На пути ата­кующе­го час­то сто­ят сис­темы EDR, цель которых — обна­ружить ата­ку и сооб­щить о ней пер­вой линии обо­роны SOC. Что­бы оста­вать­ся незаме­чен­ными, пен­тесте­рам при­ходит­ся обхо­дить монито­ринг. В этой статье погово­рим о том, как имен­но это дела­ется в слу­чае с ата­ками на Windows.

Как извес­тно, один из основных механиз­мов Windows, на который полага­ются боль­шинс­тво решений клас­са EDR, — это Event Tracing for Windows. Он как пос­тавля­ет дан­ные для фор­мирова­ния алер­тов, так и дела­ет записи в при­выч­ном нам жур­нале событий (в отдель­ных слу­чаях).

Ра­нее мы уже раз­бирали, как ата­кующие могут воз­дей­ство­вать на под­систе­му ETW, что­бы сде­лать Sysmon мак­сималь­но бес­полез­ным. В этом матери­але мы пос­мотрим, как эти тех­ники мож­но детек­тировать (как ни стран­но, но с помощью того же самого ETW).

 

Kernel Event Tracing

Да­вай плав­но перей­дем к экс­плу­ата­ции вто­рого механиз­ма, с помощью которо­го EDR получа­ют события, а точ­нее, к детек­ту попыток вме­шать­ся в работу под­систе­мы ETW. В пре­дыду­щих матери­алах я показы­вал тех­ники, которы­ми могут вос­поль­зовать­ся ата­кующие при воз­дей­ствии на под­систе­му ETW, что­бы изме­нить поведе­ние Sysmon. При­веду их спи­сок:

  1. Отклю­чение про­вай­дера Microsoft-Windows-DNS-Client от сес­сии SysmonDnsEtwSession.
  2. Изме­нение парамет­ров сес­сии SYSMON TRACE с целью отклю­чения всех событий сис­темно­го про­вай­дера SystemTraceProvider.
  3. Отбор (филь­тра­ция) событий про­вай­деров на уров­не сес­сий путем изме­нения зна­чений парамет­ров MatchAnyKeyword и MatchAllKeyword.

В этом раз­деле мы пос­мотрим, как мож­но обна­ружи­вать такую активность, и поп­робу­ем написать детек­тиру­ющую логику на язы­ке eXtraction and Processing и Event Query Language. Штат­ные механиз­мы Windows поз­воля­ют отсле­дить эту активность, одна­ко для это­го нам пот­ребу­ется кое‑что нас­тро­ить.

В сис­теме при­сутс­тву­ет замеча­тель­ный про­вай­дер, с помощью которо­го мож­но отсле­живать воз­дей­ствия на ETW, — Microsoft-Windows-Kernel-EventTracing. Но боль­шинс­тво событий это­го про­вай­дера без пред­варитель­ной нас­трой­ки недос­тупны. Если точ­нее, его события раз­делены на два жур­нала — Admin и Analytic. В пос­ледний записы­вают­ся события запус­ка и оста­нов­ки ETW-сес­сии, изме­нения ее парамет­ров и дес­крип­тора безопас­ности, добав­ления и уда­ления из нее про­вай­деров, в общем — огромная цен­ность для безопас­ников. Ана­лити­чес­кий жур­нал по умол­чанию вык­лючен. Его необ­ходимо вклю­чить, чем мы и зай­мем­ся в пер­вую оче­редь.

 

Готовим инфраструктуру

В про­де события жур­нала Analytic вклю­чают­ся с помощью груп­повых политик и соот­ветс­тву­ющих под­писок на WEC-сер­вере.

 

Включаем журнал

Итак, для вклю­чения Analytic в реес­тре нуж­но про­писать нес­коль­ко клю­чей. Давай поп­робу­ем это сде­лать.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии