T1070.001: Очистка журналов событий Windows
Злоумышленники могут очищать журналы событий Windows, чтобы скрыть свою активность. В журналах событий Windows регистрируются оповещения и уведомления о событиях, происходящих на компьютере. Существует три системных источника событий: Система, Приложение и Безопасность. Типов событий — пять: Ошибка, Предупреждение, Сведения, Аудит успеха, Аудит отказа.
Пользователь с правами администратора может очистить журналы событий с помощью следующих утилит командной строки:
wevtutil cl system
wevtutil cl application
wevtutil cl security
Для очистки журналов событий могут использоваться и другие механизмы, такие как приложение "Просмотр событий" или PowerShell. Например, с помощью команды PowerShell Remove-EventLog -LogName Security
злоумышленники могут удалить журнал событий безопасности и отключить ведение журналов после перезагрузки. Примечание. С момента запуска команды и до перезагрузки компьютера события могут продолжать генерироваться и записываться в файл .evtx.
Злоумышленники могут также попытаться удалить файлы журналов событий, расположенные в каталоге C:\Windows\System32\winevt\logs\
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-41: Windows_Eventlog_Cleaning: Очистка журнала событий Windows
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичное удаление журналов событий Windows (с помощью нативных бинарных файлов), которое также может привести к возникновению события изменения (событие с идентификатором 1102: журнал аудита был очищен). При очистке журнала событий возникает новое событие с соответствующим уведомлением. Для журналов безопасности это события с идентификаторами 1100 или 1102. Для системных журналов это событие с идентификатором 104. Маловероятно, что очистка данных журнала событий будет проводиться во время штатных операций, — скорее всего, таким образом злоумышленники пытаются скрыть следы своего вмешательства. Очистка журнала событий дает повод для подозрений.
Аналитика 1. Активность пользователя при очистке журналов событий
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут очищать журналы событий Windows, чтобы скрыть вредоносную активность. Злоумышленники часто пытаются очистить журналы событий Windows, чтобы скрыть следы компрометации системы. Обычно очистка проводится с использованием утилиты wevtutil, легитимного инструмента Microsoft. Очистка препятствует сбору событий и получению уведомлений, из-за нее можно пропустить событие безопасности, что может привести к дальнейшей компрометации сети. Примечание. Наш поисковый запрос ищет команды, содержащие wevtutil, Clear-EventLog, Limit-EventLog, Remove-Item или Remove-EventLog, которые могут использоваться для удаления журналов событий Windows. Аналитика 1. Очистка журналов событий Windows посредством wevtutil
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления журналов событий Windows (через PowerShell), таких как Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить попытки очистить журналы событий Windows. В частности, в PowerShell есть встроенный командлет Clear-EventLog, который позволяет очистить определенный журнал. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API Windows, с помощью которых можно очищать журналы событий Windows для скрытия вредоносной активности. |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Обфусцируйте/шифруйте файлы событий на месте и при передаче, чтобы не дать злоумышленнику обратную связь. |
---|