T1562.002: Отключение журналирования событий Windows

Злоумышленники могут отключить ведение журнала событий Windows, чтобы ограничить объем доступных для обнаружения и аудита данных. В журналах событий Windows записываются действия пользователя и системы, такие как попытки входа в систему, создание процессов и многое другое. Эти данные помогают средствам безопасности и аналитикам выявлять признаки вредоносной активности.

Служба EventLog ведет журналы событий различных компонентов системы и приложений. По умолчанию служба автоматически запускается при включении системы. Политика аудита, устанавливаемая через локальную политику безопасности (secpol.msc), определяет, какие системные события регистрируются службой EventLog. Изменить настройки политики аудита безопасности можно, запустив secpol.msc. Основные настройки находятся в разделе Security Settings\Local Policies\Audit Policy, а расширенные — в разделе Security Settings\Advanced Audit Policy Configuration. Для настройки политик аудита также может применяться инструмент auditpol.exe.

Целью злоумышленников может быть журнал как всей системы, так и отдельного приложения. Например, службу Windows EventLog можно отключить с помощью команды Set-Service -Name EventLog -Status Stopped или sc config eventlog start=disabled (после чего службу нужно остановить вручную командой Stop-Service -Name EventLog). Также службу можно отключить, изменив значение Start в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog и перезапустив систему, чтобы применить изменения.

Существует несколько способов отключить службу EventLog путем изменения ключей реестра. Во-первых, не имея прав администратора, злоумышленники могут изменить значение Start в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security, а затем перезапустить систему, после чего журнал событий безопасности будет отключен. Во-вторых, с привилегиями администратора злоумышленники могут изменить те же значения в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application, полностью отключив службу EventLog.

Вдобавок злоумышленники могут использовать команду auditpol и ее подкоманды через командную строку, чтобы отключить аудит или удалить политику аудита. Чтобы включить или отключить нужный параметр или категорию аудита, злоумышленники могут указать параметры /success или /failure. Например, команда auditpol /set /category:”Account Logon” /success:disable /failure:disable отключает аудит категории "Вход учетной записи". Чтобы удалить политику аудита, злоумышленники могут выполнить команду auditpol /clear /y или auditpol /remove /allusers.

Отключив журналирование событий Windows, злоумышленники могут действовать, оставляя меньше следов компрометации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1368: Disable_Sysmon: Служба Sysmon изменена или отключена mitre_attck_defense_evasion: PT-CR-1208: EventLog_File_Substitute: Подменен путь до файла журнала Windows, чтобы сделать его недоступным mitre_attck_defense_evasion: PT-CR-1210: MiniNT_Key_Created: Служба регистрации событий Windows отключена добавлением ключа MiniNT в реестр mitre_attck_defense_evasion: PT-CR-2409: Sysmon_Blinding: Остановлено журналирование на узле. Драйвер дескриптора безопасности или провайдер Sysmon изменен таким образом, чтобы процессу Sysmon64.exe было отказано в предоставлении доступа к устройству \Device\SysmonDrv mitre_attck_defense_evasion: PT-CR-2192: Remote_EventLog_Crashing: Пользователь аварийно завершил работу службы. Злоумышленник может аварийно завершить работу службы журнала событий Windows от имени любого пользователя на любом удаленном компьютере с Windows 10 или Windows Server 2022 в том же домене. Сбой происходит в wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет специально сформированный необрабатываемый объект UNICODE_STRING в метод ElfrRegisterEventSourceW, предоставляемый протоколом удаленного взаимодействия EventLog на основе RPC

