Obrambno izogibanje: Skrivanje pred dnevniki in spremljanjem

Ena najnevarnejsih zmoznosti v napadalcevem arzenalu je sposobnost brisanja ali manipulacije dokazov o njihovi prisotnosti. Kot preizkusevalec vdorov svojim strankam vedno poudarjam, da je zaznava le toliko dobra, kolikor je zanesljiva integriteta njihovih podatkov dnevnikov. Ce napadalec lahko pocisti, spremeni ali onemogoci vaso infrastrukturo za belezenje, lahko deluje nekaznovano tudi v okolju z odlicnimi pravili zaznave. Ta objava pokriva MITRE ATT&CK tehniki T1070 (odstranjevanje indikatorjev) in T1562 (poseganje v obrambo) ter pomaga branilcem zgraditi odporne arhitekture belezenja, ki prenesejo napadalcevo manipulacijo.

Zakaj je integriteta dnevnikov pomembna

Dnevniki so temelj vsake zmoznosti zaznave, preiskave in odziva v sodobnih varnostnih operacijah. Vasa korelacijska pravila SIEM, vase poizvedbe za lov na groznje in vase prirocnike za odziv na incidente se vsi zanasajo na predpostavko, da so podatki dnevnikov popolni in natancni. Ko napadalec posega v dnevnike, se posledice razlijejo po celotnem varnostnem programu. Opozorila, ki bi se morala sproziti, nikoli ne zanetijo. Preiskave zgresijo kljucne dokaze. Ekipe za odziv na incidente ne morejo rekonstruirati celotnega obsega vdora. Razumevanje, kako napadalci ciljajo infrastrukturo belezenja, branilcem pomaga zgraditi zascite, ki ohranijo integriteto tega kljucnega vira podatkov.

Tehnike manipulacije dnevnikov

Napadalci ciljajo dnevnike na vec ravneh, od celovitega brisanja do kiruskega spreminjanja. Vsaka tehnika zahteva specificne obrambne protiukrepe.

• Ciscenje dnevnikov dogodkov (T1070.001) - Najocitnejsi pristop je preprosto ciscenje dnevnikov dogodkov Windows z uporabo wevtutil, PowerShell Clear-EventLog ali neposrednih klicev API. To je grobo, vendar ucinkovito proti organizacijam, ki spremljajo le lokalne dnevnike. Samo dejanje ciscenja dnevnikov generira Windows dogodek ID 1102 (revizijski dnevnik ociscen) v varnostnem dnevniku, na katerega bi morali branilci opozoriti z najvisjo prioriteto. Vsak legitimen razlog za ciscenje dnevnikov bi moral biti dokumentiran in odobren prek upravljanja sprememb.
• Selektivno brisanje dnevnikov - Bolj sofisticirani napadalci ne cistijo celotnih dnevnikov, kar je opazno, temvec brisejo specificne vnose, ki vsebujejo dokaze o njihovi aktivnosti. Obstajajo orodja, ki lahko razlanijo datoteke dnevnikov dogodkov Windows in odstranijo posamezne zapise ob ohranjanju integritete datoteke. Branilci bi morali spremljati neobicajne spremembe datotek .evtx in implementirati preverjanja integritete dnevnikov, ki zaznajo vrzeli v zaporedjih zapisov dogodkov.
• Manipulacija casovnih zigov (T1070.006) - Znano tudi kot timestomping, ta tehnika spreminja casovne zige datotek, da se zlonamerne datoteke zdijo, kot da obstajajo od namestitve operacijskega sistema. Napadalci uporabljajo orodja, ki spremenijo case ustvarjanja, spreminjanja in dostopa datotek. Branilci lahko zaznajo timestomping s primerjanjem casovnih zigov NTFS $STANDARD_INFORMATION s casovnimi zigi $FILE_NAME, saj vecina orodij za timestomping spreminja le prve. Sysmon dogodek ID 2 (sprememba casa ustvarjanja datoteke) specificno sledi tej aktivnosti.
• Onemogocanje virov dnevnikov (T1562.002) - Namesto brisanja dnevnikov po dejstvu lahko napadalci v celoti onemogocijo storitve belezenja. To vkljucuje zaustavitev storitve dnevnikov dogodkov Windows, onemogocanje Sysmon, spreminjanje revizijskih politik ali ubijanje procesov agentov EDR. Branilci bi morali implementirati nadzorno spremljanje, ki opozori, ko se katerakoli storitev belezenja nepricakovano ustavi, in zagotoviti, da so kriticne storitve belezenja zascitene pred zaustavitvijo s strani neadministrativnih procesov.

