В этой статье разберем основные события Windows, анализ которых поможет исследователю восстановить картину компрометации хоста и понять, как злоумышленники перемещались по сети.
Еще по теме: История запуска программ Windows
Анализ событий Windows
В Windows есть базовые и расширенные политики аудита.
Рассмотрим события входа в Windows. Все перечисленные идентификаторы событий включены в политику аудита по умолчанию.
- 4624 — вход в систему. Изучая это событие, всегда обращай внимание на тип входа (список представлен в документации Microsoft), имя учетной записи, код входа, домен, а также на поле сведения о сети, в котором может быть указан сетевой адрес источника входа.
- 4634 — выход из системы. При анализе этого события сопоставляй код входа с событием 4624, чтобы получить продолжительность сеанса.
- 4625 — ошибка входа в систему. Тут важен тип входа, код входа, имя учетной записи, сведения о сети, а также код ошибки. Например, ошибка 0xC000006A говорит о неправильном вводе логина и пароля. Если таких событий много, значит, кто‑то подбирал пароль.
- 4648 — вход в систему с явным указанием аутентификационных данных. Событие регистрируется на хосте источника авторизации. При поиске бокового перемещения по сети анализ этого события укажет на хост, учетные данные, а также процесс, инициирующий авторизацию (wmic.
exe, sc. exe или какой‑то другой). - 4672 — сеансу входа назначены специальные привилегии. Для отслеживания пользователя с назначенными привилегиями нужно сопоставить поле «код входа» с событием 4624. Список возможных привилегий:
- 21 (RDP) — вход в сеанс выполнен успешно. Это событие расположено в канале Microsoft/
Windows-TerminalServices-LocalSessionManager. При анализе обращай внимание на имя вошедшего в систему пользователя и IP-адрес источника. Это событие сопровождается событием 4624, тип входа 10.
А вот эти события могут означать, что в системе закрепился злоумышленник:
- 7045, 4697 (по умолчанию не установлены) — в системе установлена служба. При анализе этих событий обращай внимание на имя создаваемой службы, имя исполняемого файла и учетные данные пользователя. Учти, что в событии 7045 не указывается имя пользователя, который создает службу. К примеру, при выполнении PsExec по умолчанию будет создана служба с именем PSEXESVC.
- 4699 — удаление службы.
- 106 (регистрация задачи), 140 (обновление задачи), 119 (запуск экземпляра задачи в связи с входом пользователя) — эти события регистрируются в журнале Microsoft-Windows-Task-Scheduler/
Operational. Также при настройке расширенной политики аудита аналогичные задания создаются в журнале Security с идентификаторами 4698 (запланированное задание создано), 4700 (запланированная задача включена), 4702 (запланированное задание обновлено). - 5861 — событие, которое возникает при регистрации привязки FilterToConsumerBinding WMI. Это событие регистрируется в журнале Microsoft-Windows-WMI-Activity/
Operational.
Доступ к общим сетевым ресурсам:
- 5140 (получен доступ к общему сетевому ресурсу), 5145 (получен доступ к общему сетевому объекту, каталогу или файлу) — при боковом перемещении эти события будут содержать сетевые адреса, а также каталоги C$, ADMIN$ и IPC$, к которым пытаются получить доступ злоумышленники.
Большое количество артефактов выполнения приложений в системе предоставляют события PowerShell:
- 400 (по умолчанию установлено) — начало выполнения команды или сеанса, в поле «командная строка» указаны параметры запуска PowerShell.
- 800 — выполнение конвейера.
- 4103 — журналирование модулей.
- 4104 — протоколирование блока сценариев. В этом событии записываются все блоки, которые выполняются последовательно при выполнении скриптов PowerShell.
Анализ события создания процесса 4688 позволяет отслеживать запускаемые в системе исполняемые файлы. Обращай внимание на имя учетной записи и информацию о процессе. В поле Process Command Line указано имя запускаемого файла и его аргументы. Событие 4689 свидетельствует о завершении процесса.
При входе в учетную запись с использованием Kerberos или NTLM события регистрируются на контроллере домена. Вот какие бывают события входа в учетную запись и доступа к объектам AD:
- 4662 — операция над объектом домена Active Directory. Анализ этого события позволяет выявить атаку DCSync. Тут важно поле Account
Name, которое должно содержать имя учетной записи контроллера домена (к примеру, DC$) или NT AUTHORITY/ SYSTEM. Поле Access Mask должно иметь значение 0x100. Также исследуй поле Properties, которое содержит маску доступа Control Access, и GUID типа доступа, связанный с репликацией. - 4768 — запрос Kerberos TGT, обращаем внимание на ошибки.
- 4769 — запрос Kerberos TGS. При анализе события обращай внимание на имя службы (в имени должен присутствовать знак $), код ошибки и тип шифрования билета. Анализ этого события позволит выявить атаку Kerberoasting.
- 4771 — сбой предварительной аутентификации Windows. Событие возникает только на контроллере домена и генерируется для пользователей с флагом предварительной аутентификации. При анализе этого события необходимо обращать внимание на имя пользователя, при аутентификации которого произошел сбой.
- 4776 — аутентификация с использованием NTLM.
- 4720 — создание учетной записи. Это событие регистрируется на контроллере домена, серверах и рабочих станциях.
- 4728 — объект домена добавлен в глобальную группу пользователей.
- 4732 — объект добавлен в локальную группу пользователей.
- 4756 — объект добавлен в универсальную группу.
- 4798 — перечисление членства пользователя в локальной группе.
Еще стоит упомянуть логи утилиты Sysmon, которые мы не будем разбирать. Однако они могут рассказать подробности о действиях злоумышленников, показать события расширенной политики аудита по доступу к файлам и веткам реестра, а также сетевой активности.
Инструменты для анализа событий Windows
- Hayabusa — инструмент для быстрого анализа логов, основанный на правилах Sigma;
- FullEventLogView — утилита NirSoft для анализа событий. Она позволяет фильтровать логи по датам, идентификаторам событий, а также по ключевым словам. Для использования достаточно указать каталог с файлами evtx. В расширенных настройках указываем через разделитель идентификаторы событий и промежуток времени;
- EventLogExplorer — решение для просмотра, анализа и мониторинга событий Windows;
- LogonTracer — инструмент анализа логов входа, отображающий информацию в виде графов. LogonTracer связывает имя хоста или IP-адрес и имя учетной записи, найденное в событиях. При анализе логов контроллера домена обязательно воспользуйся этим инструментом. Он отлично экономит время анализа.
ПОЛЕЗНЫЕ ССЫЛКИ:
- История запуска программ Windows
- Используем Plaso для сбора системных событий
- Извлечение временных меток и создание таймлайна событий Windows