Способы обнаружения

ID	DS0013	Источник и компонент данных	Данные о работоспособности: Состояние узла	Описание	Отслеживайте записи журналов и сообщения, которые могут указывать на отключение журналирования событий Windows с целью ограничения объема данных, доступных для обнаружения угроз и аудита. Например, злоумышленники могут изменить путь к файлу EventLog или его имя.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для отключения журналирования. Например, wevtutil, auditpol, `sc stop EventLog`, `reg add`, `Set- или Stop-Service`, `Set- или New-ItemProperty`, `sc config` и наступательные инструменты (такие как Mimikatz и Invoke-Phant0m) могут использоваться для очистки журналов и (или) изменения политики ведения журнала событий и аудита.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте добавление ключа реестра MiniNT в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, с помощью которого может быть отключено приложение "Просмотр событий". Злоумышленники могут отключить ведение журнала событий Windows, чтобы ограничить доступные для обнаружения и аудита данные. Существует несколько способов проведения данной атаки. Первый способ — создание ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt. Данное действие не приведет к возникновению события с идентификатором 4657 в журнале событий безопасности или события Sysmon с идентификатором 13, поскольку значение ключа останется пустым. Но если атака проводится с помощью PowerShell (а не cmd), в журнале событий будет создано событие с идентификатором 4663 (но учтите, что это событие вызывает множество ложных срабатываний). Второй способ — отключение службы EventLog (отображаемое имя: "Журнал событий Windows"). После ее отключения злоумышленнику потребуется перезагрузить систему. При отключении этой службы или переводе ее в ручной режим значение ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\start изменится, и в системе будет создано событие с идентификатором 4657 в журнале безопасности или событие Sysmon с идентификатором 13. Третий способ связан со вторым. По умолчанию службу EventLog нельзя остановить. Если злоумышленник попытается сделать это, она будет незамедлительно перезапущена. Почему? Чтобы данная служба остановилась полностью, она должна остановить другие службы, в частности netprofm (отображаемое имя: "Служба списка сетей"). А данная служба будет работать, пока ее не отключат. Поэтому злоумышленнику нужно либо отключить EventLog, чтобы после остановить другие службы, или отключить netprofm, чтобы затем остановить EventLog. Остановка службы без ее отключения (даже администратором) не повлияет на службу EventLog из-за связи с netprofm. Событие с идентификатором 1100 в журнале безопасности зарегистрирует остановку службы EventLog (но это событие вызывает много ложных срабатываний, поскольку создает журнал при каждом отключении системы). Четвертый способ — использование auditpol.exe для модификации настроек аудита и отключения/модификации важных параметров, вследствие которой создание EventLog будет отключено. Последний способ — модификация значения ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security\file (или другого журнала) с целью изменения пути хранения EventLog. Важно учитывать, что в этом случае приложение "Просмотр событий" будет использовать значение "file" ключа реестра для обнаружения журнала. Поэтому "Просмотр событий" всегда будет отображать текущие журналы событий, но старые журналы будут храниться в другом файле EVTX. Кроме того, путь должен указывать на папку, к которой у процесса EventLog есть доступ (к примеру, техника не сработает, если новый путь, указанный злоумышленником, будет указывать на рабочий стол). Также злоумышленник может уменьшить значение maxsize для журнала, чтобы вынудить систему перезаписать старые EventLog (размер не может быть меньше 1028 КБ). При модификации ключа реестра в системе будет создано событие с идентификатором 4657 в журнале безопасности или событие Sysmon с идентификатором 13. Для всех указанных атак требуются права администратора. Третья, четвертая и пятая атаки не требуют перезапуска системы. Аналитика 1. Отключение журналирования событий Windows `(source="WinEventLog:Security" EventCode IN (4657, 4719) OR source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13") (ObjectName="EventLog") (ObjectValueName="Start" OR ObjectValueName="File" OR ObjectValueName="MaxSize")`

ID	DS0024	Источник и компонент данных	Реестр Windows: Создание ключа реестра Windows	Описание	Отслеживайте добавление ключа реестра MiniNT в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, с помощью которого может быть отключено приложение "Просмотр событий".

