Использование Hayabusa и ZUI для анализа журналов Windows

Форензика иконка

Журналы событий Windows содержат важную информацию о деятельности системы и пользователей. Анализ этих данных помогает выявлять угрозы безопасности, диагностировать проблемы. Сегодня, в рамках прохождения задания Hunter c площадки Hack The Box Sherlocks, с помощью инструментов Hayabusa и ZUI, будем анализировать данные журналов событий Windows.

Еще по теме: Анализ событий Windows

Использование Hayabusa для анализа журналов Windows

Hayabusa — это инструмент для быстрого и эффективного анализа журналов событий Windows. Он разработан для автоматического выявления аномалий и угроз в системных журналах. Hayabusa использует сигнатуры и поведенческие модели для обнаружения подозрительной активности.

Основные возможности Hayabusa:

  1. Hayabusa способен обрабатывать большие объемы данных за короткое время.
  2. Инструмент включает в себя множество предустановленных сигнатур для выявления известных угроз.
  3. Пользователи могут добавлять собственные сигнатуры и правила.
  4. Hayabusa легко интегрируется с системами управления событиями информационной безопасности (SIEM).

Установка Hayabusa

Тулзу можно установить из репозитория GitHub. Требуется Python и несколько дополнительных библиотек.

Использование Hayabusa

Нач­нем анализ журналов событий Windows, для чего запус­тим Hayabusa.

Пос­мотрим свод­ку по авто­риза­циям:

Свод­ка по авто­риза­циям
Свод­ка по авто­риза­циям

Видим, что с хос­та 172.17.79.133 (Kali) было под­клю­чение по RDP.

За­пус­тим ана­лиз событий пра­вила­ми Sigma и hayabusa-rules:

Свод­ка по пра­вилам
Свод­ка по пра­вилам

Сра­зу в гла­за бро­сают­ся алер­ты:

  • Defender Alert;
  • PowerView PowerShell Cmdlets — ScriptBlock.

Использование ZUI для анализа журналов Windows

Даль­ше работать с резуль­татами Hayabusa будем в ZUI (см. Анализ с помощью сканера ZUI).

Да­вайте поищем авто­риза­ции с Kali:

Ав­ториза­ции с Kali
Ав­ториза­ции с Kali

На­ши пред­положе­ния об авто­риза­циях под­твер­дились.

Анализ событий PsExec

От­филь­тру­ем события по Logon ID 0x26fbee и уви­дим пос­ледова­тель­ность событий, похожую на работу PsExec. Далее поищем события, свя­зан­ные с соз­дани­ем служб в нуж­ный нам интервал вре­мени:

Об­наруже­ние PsExec
Об­наруже­ние PsExec

К инди­като­рам можем отнести наз­вание исполня­емо­го фай­ла и имя служ­бы:

  • служ­ба: tFdj;
  • путь к исполня­емо­му фай­лу: %systemroot%\\owUjOMCY.exe;
  • вре­мя: 2023-06-21T11:19:34.

К сожале­нию, событий соз­дания или завер­шения про­цес­са в нашем интерва­ле нет.

От­сутс­твие событий соз­дания или завер­шения про­цес­сов
От­сутс­твие событий соз­дания или завер­шения про­цес­сов

Да­вайте отсорти­руем по типам пра­вил:

И точеч­но пос­мотрим на некото­рые.

События связанные с Meterpreter

Со­бытие с EventId=1116 из жур­нала Microsoft-Windows-Windows Defender/Operational:

Оно сиг­нализи­рует нам о том, что файл C:\Users\alonzo.spire\notepad.exe опре­делен как Trojan:Win64/Meterpreter.E. и пытал­ся зак­репить­ся или зак­репил­ся, исполь­зуя сле­дующую вет­ку реес­тра:

Вре­мя обна­руже­ния: 2023-06-21 12:33:55.002.

События связанные PowerView

Пос­мотрим события, свя­зан­ные с работой PowerShell.

В резуль­тате получим мно­го событий EventId=4104 и одно событие EventId=400.

Со­бытие ниже сви­детель­ству­ет о заг­рузке зло­умыш­ленни­ком ути­литы PowerView, пред­назна­чен­ной для пос­тэкс­плу­ата­ции в сре­дах Active Directory. Ути­лита сох­ранена с име­нем clean.ps1.

Вре­мя регис­тра­ции события — 2023-06-21 11:30:40.755.

Со­бытия 4104 регис­три­руют кус­ки кода PowerView, которые исполь­зуют по­доз­ритель­ные фун­кции.

Анализ событий RDP

Да­вайте уточ­ним вре­мя работы хакера по RDP. Для это­го еще раз обра­тим­ся к событи­ям авто­риза­ции и к жур­налам:

  • Terminal-Services-RemoteConnectionManager/Operational;
  • TerminalServices-LocalSessionManager/Operational.

Ав­ториза­ции RDP
Ав­ториза­ции RDP

Мо­жем пред­положить, что RDP-сес­сия дли­лась с 2023-06-21 11:44:51.426 по 2023-06-21 12:53:45.809.

На этом инте­рес­ные события закон­чились, не забудем внес­ти информа­цию в IRIS.

Заключение

Hayabusa эффективно обнаруживает такие угрозы, как:

  • Подбор паролей и несанкционированные попытки входа.
  • Изменения в системных конфигурациях и настройках безопасности.
  • Запуск подозрительных процессов и программ.

Благодаря гибкости и возможности интеграции с другими инструментами, Hayabusa — незаменимый помощник в арсенале компьютерного криминалиста и специалиста по кибербезопасности.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий