Экспертиза MaxPatrol SIEM

Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения, скрытия и (или) удаления информации из реестра. Для изменения реестра также может использоваться инструментарий управления Windows и PowerShell. Для сбора данных о работе этих средств и их последующего анализа может потребоваться дополнительная настройка функций журналирования.

Удаленный доступ к реестру можно получить с помощью:

• функции API Windows с именем RegConnectRegistry;
• утилиты командной строки reg.exe;
• утилиты regedit.exe с графическим интерфейсом.

При всех этих действиях вызывается функция API Windows, использующая именованный канал WINREG по SMB для обработки данных протокола. Эти сетевые данные можно расшифровать с помощью wireshark или аналогичного датчика и обнаружить путем перехвата функции API.

Аналитика 1. Удаленный реестр

source="Zeek:" (dest_port="445" AND proto_info.pipe="WINREG") OR (proto_info.function="Create*" OR proto_info.function="SetValue*")

Отслеживайте подозрительное удаление ключей реестра Windows, выполняемое с целью скрытия сведений о конфигурации, удаления данных, маскировки следов или закрепления в системе и выполнения кода другими методами.

Отслеживайте создание ключей и значений реестра, которые могут быть использованы для закрепления в системе либо выполнения кода. Отслеживайте создание ключа реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode. Если значение ключа SafeDllSearchMode будет задано как 0, ключ заблокирует механизм Windows для поиска DLL-библиотек, и злоумышленники смогут выполнять свои вредоносные DLL-библиотеки.

Аналитика 1. Создание ключа SafeDllSearchMode в реестре со значением 0

((source="*WinEventLog:Security" EventCode="4657")(ObjectValueName="SafeDllSearchMode" value="0")) OR ((source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13") EventType="SetValue" TargetObject="*SafeDllSearchMode" Details="DWORD (0x00000000)")))

Отслеживайте изменения в ключах и значениях реестра Windows. По возможности включите аудит реестра для конкретных ключей, чтобы при каждом изменении значений создавалось событие с идентификатором 4657, для которого можно настроить уведомления (учтите, что событие может не генерироваться при создании значений с помощью Reghide и других методов, направленных на избежание обнаружения) . Изменение записей реестра, которые загружают ПО при запуске Windows и не связаны с известным ПО, циклами выпуска исправлений и другой легитимной активностью, стоит считать подозрительным, как и добавление и изменение файлов в папке автозагрузки. Эти изменения могут включать добавление служб и замену путей к существующим файлам на пути к вредоносным. После изменения записи, связанной со службой, скорее всего, произойдет ее локальный или удаленный запуск либо перезапуск для выполнения файла.

Отслеживайте изменения в значениях Notify, Userinit и Shell ключей реестра, расположенных в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ и HKEY_LOCAL_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. При входе пользователя в систему данные значения используются для загрузки соответствующих компонентов Windows. Злоумышленники могут внедрить полезную нагрузку, которая будет запущена после обработки легитимного значения.

Отслеживайте изменения в ключе реестра Common Startup, расположенного в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\ и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders. При входе пользователя в систему запускаются все файлы, хранящиеся в папке автозагрузки. Злоумышленники могут добавлять файлы так, чтобы обойти методы обнаружения, нацеленные на стандартные папки. Данный метод обнаружения отслеживает события с идентификаторами 4688 и 1, регистрирующие создание процессов, и событие с идентификатором 4657, регистрирующее модификацию ключей реестра.

Аналитика 1. Изменение реестра путем модификации Userinit, Shell и Notify

source="*WinEventLog:Security" EventCode="4657" (ObjectValueName="Userinit" OR ObjectValueName="Shell" OR ObjectValueName="Notify") OR source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" (TargetObject="*Userinit" OR TargetObject="*Shell" OR TargetObject="*Notify")

Аналитика 2. Изменение папки автозагрузки по умолчанию с помощью ключа реестра Common Startup

(source="*WinEventLog:Security" EventCode="4657" ObjectValueName="Common Startup") OR (source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13" TargetObject="*Common Startup")

Отслеживайте вызовы API, которые могут использоваться для скрытия ключей реестра, например Reghide . Находите и удаляйте или исправляйте скрытые вредоносные записи реестра, используя вызовы нативного API Windows и (или) такие инструменты, как Autoruns и RegDelNull. Другие вызовы API, относящиеся к изменению реестра: RegOpenKeyExA, RegCreateKeyExA, RegDeleteKeyExA, RegDeleteValueExA, RegEnumKeyExA, RegEnumValueExA.

Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы).

Отслеживайте процессы и аргументы командной строки, которые могут использоваться для изменения, скрытия и (или) удаления информации из реестра (такие как reg.exe и regedit.exe). Аналитика отслеживает запуск процесса reg процессом cmd.exe, родительским процессом которого не является explorer.exe. Встроенная утилита reg.exe обеспечивает интерфейс командной строки для работы с реестром, позволяя выполнять запросы и модификации из оболочки, например cmd.exe. Если такие действия инициированы пользователем, как правило, родительским процессом cmd.exe является explorer.exe. Опытные пользователи и администраторы могут создавать сценарии, которые будут выполнять эти же действия, но, скорее всего, из другого дерева процессов. Следует создать список легитимных сценариев, запускаемых в фоновом режиме, чтобы исключить ложные срабатывания. В аналитике указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса).

Аналитика 1. Вмешательство в реестр с модификацией Userinit, Shell или Notify

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") ((CommandLine="reg" CommandLine="add" CommandLine="/d") OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value")) CommandLine="\Microsoft\Windows NT\CurrentVersion\Winlogon" (CommandLine="Userinit" OR CommandLine="Shell" OR CommandLine="Notify")

Аналитика 2. Изменение папки автозагрузки по умолчанию с помощью ключа реестра Common Startup

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (CommandLine="reg" AND CommandLine="add" AND CommandLine="/d") OR (CommandLine="Set-ItemProperty" AND CommandLine="-value") CommandLine="Common Startup"

Аналитика 3. Вмешательство в реестр с созданием ключа SafeDllSearchMode со значением 0

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")((CommandLine="reg" CommandLine="add" CommandLine="/d") OR (CommandLine="Set-ItemProperty" CommandLine="-value")) (CommandLine="00000000" OR CommandLine="0") CommandLine="SafeDllSearchMode")

Проследите, чтобы для кустов реестра были установлены надлежащие разрешения, которые не позволяют пользователям производить изменения ключей системных компонентов, потенциально ведущие к повышению привилегий.