T1562.002: Отключение журналирования событий Windows
Злоумышленники могут отключить ведение журнала событий Windows, чтобы ограничить объем доступных для обнаружения и аудита данных. В журналах событий Windows записываются действия пользователя и системы, такие как попытки входа в систему, создание процессов и многое другое. Эти данные помогают средствам безопасности и аналитикам выявлять признаки вредоносной активности.
Служба EventLog ведет журналы событий различных компонентов системы и приложений. По умолчанию служба автоматически запускается при включении системы. Политика аудита, устанавливаемая через локальную политику безопасности (secpol.msc), определяет, какие системные события регистрируются службой EventLog. Изменить настройки политики аудита безопасности можно, запустив secpol.msc. Основные настройки находятся в разделе Security Settings\Local Policies\Audit Policy
, а расширенные — в разделе Security Settings\Advanced Audit Policy Configuration
. Для настройки политик аудита также может применяться инструмент auditpol.exe
.
Целью злоумышленников может быть журнал как всей системы, так и отдельного приложения. Например, службу Windows EventLog можно отключить с помощью команды Set-Service -Name EventLog -Status Stopped
или sc config eventlog start=disabled
(после чего службу нужно остановить вручную командой Stop-Service -Name EventLog
). Также службу можно отключить, изменив значение Start в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
и перезапустив систему, чтобы применить изменения.
Существует несколько способов отключить службу EventLog путем изменения ключей реестра. Во-первых, не имея прав администратора, злоумышленники могут изменить значение Start в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security
, а затем перезапустить систему, после чего журнал событий безопасности будет отключен. Во-вторых, с привилегиями администратора злоумышленники могут изменить те же значения в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System
и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application
, полностью отключив службу EventLog.
Вдобавок злоумышленники могут использовать команду auditpol
и ее подкоманды через командную строку, чтобы отключить аудит или удалить политику аудита. Чтобы включить или отключить нужный параметр или категорию аудита, злоумышленники могут указать параметры /success
или /failure
. Например, команда auditpol /set /category:”Account Logon” /success:disable /failure:disable
отключает аудит категории "Вход учетной записи". Чтобы удалить политику аудита, злоумышленники могут выполнить команду auditpol /clear /y
или auditpol /remove /allusers
.
Отключив журналирование событий Windows, злоумышленники могут действовать, оставляя меньше следов компрометации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1208: EventLog_File_Substitute: Подменен путь до файла журнала Windows, чтобы сделать его недоступным
mitre_attck_defense_evasion: PT-CR-1210: MiniNT_Key_Created: Служба регистрации событий Windows отключена добавлением ключа MiniNT в реестр
mitre_attck_defense_evasion: PT-CR-1368: Disable_Sysmon: Служба Sysmon изменена или отключена
mitre_attck_defense_evasion: PT-CR-2192: Remote_EventLog_Crashing: Пользователь аварийно завершил работу службы. Злоумышленник может аварийно завершить работу службы журнала событий Windows от имени любого пользователя на любом удаленном компьютере с Windows 10 или Windows Server 2022 в том же домене. Сбой происходит в wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет специально сформированный необрабатываемый объект UNICODE_STRING в метод ElfrRegisterEventSourceW, предоставляемый протоколом удаленного взаимодействия EventLog на основе RPC
mitre_attck_defense_evasion: PT-CR-2409: Sysmon_Blinding: Остановлено журналирование на узле. Драйвер дескриптора безопасности или провайдер Sysmon изменен таким образом, чтобы процессу Sysmon64.exe было отказано в предоставлении доступа к устройству \Device\SysmonDrv
Способы обнаружения
ID | DS0013 | Источник и компонент данных | Данные о работоспособности: Состояние узла | Описание | Monitor for logging, messaging that may disable Windows event logging to limit data that can be leveraged for detections and audits. For example, adversaries may modify the EventLog file path to a different file name and location. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Monitor for third-party application logging, messaging, and/or other artifacts provided by third-party services that may disable Windows event logging to limit data that can be leveraged for detections and audits. |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Monitor for any attempts to enable scripts running on a system would be considered suspicious. If scripts are not commonly used on a system, but enabled, scripts running out of cycle from patching or other administrator functions are suspicious. Scripts should be captured from the file system when possible to determine their actions and intent. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may disable Windows event logging to limit data that can be leveraged for detections and audits. Analytic 1 - Disable Windows Event Logging
|
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor the addition of the MiniNT registry key in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, which may disable Event Viewer. Adversaries may disable Windows event logging to limit data that can be leveraged for detections and audits. There are different ways to perform this attack.
Analytic 1 - Disable Windows Event Logging
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments for commands that can be used to disable logging. For example, Wevtutil, auditpol, |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Monitor the addition of the MiniNT registry key in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, which may disable Event Viewer. |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ensure proper process and file permissions are in place to prevent adversaries from disabling or interfering with logging or deleting or modifying .evtx logging files. Ensure .evtx files, which are located at |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Ensure proper Registry permissions are in place to prevent adversaries from disabling or interfering logging. The addition of the MiniNT registry key disables Event Viewer. |
---|
ID | M1047 | Название | Аудит | Описание | Consider periodic review of |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Ensure proper user permissions are in place to prevent adversaries from disabling or interfering with logging. |
---|