Анализ событий Windows [Форензика Windows]

Анализ событий Windows

В этой статье раз­берем основные события Windows, ана­лиз которых поможет иссле­дова­телю вос­ста­новить кар­тину ком­про­мета­ции хос­та и понять, как зло­умыш­ленни­ки переме­щались по сети.

Еще по теме: История запуска программ Windows

Анализ событий Windows

В Windows есть базовые и рас­ширен­ные полити­ки ауди­та.

Рас­смот­рим события вхо­да в Windows. Все перечис­ленные иден­тифика­торы событий вклю­чены в полити­ку ауди­та по умол­чанию.

  • 4624 — вход в сис­тему. Изу­чая это событие, всег­да обра­щай вни­мание на тип вхо­да (спи­сок пред­став­лен в до­кумен­тации Microsoft), имя учет­ной записи, код вхо­да, домен, а так­же на поле све­дения о сети, в котором может быть ука­зан сетевой адрес источни­ка вхо­да.
  • 4634 — выход из сис­темы. При ана­лизе это­го события сопос­тавляй код вхо­да с событи­ем 4624, что­бы получить про­дол­житель­ность сеан­са.
  • 4625 — ошиб­ка вхо­да в сис­тему. Тут важен тип вхо­да, код вхо­да, имя учет­ной записи, све­дения о сети, а так­же код ошиб­ки. Нап­ример, ошиб­ка 0xC000006A говорит о неп­равиль­ном вво­де логина и пароля. Если таких событий мно­го, зна­чит, кто‑то под­бирал пароль.
  • 4648 — вход в сис­тему с явным ука­зани­ем аутен­тифика­цион­ных дан­ных. Событие регис­три­рует­ся на хос­те источни­ка авто­риза­ции. При поис­ке боково­го переме­щения по сети ана­лиз это­го события ука­жет на хост, учет­ные дан­ные, а так­же про­цесс, ини­циирующий авто­риза­цию (wmic.exe, sc.exe или какой‑то дру­гой).
  • 4672 — сеан­су вхо­да наз­начены спе­циаль­ные при­виле­гии. Для отсле­жива­ния поль­зовате­ля с наз­начен­ными при­виле­гиями нуж­но сопос­тавить поле «код вхо­да» с событи­ем 4624. Спи­сок воз­можных при­виле­гий:
  • 21 (RDP) — вход в сеанс выпол­нен успешно. Это событие рас­положе­но в канале Microsoft/Windows-TerminalServices-LocalSessionManager. При ана­лизе обра­щай вни­мание на имя вошед­шего в сис­тему поль­зовате­ля и IP-адрес источни­ка. Это событие соп­ровож­дает­ся событи­ем 4624, тип вхо­да 10.

А вот эти события могут озна­чать, что в сис­теме зак­репил­ся зло­умыш­ленник:

  • 7045, 4697 (по умол­чанию не уста­нов­лены) — в сис­теме уста­нов­лена служ­ба. При ана­лизе этих событий обра­щай вни­мание на имя соз­дава­емой служ­бы, имя исполня­емо­го фай­ла и учет­ные дан­ные поль­зовате­ля. Учти, что в событии 7045 не ука­зыва­ется имя поль­зовате­ля, который соз­дает служ­бу. К при­меру, при выпол­нении PsExec по умол­чанию будет соз­дана служ­ба с име­нем PSEXESVC.
  • 4699 — уда­ление служ­бы.
  • 106 (регис­тра­ция задачи), 140 (обновле­ние задачи), 119 (запуск экзем­пля­ра задачи в свя­зи с вхо­дом поль­зовате­ля) — эти события регис­три­руют­ся в жур­нале Microsoft-Windows-Task-Scheduler/Operational. Так­же при нас­трой­ке рас­ширен­ной полити­ки ауди­та ана­логич­ные задания соз­дают­ся в жур­нале Security с иден­тифика­тора­ми 4698 (зап­ланиро­ван­ное задание соз­дано), 4700 (зап­ланиро­ван­ная задача вклю­чена), 4702 (зап­ланиро­ван­ное задание обновле­но).
  • 5861 — событие, которое воз­ника­ет при регис­тра­ции при­вяз­ки FilterToConsumerBinding WMI. Это событие регис­три­рует­ся в жур­нале Microsoft-Windows-WMI-Activity/Operational.

Дос­туп к общим сетевым ресур­сам:

  • 5140 (получен дос­туп к обще­му сетево­му ресур­су), 5145 (получен дос­туп к обще­му сетево­му объ­екту, катало­гу или фай­лу) — при боковом переме­щении эти события будут содер­жать сетевые адре­са, а так­же катало­ги C$, ADMIN$ и IPC$, к которым пыта­ются получить дос­туп зло­умыш­ленни­ки.