Proti-forenzicne tehnike

Poleg manipulacije dnevnikov napadalci uporabljajo sirsje proti-forenzicne tehnike, zasnovane za minimiziranje vseh dokazov o njihovi prisotnosti na kompromitiranih sistemih.

• Koristne vsebine samo v pomnilniku (T1620) - Z izvajanjem zlonamerne kode v celoti v pomnilniku brez pisanja na disk napadalci pustijo minimalne forenzicne artefakte. Koristne vsebine samo v pomnilniku se izognejo mnogim tradicionalnim forenzicnim tehnikam, ki se zanasajo na analizo diska. Branilci bi morali vloziti v zmoznosti forenzike pomnilnika in zagotoviti, da njihov EDR izvaja redno skeniranje pomnilnika. Orodja kot Volatility omogocajo analizo pomnilnika med odzivom na incident, vendar je kljucno zajeti pomnilnik, preden se sistem ponovno zazene ali se proces zaklujuci.
• Varno brisanje in ciscenje artefaktov - Napadalci po uporabi izbrisejo svoja orodja, zacasne datoteke in druge artefakte, pogosto z metodami varnega brisanja, ki prepisejo podatke za preprecitev obnovitve. Pogosti cilji ciscenja vkljucujejo namesene izvrsljive datoteke, pripravljalne imenike, razporejene naloge in mehanizme obstojnosti. Branilci bi morali spremljati vzorce brisanja datotek, ki kazejo na aktivnost ciscenja, zlasti brisanje nedavno ustvarjenih datotek iz zacasnih imenikov.
• Manipulacija predpomnilnika in artefaktov - Datoteke Windows Prefetch, vnosi Amcache, podatki ShimCache in drugi forenzicni artefakti lahko razkrijejo dokaze o izvajanju programov, tudi po izbrisu programa. Sofisticirani napadalci vedo, da morajo pocistiti tudi te artefakte. Branilci bi morali centralno zbirati te vire artefaktov, tako da tudi ce so lokalne kopije manipulirane, predhodno zbrane razlicice ostanejo na voljo za preiskavo.

Strategije zaznave za poseganje v dnevnike

Zaznavanje poseganja v dnevnike zahteva kombinacijo spremljanja integritete, vedenjske analize in arhitekturne odpornosti. Tu so specificni indikatorji, ki jih priporocam za spremljanje.

• Dogodek ID 1102 (varnostni dnevnik ociscen) - To je najkritcnejsi indikator. V dobro upravljanih okoljih se varnostni dnevniki ne bi smeli nikoli rocno cistiti. Vsak pojav tega dogodka bi moral sproziti takojsnjo preiskavo z najvisjo prioriteto.
• Vrzeli v zaporedjih dnevnikov - Vnosi dnevnikov dogodkov Windows imajo zaporedne stevilke zapisov. Vrzeli v teh zaporedjih lahko kazejo na selektivno brisanje dnevnikov. Implementirajte spremljanje, ki sledi pricakovanim stopnjam dogodkov in opozori, ko obseg dogodkov bistveno pade pod izhodiscno linijo, kar lahko kaze na prekinitev belezenja.
• Neobicajni vzorci casovnih zigov - Datoteke s casovnimi zigi ustvarjanja, starejsimi od namestitve operacijskega sistema, ali z identicnimi casovnimi zigi cez vec atributov, ki se obicajno razlikujejo, so morda bile podvrzene timestompingu. Korelirajte Sysmon dogodek ID 2 z drugimi dogodki ustvarjanja datotek za identifikacijo sumljivih sprememb casovnih zigov.
• Manjkajoci pricakovani dnevniki - Dolocite izhodiscne linije za pricakovane obsege in tipe dnevnikov iz vsakega sistema. Krmilnik domene, ki nenadoma preneha generirati dnevnike overitev, ali spletni streznik, ki preneha ustvarjati dnevnike dostopov, kaze bodisi na odpoved sistema bodisi na namerno onemogocanje belezenja. Oba scenarija zahtevata takojsnjo preiskavo.
• Spremljanje storitev in procesov - Opozorite na zaustavitev ali spremembo kriticnih storitev belezenja, vkljucno s storitvijo dnevnikov dogodkov Windows, Sysmon, agenti EDR in spremembami revizijskih politik. Dogodek ID 7045 (namestitev storitve) in dogodek ID 4719 (sprememba revizijske politike sistema) sta dragocena indikatorja.

