có thể cho bạn biết thời điểm *.exe khởi động và thậm chí hiển thị tên cũng như đường dẫn khởi chạy của nó. Nhưng không giống như Sysmon, nó sẽ không thể hiển thị hàm băm của ứng dụng. Phần mềm độc hại thậm chí có thể được gọi là notepad.exe vô hại, nhưng chính hàm băm sẽ đưa nó ra ánh sáng.
Kết nối mạng (ID sự kiện 3). Rõ ràng là có rất nhiều kết nối mạng và không thể theo dõi hết được. Nhưng điều quan trọng cần lưu ý là Sysmon, không giống như Nhật ký bảo mật, có thể liên kết kết nối mạng với các trường ProcessID và ProcessGUID, đồng thời hiển thị cổng và địa chỉ IP của nguồn và đích.
Những thay đổi trong sổ đăng ký hệ thống (ID sự kiện 12-14). Cách dễ nhất để thêm chính bạn vào chế độ tự động chạy là đăng ký vào sổ đăng ký. Nhật ký bảo mật có thể thực hiện việc này, nhưng Sysmon hiển thị ai đã thực hiện các thay đổi, khi nào, từ đâu, xử lý ID và giá trị khóa trước đó.
Tạo tập tin (ID sự kiện 11). Sysmon, không giống như Nhật ký bảo mật, sẽ không chỉ hiển thị vị trí của tệp mà còn hiển thị tên của nó. Rõ ràng là bạn không thể theo dõi mọi thứ nhưng bạn có thể kiểm tra một số thư mục nhất định.
Và bây giờ những gì không có trong chính sách Nhật ký bảo mật mà có trong Sysmon:
Thay đổi thời gian tạo tệp (ID sự kiện 2). Một số phần mềm độc hại có thể giả mạo ngày tạo tệp để ẩn tệp khỏi báo cáo về các tệp được tạo gần đây.
Đang tải trình điều khiển và thư viện động (ID sự kiện 6-7). Giám sát việc tải DLL và trình điều khiển thiết bị vào bộ nhớ, kiểm tra chữ ký số và tính hợp lệ của nó.
Tạo một chuỗi trong một tiến trình đang chạy (ID sự kiện 8). Một loại tấn công cũng cần được theo dõi.
Sự kiện RawAccessRead (ID sự kiện 9). Thao tác đọc đĩa sử dụng “.”. Trong phần lớn các trường hợp, hoạt động như vậy được coi là bất thường.
Tạo luồng tệp được đặt tên (ID sự kiện 15). Một sự kiện được ghi lại khi một luồng tệp có tên được tạo và phát ra các sự kiện có hàm băm của nội dung tệp.
Tạo đường ống và kết nối có tên (ID sự kiện 17-18). Theo dõi mã độc giao tiếp với các thành phần khác thông qua đường ống được đặt tên.
Hoạt động WMI (ID sự kiện 19). Đăng ký các sự kiện được tạo khi truy cập hệ thống thông qua giao thức WMI.
Để bảo vệ chính Sysmon, bạn cần theo dõi các sự kiện có ID 4 (Sysmon dừng và khởi động) và ID 16 (Thay đổi cấu hình Sysmon).
Nhật ký vỏ điện
Power Shell là một công cụ mạnh mẽ để quản lý cơ sở hạ tầng Windows, vì vậy rất có thể kẻ tấn công sẽ chọn nó. Có hai nguồn bạn có thể sử dụng để lấy dữ liệu sự kiện Power Shell: nhật ký Windows PowerShell và nhật ký Microsoft-WindowsPowerShell/Operational.
Nhật ký Windows PowerShell
Đã tải nhà cung cấp dữ liệu (ID sự kiện 600). Nhà cung cấp PowerShell là các chương trình cung cấp nguồn dữ liệu để PowerShell xem và quản lý. Ví dụ: nhà cung cấp tích hợp có thể là biến môi trường Windows hoặc sổ đăng ký hệ thống. Sự xuất hiện của các nhà cung cấp mới phải được theo dõi để phát hiện kịp thời hoạt động độc hại. Ví dụ: nếu bạn thấy WSMan xuất hiện trong số các nhà cung cấp thì phiên PowerShell từ xa đã được bắt đầu.
Microsoft-WindowsPowerShell/Nhật ký hoạt động (hoặc MicrosoftWindows-PowerShellCore/Hoạt động trong PowerShell 6)
Ghi nhật ký mô-đun (ID sự kiện 4103). Sự kiện lưu trữ thông tin về từng lệnh được thực thi và các tham số mà lệnh đó được gọi.
Ghi nhật ký chặn tập lệnh (ID sự kiện 4104). Ghi nhật ký chặn tập lệnh hiển thị mọi khối mã PowerShell được thực thi. Ngay cả khi kẻ tấn công cố gắng ẩn lệnh, loại sự kiện này sẽ hiển thị lệnh PowerShell đã thực sự được thực thi. Loại sự kiện này cũng có thể ghi nhật ký một số lệnh gọi API cấp thấp đang được thực hiện, những sự kiện này thường được ghi lại dưới dạng Chi tiết, nhưng nếu một lệnh hoặc tập lệnh đáng ngờ được sử dụng trong một khối mã thì lệnh hoặc tập lệnh đó sẽ được ghi lại dưới dạng mức độ Cảnh báo nghiêm trọng.
Xin lưu ý rằng sau khi định cấu hình công cụ để thu thập và phân tích những sự kiện này, bạn sẽ cần thêm thời gian gỡ lỗi để giảm số lượng kết quả dương tính giả.
Hãy cho chúng tôi biết trong phần nhận xét những nhật ký bạn thu thập để kiểm tra bảo mật thông tin và những công cụ bạn sử dụng cho việc này. Một trong những lĩnh vực trọng tâm của chúng tôi là các giải pháp kiểm tra các sự kiện bảo mật thông tin. Để giải quyết vấn đề thu thập và phân tích nhật ký, chúng tôi có thể đề xuất xem xét kỹ hơn , có thể nén dữ liệu được lưu trữ với tỷ lệ 20:1 và một phiên bản được cài đặt của nó có khả năng xử lý tới 60000 sự kiện mỗi giây từ 10000 nguồn.
Nguồn: www.habr.com