Экспертиза MaxPatrol SIEM

Отслеживайте нетипичное удаление журналов событий Windows (с помощью нативных бинарных файлов), которое также может привести к возникновению события изменения (событие с идентификатором 1102: журнал аудита был очищен). При очистке журнала событий возникает новое событие с соответствующим уведомлением. Для журналов безопасности это события с идентификаторами 1100 или 1102. Для системных журналов это событие с идентификатором 104.

Маловероятно, что очистка данных журнала событий будет проводиться во время штатных операций, — скорее всего, таким образом злоумышленники пытаются скрыть следы своего вмешательства. Очистка журнала событий дает повод для подозрений.

1. Обычно очистка проводится с использованием утилиты wevtutil, легитимного инструмента Microsoft. Очистка препятствует сбору событий и получению уведомлений, и из-за нее можно пропустить событие безопасности, что может привести к дальнейшей компрометации сети.

2. Уведомление об очистке журнала событий может помочь выявить подобную технику злоумышленников. Если сбор событий ведется централизованно, злоумышленникам будет сложнее скрыть следы своего вмешательства. С помощью функции пересылки событий можно отправлять копии записанного события в несколько хранилищ. Подобная модель сбора резервных событий позволит значительно уменьшить угрозу уязвимости из-за единой точки отказа.

3. Злоумышленники могут изменить настройки источников событий с помощью Limit-EventLog -LogName Security -OverflowAction DoNotOverwrite, чтобы старый журнал событий не удалялся даже после переполнения файла EVTX. По умолчанию минимальный размер журнала безопасности соответствует 20 480 КБ (~23 000 КБ для журнала событий). Если данный параметр активен, все новые журналы событий будут удаляться автоматически. Подобный метод можно обнаружить с помощью события с идентификатором 1104 в журнале событий безопасности.

4. Злоумышленники могут удалить файл EVTX с помощью команды del C:\Windows\System32\winevt\logs\Security.evtx или Remove-Item C:\Windows\System32\winevt\logs\Security.evtx после отключения и остановки службы журналов событий. После этого файлы EVTX больше не будут использоваться данной службой, и их можно будет удалять. Новые журналы событий не будут создаваться до сброса конфигурации.

5. Злоумышленники могут использовать команду PowerShell вида Remove-EventLog -LogName Security, чтобы отменить регистрацию источника событий Windows (приложения, безопасность и так далее). Данная команда удалит журнал событий безопасности (из-за чего возникнет событие с идентификатором 1102), но новые журналы событий продолжат записываться до перезагрузки системы. После перезагрузки регистрация журнала безопасности будет отменена и он перестанет отправлять новые события. Но журналы, созданные после использования команды и до перезагрузки, будут храниться в файле EVTX.

Аналитика 1. Активность пользователя при очистке журналов событий

(source="*WinEventLog:Security" EventCode IN (1100, 1102, 1104)) OR (source="*WinEventLog:System" EventCode IN (104))

Отслеживайте запуск новых процессов, которые могут очищать журналы событий Windows, чтобы скрыть вредоносную активность. Злоумышленники часто пытаются очистить журналы событий Windows, чтобы скрыть следы компрометации системы. Обычно очистка проводится с использованием утилиты wevtutil, легитимного инструмента Microsoft. Очистка препятствует сбору событий и получению уведомлений, из-за нее можно пропустить событие безопасности, что может привести к дальнейшей компрометации сети.

Примечание. Наш поисковый запрос ищет команды, содержащие wevtutil, Clear-EventLog, Limit-EventLog, Remove-Item или Remove-EventLog, которые могут использоваться для удаления журналов событий Windows.

Аналитика 1. Очистка журналов событий Windows посредством wevtutil

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") (Image=wevtutil CommandLine=cl (CommandLine=System OR CommandLine=Security OR CommandLine=Setup OR CommandLine=Application) OR Clear-EventLog OR Limit-EventLog OR (Remove-Item AND .evtx) OR Remove-EventLog)

Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления журналов событий Windows (через PowerShell), таких как Remove-EventLog -LogName Security.

Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить попытки очистить журналы событий Windows. В частности, в PowerShell есть встроенный командлет Clear-EventLog, который позволяет очистить определенный журнал.

Отслеживайте вызовы API Windows, с помощью которых можно очищать журналы событий Windows для скрытия вредоносной активности.

Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

Обфусцируйте/шифруйте файлы событий на месте и при передаче, чтобы не дать злоумышленнику обратную связь.