T1070.001: Очистка журналов событий Windows

Злоумышленники могут очищать журналы событий Windows, чтобы скрыть свою активность. В журналах событий Windows регистрируются оповещения и уведомления о событиях, происходящих на компьютере. Существует три системных источника событий: Система, Приложение и Безопасность. Типов событий — пять: Ошибка, Предупреждение, Сведения, Аудит успеха, Аудит отказа.

Пользователь с правами администратора может очистить журналы событий с помощью следующих утилит командной строки:

  • wevtutil cl system
  • wevtutil cl application
  • wevtutil cl security

Для очистки журналов событий могут использоваться и другие механизмы, такие как приложение "Просмотр событий" или PowerShell. Например, с помощью команды PowerShell Remove-EventLog -LogName Security злоумышленники могут удалить журнал событий безопасности и отключить ведение журналов после перезагрузки. Примечание. С момента запуска команды и до перезагрузки компьютера события могут продолжать генерироваться и записываться в файл .evtx.

Злоумышленники могут также попытаться удалить файлы журналов событий, расположенные в каталоге C:\Windows\System32\winevt\logs\.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-41: Windows_Eventlog_Cleaning: Очистка журнала событий Windows

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте нетипичное удаление журналов событий Windows (с помощью нативных бинарных файлов), которое также может привести к возникновению события изменения (событие с идентификатором 1102: журнал аудита был очищен). При очистке журнала событий возникает новое событие с соответствующим уведомлением. Для журналов безопасности это события с идентификаторами 1100 или 1102. Для системных журналов это событие с идентификатором 104.

Маловероятно, что очистка данных журнала событий будет проводиться во время штатных операций, — скорее всего, таким образом злоумышленники пытаются скрыть следы своего вмешательства. Очистка журнала событий дает повод для подозрений.

  1. Обычно очистка проводится с использованием утилиты wevtutil, легитимного инструмента Microsoft. Очистка препятствует сбору событий и получению уведомлений, и из-за нее можно пропустить событие безопасности, что может привести к дальнейшей компрометации сети.

  2. Уведомление об очистке журнала событий может помочь выявить подобную технику злоумышленников. Если сбор событий ведется централизованно, злоумышленникам будет сложнее скрыть следы своего вмешательства. С помощью функции пересылки событий можно отправлять копии записанного события в несколько хранилищ. Подобная модель сбора резервных событий позволит значительно уменьшить угрозу уязвимости из-за единой точки отказа.

  3. Злоумышленники могут изменить настройки источников событий с помощью Limit-EventLog -LogName Security -OverflowAction DoNotOverwrite, чтобы старый журнал событий не удалялся даже после переполнения файла EVTX. По умолчанию минимальный размер журнала безопасности соответствует 20 480 КБ (~23 000 КБ для журнала событий). Если данный параметр активен, все новые журналы событий будут удаляться автоматически. Подобный метод можно обнаружить с помощью события с идентификатором 1104 в журнале событий безопасности.

  4. Злоумышленники могут удалить файл EVTX с помощью команды del C:\Windows\System32\winevt\logs\Security.evtx или Remove-Item C:\Windows\System32\winevt\logs\Security.evtx после отключения и остановки службы журналов событий. После этого файлы EVTX больше не будут использоваться данной службой, и их можно будет удалять. Новые журналы событий не будут создаваться до сброса конфигурации.

  5. Злоумышленники могут использовать команду PowerShell вида Remove-EventLog -LogName Security, чтобы отменить регистрацию источника событий Windows (приложения, безопасность и так далее). Данная команда удалит журнал событий безопасности (из-за чего возникнет событие с идентификатором 1102), но новые журналы событий продолжат записываться до перезагрузки системы. После перезагрузки регистрация журнала безопасности будет отменена и он перестанет отправлять новые события. Но журналы, созданные после использования команды и до перезагрузки, будут храниться в файле EVTX.

Аналитика 1. Активность пользователя при очистке журналов событий

(source="*WinEventLog:Security" EventCode IN (1100, 1102, 1104)) OR (source="*WinEventLog:System" EventCode IN (104))

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут очищать журналы событий Windows, чтобы скрыть вредоносную активность. Злоумышленники часто пытаются очистить журналы событий Windows, чтобы скрыть следы компрометации системы. Обычно очистка проводится с использованием утилиты wevtutil, легитимного инструмента Microsoft. Очистка препятствует сбору событий и получению уведомлений, из-за нее можно пропустить событие безопасности, что может привести к дальнейшей компрометации сети.

Примечание. Наш поисковый запрос ищет команды, содержащие wevtutil, Clear-EventLog, Limit-EventLog, Remove-Item или Remove-EventLog, которые могут использоваться для удаления журналов событий Windows.

Аналитика 1. Очистка журналов событий Windows посредством wevtutil

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") (Image=wevtutil CommandLine=cl (CommandLine=System OR CommandLine=Security OR CommandLine=Setup OR CommandLine=Application) OR Clear-EventLog OR Limit-EventLog OR (Remove-Item AND .evtx) OR Remove-EventLog)

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления журналов событий Windows (через PowerShell), таких как Remove-EventLog -LogName Security.

Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить попытки очистить журналы событий Windows. В частности, в PowerShell есть встроенный командлет Clear-EventLog, который позволяет очистить определенный журнал.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API Windows, с помощью которых можно очищать журналы событий Windows для скрытия вредоносной активности.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

IDM1029НазваниеУдаленное хранение данныхОписание

Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

IDM1041НазваниеШифрование важной информацииОписание

Обфусцируйте/шифруйте файлы событий на месте и при передаче, чтобы не дать злоумышленнику обратную связь.