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут отключить ведение журнала событий Windows, чтобы сократить объем данных, доступных для обнаружения угроз и аудита. Аналитика 1. Отключение журналирования событий Windows (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") ((CommandLine="New-Item" OR CommandLine="reg add") CommandLine="MiniNt") OR (CommandLine="Stop-Service" CommandLine="EventLog") OR (CommandLine="EventLog" (CommandLine="Set-Service" OR CommandLine="reg add" OR CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty" OR CommandLine="sc config")) OR (CommandLine="auditpol" (CommandLine="/set" OR CommandLine="/clear" OR CommandLine="/revove")) OR (CommandLine="wevtutil" (CommandLine="sl" OR CommandLine="set-log"))

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями и сервисами, которые могут указывать на отключение журналирования событий Windows с целью ограничения объема данных, доступных для обнаружения угроз и аудита.

ID	Источник и компонент данных	Описание
DS0013	Данные о работоспособности: Состояние узла	Отслеживайте записи журналов и сообщения, которые могут указывать на отключение журналирования событий Windows с целью ограничения объема данных, доступных для обнаружения угроз и аудита. Например, злоумышленники могут изменить путь к файлу EventLog или его имя.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для отключения журналирования. Например, wevtutil, auditpol, `sc stop EventLog`, `reg add`, `Set- или Stop-Service`, `Set- или New-ItemProperty`, `sc config` и наступательные инструменты (такие как Mimikatz и Invoke-Phant0m) могут использоваться для очистки журналов и (или) изменения политики ведения журнала событий и аудита.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте добавление ключа реестра MiniNT в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, с помощью которого может быть отключено приложение "Просмотр событий". Злоумышленники могут отключить ведение журнала событий Windows, чтобы ограничить доступные для обнаружения и аудита данные. Существует несколько способов проведения данной атаки. Первый способ — создание ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt. Данное действие не приведет к возникновению события с идентификатором 4657 в журнале событий безопасности или события Sysmon с идентификатором 13, поскольку значение ключа останется пустым. Но если атака проводится с помощью PowerShell (а не cmd), в журнале событий будет создано событие с идентификатором 4663 (но учтите, что это событие вызывает множество ложных срабатываний). Второй способ — отключение службы EventLog (отображаемое имя: "Журнал событий Windows"). После ее отключения злоумышленнику потребуется перезагрузить систему. При отключении этой службы или переводе ее в ручной режим значение ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\start изменится, и в системе будет создано событие с идентификатором 4657 в журнале безопасности или событие Sysmon с идентификатором 13. Третий способ связан со вторым. По умолчанию службу EventLog нельзя остановить. Если злоумышленник попытается сделать это, она будет незамедлительно перезапущена. Почему? Чтобы данная служба остановилась полностью, она должна остановить другие службы, в частности netprofm (отображаемое имя: "Служба списка сетей"). А данная служба будет работать, пока ее не отключат. Поэтому злоумышленнику нужно либо отключить EventLog, чтобы после остановить другие службы, или отключить netprofm, чтобы затем остановить EventLog. Остановка службы без ее отключения (даже администратором) не повлияет на службу EventLog из-за связи с netprofm. Событие с идентификатором 1100 в журнале безопасности зарегистрирует остановку службы EventLog (но это событие вызывает много ложных срабатываний, поскольку создает журнал при каждом отключении системы). Четвертый способ — использование auditpol.exe для модификации настроек аудита и отключения/модификации важных параметров, вследствие которой создание EventLog будет отключено. Последний способ — модификация значения ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security\file (или другого журнала) с целью изменения пути хранения EventLog. Важно учитывать, что в этом случае приложение "Просмотр событий" будет использовать значение "file" ключа реестра для обнаружения журнала. Поэтому "Просмотр событий" всегда будет отображать текущие журналы событий, но старые журналы будут храниться в другом файле EVTX. Кроме того, путь должен указывать на папку, к которой у процесса EventLog есть доступ (к примеру, техника не сработает, если новый путь, указанный злоумышленником, будет указывать на рабочий стол). Также злоумышленник может уменьшить значение maxsize для журнала, чтобы вынудить систему перезаписать старые EventLog (размер не может быть меньше 1028 КБ). При модификации ключа реестра в системе будет создано событие с идентификатором 4657 в журнале безопасности или событие Sysmon с идентификатором 13. Для всех указанных атак требуются права администратора. Третья, четвертая и пятая атаки не требуют перезапуска системы. Аналитика 1. Отключение журналирования событий Windows `(source="WinEventLog:Security" EventCode IN (4657, 4719) OR source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13") (ObjectName="EventLog") (ObjectValueName="Start" OR ObjectValueName="File" OR ObjectValueName="MaxSize")`
DS0024	Реестр Windows: Создание ключа реестра Windows	Отслеживайте добавление ключа реестра MiniNT в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, с помощью которого может быть отключено приложение "Просмотр событий".
DS0012	Сценарий: Выполнение сценария	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут отключить ведение журнала событий Windows, чтобы сократить объем данных, доступных для обнаружения угроз и аудита. Аналитика 1. Отключение журналирования событий Windows (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") ((CommandLine="New-Item" OR CommandLine="reg add") CommandLine="MiniNt") OR (CommandLine="Stop-Service" CommandLine="EventLog") OR (CommandLine="EventLog" (CommandLine="Set-Service" OR CommandLine="reg add" OR CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty" OR CommandLine="sc config")) OR (CommandLine="auditpol" (CommandLine="/set" OR CommandLine="/clear" OR CommandLine="/revove")) OR (CommandLine="wevtutil" (CommandLine="sl" OR CommandLine="set-log"))
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями и сервисами, которые могут указывать на отключение журналирования событий Windows с целью ограничения объема данных, доступных для обнаружения угроз и аудита.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать или саботировать журналирование.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Проследите, чтобы у процессов и файлов были надлежащие разрешения, которые не позволяют злоумышленникам отключать или саботировать процесс журналирования, а также удалять и изменять файлы журналов .evtx. Проследите, чтобы файлы .evtx, расположенные в папке `C:\Windows\system32\Winevt\Logs`, имели надлежащим образом ограниченные разрешения для легитимного доступа и политики аудита для обнаружения.

ID	M1024	Название	Ограничение прав доступа к реестру	Описание	Проследите, чтобы для реестра были установлены надлежащие разрешения, которые не позволяют злоумышленникам отключать или саботировать процесс журналирования. Добавление ключа реестра MiniNT отключает Event Viewer.

ID	M1047	Название	Аудит	Описание	Периодически проверяйте настройки `auditpol` для учетных записей администраторов и выполняйте динамическую проверку базы данных в SIEM (системах) для выявления потенциальной вредоносной активности. Также проследите, чтобы служба EventLog и ее потоки работали должным образом.

ID	Название	Описание
M1018	Управление учетными записями	Проследите, чтобы действовали пользовательские права, которые не позволяют злоумышленникам отключать или саботировать журналирование.
M1022	Ограничение разрешений для файлов и каталогов	Проследите, чтобы у процессов и файлов были надлежащие разрешения, которые не позволяют злоумышленникам отключать или саботировать процесс журналирования, а также удалять и изменять файлы журналов .evtx. Проследите, чтобы файлы .evtx, расположенные в папке `C:\Windows\system32\Winevt\Logs`, имели надлежащим образом ограниченные разрешения для легитимного доступа и политики аудита для обнаружения.
M1024	Ограничение прав доступа к реестру	Проследите, чтобы для реестра были установлены надлежащие разрешения, которые не позволяют злоумышленникам отключать или саботировать процесс журналирования. Добавление ключа реестра MiniNT отключает Event Viewer.
M1047	Аудит	Периодически проверяйте настройки `auditpol` для учетных записей администраторов и выполняйте динамическую проверку базы данных в SIEM (системах) для выявления потенциальной вредоносной активности. Также проследите, чтобы служба EventLog и ее потоки работали должным образом.