Боль­шое количес­тво арте­фак­тов выпол­нения при­ложе­ний в сис­теме пре­дос­тавля­ют события PowerShell:

  • 400 (по умол­чанию уста­нов­лено) — начало выпол­нения коман­ды или сеан­са, в поле «коман­дная стро­ка» ука­заны парамет­ры запус­ка PowerShell.
  • 800 — выпол­нение кон­вей­ера.
  • 4103 — жур­налиро­вание модулей.
  • 4104 — про­токо­лиро­вание бло­ка сце­нари­ев. В этом событии записы­вают­ся все бло­ки, которые выпол­няют­ся пос­ледова­тель­но при выпол­нении скрип­тов PowerShell.

Ана­лиз события соз­дания про­цес­са 4688 поз­воля­ет отсле­живать запус­каемые в сис­теме исполня­емые фай­лы. Обра­щай вни­мание на имя учет­ной записи и информа­цию о про­цес­се. В поле Process Command Line ука­зано имя запус­каемо­го фай­ла и его аргу­мен­ты. Событие 4689 сви­детель­ству­ет о завер­шении про­цес­са.

При вхо­де в учет­ную запись с исполь­зовани­ем Kerberos или NTLM события регис­три­руют­ся на кон­трол­лере домена. Вот какие быва­ют события вхо­да в учет­ную запись и дос­тупа к объ­ектам AD:

  • 4662 — опе­рация над объ­ектом домена Active Directory. Ана­лиз это­го события поз­воля­ет выявить ата­ку DCSync. Тут важ­но поле Account Name, которое дол­жно содер­жать имя учет­ной записи кон­трол­лера домена (к при­меру, DC$) или NT AUTHORITY/SYSTEM. Поле Access Mask дол­жно иметь зна­чение 0x100. Так­же иссле­дуй поле Properties, которое содер­жит мас­ку дос­тупа Control Access, и GUID типа дос­тупа, свя­зан­ный с реп­ликаци­ей.
  • 4768 — зап­рос Kerberos TGT, обра­щаем вни­мание на ошиб­ки.
  • 4769 — зап­рос Kerberos TGS. При ана­лизе события обра­щай вни­мание на имя служ­бы (в име­ни дол­жен при­сутс­тво­вать знак $), код ошиб­ки и тип шиф­рования билета. Ана­лиз это­го события поз­волит выявить ата­ку Kerberoasting.
  • 4771 — сбой пред­варитель­ной аутен­тифика­ции Windows. Событие воз­ника­ет толь­ко на кон­трол­лере домена и генери­рует­ся для поль­зовате­лей с фла­гом пред­варитель­ной аутен­тифика­ции. При ана­лизе это­го события необ­ходимо обра­щать вни­мание на имя поль­зовате­ля, при аутен­тифика­ции которо­го про­изо­шел сбой.
  • 4776 — аутен­тифика­ция с исполь­зовани­ем NTLM.
  • 4720 — соз­дание учет­ной записи. Это событие регис­три­рует­ся на кон­трол­лере домена, сер­верах и рабочих стан­циях.
  • 4728 — объ­ект домена добав­лен в гло­баль­ную груп­пу поль­зовате­лей.
  • 4732 — объ­ект добав­лен в локаль­ную груп­пу поль­зовате­лей.
  • 4756 — объ­ект добав­лен в уни­вер­саль­ную груп­пу.
  • 4798 — перечис­ление членс­тва поль­зовате­ля в локаль­ной груп­пе.

Еще сто­ит упо­мянуть логи ути­литы Sysmon, которые мы не будем раз­бирать. Одна­ко они могут рас­ска­зать под­робнос­ти о дей­стви­ях зло­умыш­ленни­ков, показать события рас­ширен­ной полити­ки ауди­та по дос­тупу к фай­лам и вет­кам реес­тра, а так­же сетевой активнос­ти.

Анализ событий Windows [Форензика Windows]

Инс­тру­мен­ты для ана­лиза событий Windows

  • Hayabusa — инс­тру­мент для быс­тро­го ана­лиза логов, осно­ван­ный на пра­вилах Sigma;
  • FullEventLogView — ути­лита NirSoft для ана­лиза событий. Она поз­воля­ет филь­тро­вать логи по датам, иден­тифика­торам событий, а так­же по клю­чевым сло­вам. Для исполь­зования дос­таточ­но ука­зать каталог с фай­лами evtx. В рас­ширен­ных нас­трой­ках ука­зыва­ем через раз­делитель иден­тифика­торы событий и про­межу­ток вре­мени;
  • EventLogExplorer — решение для прос­мотра, ана­лиза и монито­рин­га событий Windows;
  • LogonTracer — инс­тру­мент ана­лиза логов вхо­да, отоб­ража­ющий информа­цию в виде гра­фов. LogonTracer свя­зыва­ет имя хос­та или IP-адрес и имя учет­ной записи, най­ден­ное в событи­ях. При ана­лизе логов кон­трол­лера домена обя­затель­но вос­поль­зуйся этим инс­тру­мен­том. Он отлично эко­номит вре­мя ана­лиза.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий