MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1562.002: Отключение журналирования событий Windows

Злоумышленники могут отключить ведение журнала событий Windows, чтобы ограничить объем доступных для обнаружения и аудита данных. В журналах событий Windows записываются действия пользователя и системы, такие как попытки входа в систему, создание процессов и многое другое. Эти данные помогают средствам безопасности и аналитикам выявлять признаки вредоносной активности.

Служба EventLog ведет журналы событий различных компонентов системы и приложений. По умолчанию служба автоматически запускается при включении системы. Политика аудита, устанавливаемая через локальную политику безопасности (secpol.msc), определяет, какие системные события регистрируются службой EventLog. Изменить настройки политики аудита безопасности можно, запустив secpol.msc. Основные настройки находятся в разделе Security Settings\Local Policies\Audit Policy, а расширенные — в разделе Security Settings\Advanced Audit Policy Configuration. Для настройки политик аудита также может применяться инструмент auditpol.exe.

Целью злоумышленников может быть журнал как всей системы, так и отдельного приложения. Например, службу Windows EventLog можно отключить с помощью команды Set-Service -Name EventLog -Status Stopped или sc config eventlog start=disabled (после чего службу нужно остановить вручную командой Stop-Service -Name EventLog). Также службу можно отключить, изменив значение Start в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog и перезапустив систему, чтобы применить изменения.

Существует несколько способов отключить службу EventLog путем изменения ключей реестра. Во-первых, не имея прав администратора, злоумышленники могут изменить значение Start в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security, а затем перезапустить систему, после чего журнал событий безопасности будет отключен. Во-вторых, с привилегиями администратора злоумышленники могут изменить те же значения в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application, полностью отключив службу EventLog.

Вдобавок злоумышленники могут использовать команду auditpol и ее подкоманды через командную строку, чтобы отключить аудит или удалить политику аудита. Чтобы включить или отключить нужный параметр или категорию аудита, злоумышленники могут указать параметры /success или /failure. Например, команда auditpol /set /category:”Account Logon” /success:disable /failure:disable отключает аудит категории "Вход учетной записи". Чтобы удалить политику аудита, злоумышленники могут выполнить команду auditpol /clear /y или auditpol /remove /allusers.

Отключив журналирование событий Windows, злоумышленники могут действовать, оставляя меньше следов компрометации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1208: EventLog_File_Substitute: Подменен путь до файла журнала Windows, чтобы сделать его недоступным
mitre_attck_defense_evasion: PT-CR-1210: MiniNT_Key_Created: Служба регистрации событий Windows отключена добавлением ключа MiniNT в реестр
mitre_attck_defense_evasion: PT-CR-1368: Disable_Sysmon: Служба Sysmon изменена или отключена
mitre_attck_defense_evasion: PT-CR-2192: Remote_EventLog_Crashing: Пользователь аварийно завершил работу службы. Злоумышленник может аварийно завершить работу службы журнала событий Windows от имени любого пользователя на любом удаленном компьютере с Windows 10 или Windows Server 2022 в том же домене. Сбой происходит в wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет специально сформированный необрабатываемый объект UNICODE_STRING в метод ElfrRegisterEventSourceW, предоставляемый протоколом удаленного взаимодействия EventLog на основе RPC
mitre_attck_defense_evasion: PT-CR-2409: Sysmon_Blinding: Остановлено журналирование на узле. Драйвер дескриптора безопасности или провайдер Sysmon изменен таким образом, чтобы процессу Sysmon64.exe было отказано в предоставлении доступа к устройству \Device\SysmonDrv

Способы обнаружения

IDDS0013Источник и компонент данныхДанные о работоспособности: Состояние узлаОписание

Monitor for logging, messaging that may disable Windows event logging to limit data that can be leveraged for detections and audits. For example, adversaries may modify the EventLog file path to a different file name and location.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor for third-party application logging, messaging, and/or other artifacts provided by third-party services that may disable Windows event logging to limit data that can be leveraged for detections and audits.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Monitor for any attempts to enable scripts running on a system would be considered suspicious. If scripts are not commonly used on a system, but enabled, scripts running out of cycle from patching or other administrator functions are suspicious. Scripts should be captured from the file system when possible to determine their actions and intent.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may disable Windows event logging to limit data that can be leveraged for detections and audits.

Analytic 1 - Disable Windows Event Logging

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") ((CommandLine="New-Item" OR CommandLine="reg add") CommandLine="MiniNt") OR (CommandLine="Stop-Service" CommandLine="EventLog") OR (CommandLine="EventLog" (CommandLine="Set-Service" OR CommandLine="reg add" OR CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty" OR CommandLine="sc config")) OR (CommandLine="auditpol" (CommandLine="/set" OR CommandLine="/clear" OR CommandLine="/revove")) OR (CommandLine="wevtutil" (CommandLine="sl" OR CommandLine="set-log"))

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor the addition of the MiniNT registry key in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, which may disable Event Viewer.

Adversaries may disable Windows event logging to limit data that can be leveraged for detections and audits. There are different ways to perform this attack.

  1. The first one is to create the Registry Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt. This action will not generate Security EventLog 4657 or Sysmon EventLog 13 because the value of the key remains empty. However, if an attacker uses powershell to perform this attack (and not cmd), a Security EventLog 4663 will be generated (but 4663 generates a lot of noise).
  2. The second way is to disable the service EventLog (display name Windows Event Log). After disabed, attacker must reboot the system. The action of disabling or put in manual the service will modify the Registry Key value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\start, therefore Security EventLog 4657 or Sysmon EventLog 13 will be generated on the system.
  3. The third way is linked with the second. By default, the EventLog service cannot be stopped. If an attacker tries to stop the service, this one will restart immediately. Why ? Because to stop completely, this service must stop others, one in particular called netprofm (display name Network List Service). This service remains running until it is disabled. So Attacker must either disable EventLog and after to stop it or disable netprofm and after stop EventLog. Only stopping the service (even as admin) will not have an effect on the EventLog service because of the link with netprofm. Security EventLog 1100 will log the stop of the EventLog service (but also generates a lot of noise because it will generate a log everytime the system shutdown).
  4. The fourth way is to use auditpol.exe to modify the audit configuration and disable/modify important parameters that will lead to disable the creation of EventLog.
  5. The last one is to modify the Registry Key value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security\file (or other kind of log) to modify the path where the EventLog are stocked. Importantly, with this technique, the EventViewer will use the value of the Registry Key “file” to know where to find the Log. Thus, using the EventViewer will always show the current event logs, but the old one will be stocked in another evtx. Also, the path must be in a folder that the Eventlog process has access (like it doesn’t work if attacker set up the new path in the Desktop). Attacker can also decrease the maxsize value of the Log to force the system to rewrite on the older EventLog (but the minimum cannot be less than 1028 KB). As the Registry key is modified, Security EventLog 4657 or Sysmon EventLog 13 will be generated on the system. All of these attacks required administrative right. Attacks number three, four and five do not require a system reboot to be effective immediately.

Analytic 1 - Disable Windows Event Logging

(source="*WinEventLog:Security" EventCode IN (4657, 4719) OR source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="13") (ObjectName="EventLog") (ObjectValueName="Start" OR ObjectValueName="File" OR ObjectValueName="MaxSize")

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments for commands that can be used to disable logging. For example, Wevtutil, auditpol, sc stop EventLog, reg add, Set- or Stop-Service, Set- or New-ItemProperty, sc config, and offensive tooling (such as Mimikatz and Invoke-Phant0m) may be used to clear logs and/or change the EventLog/audit policy.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Monitor the addition of the MiniNT registry key in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, which may disable Event Viewer.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ensure proper process and file permissions are in place to prevent adversaries from disabling or interfering with logging or deleting or modifying .evtx logging files. Ensure .evtx files, which are located at C:\Windows\system32\Winevt\Logs, have the proper file permissions for limited, legitimate access and audit policies for detection.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Ensure proper Registry permissions are in place to prevent adversaries from disabling or interfering logging. The addition of the MiniNT registry key disables Event Viewer.

IDM1047НазваниеАудитОписание

Consider periodic review of auditpol settings for Administrator accounts and perform dynamic baselining on SIEM(s) to investigate potential malicious activity. Also ensure that the EventLog service and its threads are properly running.

IDM1018НазваниеУправление учетными записямиОписание

Ensure proper user permissions are in place to prevent adversaries from disabling or interfering with logging.