пятница, 29 сентября 2023 г.

[Fast] Журналы Windows для выявления подозрительной активности

 Приветствую, уважаемый читатель!

Когда речь заходит о расследовании инцидентов ИБ в Windows сетях/системах, то в голове сразу мелькает мысль - зайду и поизучаю логи "Security", "Application", "System", там всё будет. Но если их специально стёрли или они сами себя потёрли со временем, то куда смотреть? Есть пара мыслей на этот счёт)


Для начала можно заглянуть в системный журнал - User Profile Service (служба профилей пользователей). Что тут ценного:

 - События с кодом "1". В тексте данного события можно выявить под какой учётной записью была авторизация на компьютере/сервере, в какое время. Также есть порядковый номер сеанса пользователя.

- События с кодом "67". Должны идти в связке с событием с кодом "1" и показывают по какому пути загружен профиль вошедшего пользователя. 

- События с кодом "4". В тексте данного события можно установить время выхода пользователя из системы и по номеру сеанса установить какие время пользователь работал в операционной системе.


Далее можно изучить системный журнал - Microsoft-Windows-PowerShell/Operational. Что тут ценного:

- События с кодом "4104". В тексте данного события можно посмотреть текст запущенного скрипта на PowerShell, время запуска, домен/имя пользователя запустившего скрипт, путь к скрипту.

Подробнее можно почитать тут - https://www.robwillis.info/2019/10/everything-you-need-to-know-to-get-started-logging-powershell/ 


Теперь уже специфический журнал (если у вас используются агенты антивируса DrWeb) - DrWebAVService. Что тут ценного:

- События с кодом "6147". В тексте события будет указано вредоносное ПО, которое заблокировал Drweb. Тип вредоноса. Время запуска и откуда запущен. Процесс, который запустил вредоносное ПО.

- События с кодом "1002". В тексте события можно изучить дополнительную информацию о изолированном или удаленном вредоносном ПО. Событие идёт в связке с кодом 6147.


Что бы хотелось добавить ещё. Настоятельно рекомендую искать признаки вредоносной активности, которая произведена с использование PowerShell. Данный интерпретатор стоит на каждой Windows машине, а в сети куча манов как запускать скрипты из под пользователя, да и PowerSploit очень мощная штука и описаний его применения очень много.


Всем удачи!



на

Комментариев нет:

Отправить комментарий