Obrambna priporocila za odpornost dnevnikov

Gradnja infrastrukture belezenja, ki je odporna na napadalcevo manipulacijo, zahteva arhitekturne odlocitve, ki presegajo preprosto razmestitev SIEM. Tu so moja priporocila na podlagi let testiranja organizacijskih obramb.

• Centralno zbiranje dnevnikov s SIEM - Posredujte vse dnevnike v centralni SIEM v skoraj realnem casu. Ko dnevnike sprejme SIEM, postanejo iz napadalceve perspektive nespremenljivi. Tudi ce napadalec pocisti lokalne dnevnike, predhodno posredovane kopije ostanejo nedotaknjene. Konfigurirajte posredovanje dnevnikov z minimalnim zamikom za zmanjsanje okna, v katerem dnevniki obstajajo le lokalno.
• Spremljanje integritete dnevnikov - Implementirajte spremljanje integritete datotek na imenikih datotek dnevnikov za zaznavanje nepooblascenih sprememb. Sledite velikosti, zgoščeni vrednosti in casom sprememb datotek dnevnikov in opozorite na nepricakovane spremembe. Resitve kot OSSEC in Wazuh zagotavljajo to zmoznost, integrirano s sirsim varnostnim spremljanjem.
• Zascitena shramba dnevnikov s politikami enkratnega pisanja - Shranjujte arhive dnevnikov v shrambi z enkratnim pisanjem, ki preprecuje spreminjanje ali brisanje tudi s strani administratorjev. Oblacna shramba dnevnikov s politikami zaklepanja objektov ali lokalna shramba WORM zagotavlja, da zgodovinskih dnevnikov ni mogoce posegati ne glede na napadalcevo raven dostopa.
• Vec neodvisnih virov zaznave - Ne zanasajte se na en sam tok telemetrije. Zdruzite dnevnike dogodkov Windows, Sysmon, telemetrijo EDR, omrezne dnevnike in analitiko v oblaku. Ce napadalec onemogoci en vir, drugi naprej zagotavljajo vidnost. Prekrivanje med viri prav tako omogoca zaznavo samega poseganja.
• Zascitene revizijske politike - Uporabite skupinsko politiko za uveljavljanje revizijskih politik in preprecevanje lokalnih sprememb. Implementirajte spremljanje sprememb nastavitev revizijskih politik in zagotovite, da vse legitimne spremembe potekajo skozi odobren postopek upravljanja sprememb.

Gradnja forenzicne pripravljenosti

Poleg zaznave v realnem casu bi se morale organizacije pripraviti na moznost uporabe proti-forenzicnih tehnik med incidentom. Vzdrzujte zmoznosti zajema pomnilnika, ki jih je mogoce hitro razmestiti med preiskavo. Implementirajte avtomatizirano zbiranje artefaktov, ki neprestano zajema forenzicne podatke, preden se incident zgodi. Usposobite svojo ekipo za odziv na incidente o proti-forenzicnih tehnikah, da vedo, katere artefakte iskati, in razumejo omejitve svoje analize, ko so dokazi bili manipulirani. Organizacije, ki vlozijo v forenzicno pripravljenost pred incidentom, so dramaticno bolje pozicionirane za ucinkovito preiskovanje in odzivanje, ko napadalec poskusa prikriti svoje sledi.