Содержание статьи
Как известно, один из основных механизмов Windows, на который полагаются большинство решений класса EDR, — это Event Tracing for Windows. Он как поставляет данные для формирования алертов, так и делает записи в привычном нам журнале событий (в отдельных случаях).
Ранее мы уже разбирали, как атакующие могут воздействовать на подсистему ETW, чтобы сделать Sysmon максимально бесполезным. В этом материале мы посмотрим, как эти техники можно детектировать (как ни странно, но с помощью того же самого ETW).
Читай также
Kernel Event Tracing
Давай плавно перейдем к эксплуатации второго механизма, с помощью которого EDR получают события, а точнее, к детекту попыток вмешаться в работу подсистемы ETW. В предыдущих материалах я показывал техники, которыми могут воспользоваться атакующие при воздействии на подсистему ETW, чтобы изменить поведение Sysmon. Приведу их список:
- Отключение провайдера
Microsoft-Windows-DNS-Client
от сессииSysmonDnsEtwSession
. - Изменение параметров сессии
SYSMON
с целью отключения всех событий системного провайдераTRACE SystemTraceProvider
. - Отбор (фильтрация) событий провайдеров на уровне сессий путем изменения значений параметров
MatchAnyKeyword
иMatchAllKeyword
.
В этом разделе мы посмотрим, как можно обнаруживать такую активность, и попробуем написать детектирующую логику на языке eXtraction and Processing и Event Query Language. Штатные механизмы Windows позволяют отследить эту активность, однако для этого нам потребуется кое‑что настроить.
В системе присутствует замечательный провайдер, с помощью которого можно отслеживать воздействия на ETW, — Microsoft-Windows-Kernel-EventTracing
. Но большинство событий этого провайдера без предварительной настройки недоступны. Если точнее, его события разделены на два журнала — Admin и Analytic. В последний записываются события запуска и остановки ETW-сессии, изменения ее параметров и дескриптора безопасности, добавления и удаления из нее провайдеров, в общем — огромная ценность для безопасников. Аналитический журнал по умолчанию выключен. Его необходимо включить, чем мы и займемся в первую очередь.
Готовим инфраструктуру
В проде события журнала Analytic включаются с помощью групповых политик и соответствующих подписок на WEC-сервере.
Включаем журнал
Итак, для включения Analytic в реестре нужно прописать несколько ключей. Давай попробуем это сделать.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее