diff --git a/01-main/02-monitoring/02-logs/README.md b/01-main/02-monitoring/02-logs/README.md new file mode 100644 index 0000000..56e71a0 --- /dev/null +++ b/01-main/02-monitoring/02-logs/README.md @@ -0,0 +1,403 @@ +# Мониторинг, аналитика и оценка рисков ИБ +## Модуль 2. Аналитика информационной безопасности +### Практическое задание № 3 +#### Ход задания + +Условие: +``` +Представим кейс. Сотрудница в 00:06 12.03 обнаружила на своем компьютере что-то странное с файлами. Она выключила компьютер, а утром обратилась к вашей команде расследования. Проведите расследование инцидента по логам с ОС Windows. + +В качестве результата составьте таймлайн инцидента 12-17 событий с хоста. В таймлайне важно отразить развитие инцидента, временные метки событий, EventID, влияние инцидента, какая вредоносная активность наблюдается (подозрительные сетевые соединения, изменения реестра Windows и т.д.). Рекомендуется воспользоваться рекомендациями по журналам Windows с семинара. Особенно ценно и достаточно непросто определить источник попадания активности на рабочую станцию, понять, как начался инцидент (время, содержание). +``` + +Рассмотрим логи и выделим основные моменты. + +1. Сработка антивируса MS Defender на документ `╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc` +```json +{ + "Timestamp": "2024-03-11 22:42:25.843 +00:00", + "RuleTitle": "Defender Alert (Severe)", + "Level": "crit", + "Computer": "test-win-19-res", + "Channel": "Defender", + "EventID": 1116, + "RecordID": 337, + "Details": { + "Threat": "TrojanDownloader:O97M/Emotet.CSK!MTB", + "Severity": "Критический", + "Type": "Загрузчик троянов", + "User": "TEST-WIN-19-RES\\Admin", + "Path": "file:_C:\\Users\\Admin\\Downloads\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc", + "Proc": "C:\\Windows\\explorer.exe" + }, + "ExtraFieldInfo": { + "Action ID": 9, + "Action Name": "%%887", + "Additional Actions ID": 0, + "Additional Actions String": "No additional actions required", + "Category ID": 4, + "Detection ID": "{0F657BB1-4CC8-4145-AF21-F8E170AD73F6}", + "Detection Time": "2024-03-11T22:42:25.211Z", + "Engine Version": "AM: 1.1.24010.10, NIS: 2.1.14600.4", + "Error Code": "0x00000000", + "Error Description": "Операция успешно завершена.", + "Execution ID": 1, + "Execution Name": "%%813", + "FWLink": "http://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:O97M/Emotet.CSK!MTB&threatid=2147761122&enterprise=0", + "Origin ID": 1, + "Origin Name": "%%845", + "Post Clean Status": 0, + "Pre Execution Status": 0, + "Product Name": "%%827", + "Product Version": "4.10.14393.4651", + "Remediation User": "", + "Severity ID": 5, + "Signature Version": "AV: 1.405.1159.0, AS: 1.405.1159.0, NIS: 119.0.0.0", + "Source ID": 4, + "Source Name": "%%819", + "State": 1, + "Status Code": 1, + "Status Description": "", + "Threat ID": 2147761122, + "Type ID": 0, + "Type Name": "%%822", + "Unused2": "", + "Unused3": "", + "Unused4": "", + "Unused5": "", + "Unused6": "", + "Unused": "" + } +} +``` + +2. Отключение защитных механизмов MS Defender + +```json +{ + "Timestamp": "2024-03-11 22:44:13.718 +00:00", + "RuleTitle": "Windows Defender Real-time Protection Disabled", + "Level": "high", + "Computer": "test-win-19-res", + "Channel": "Defender", + "EventID": 5001, + "RecordID": 342, + "Details": { + }, + "ExtraFieldInfo": { + "Product Name": "%%827", + "Product Version": "4.10.14393.4651" + } +} +``` + +3. Очистка журналов Windows +```json +{ + "Timestamp": "2024-03-11 23:34:34.485 +00:00", + "RuleTitle": "Log Cleared", + "Level": "high", + "Computer": "test-win-19-res", + "Channel": "Sec", + "EventID": 1102, + "RecordID": 79373, + "Details": { + }, + "ExtraFieldInfo": { + "SubjectDomainName": "TEST-WIN-19-RES", + "SubjectLogonId": "0xc285d", + "SubjectUserName": "Admin", + "SubjectUserSid": "S-1-5-21-107221567-3081071120-1500011723-1000" + } +} +``` + +4. Начинаются постоянные подключения на порт RDP + +```json +{ + "Timestamp": "2024-03-11 23:34:06.469 +00:00", + "RuleTitle": "Net Conn (Sysmon Alert)", + "Level": "med", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 3, + "RecordID": 2321153, + "Details": { + "Initiated": false, + "Proto": "tcp", + "SrcIP": "45.141.87.101", + "SrcPort": 7028, + "SrcHost": "-", + "TgtIP": "212.233.73.226", + "TgtPort": 3389, + "TgtHost": "test-win-19-res", + "User": "NT AUTHORITY\\NETWORK SERVICE", + "Proc": "C:\\Windows\\System32\\svchost.exe", + "PID": 852, + "PGUID": "13CA83BD-C3D1-65ED-1100-000000000D00" + }, + "ExtraFieldInfo": { + "DestinationPortName": "ms-wbt-server", + "RuleName": "RDP", + "UtcTime": "2024-03-12 02:33:54.284" + } +} +``` + +5. Скачивание с помощью браузера файла письма `Договоры.eml` +```json +{ + "Timestamp": "2024-03-11 23:40:06.167 +00:00", + "RuleTitle": "ADS Created", + "Level": "info", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 15, + "RecordID": 2321344, + "Details": { + "Path": "C:\\Users\\Admin\\Downloads\\Договоры.eml", + "Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe", + "PID": 3040, + "PGUID": "13CA83BD-952E-65EF-3607-000000000D00", + "Hash": "MD5=4A509F71EEEA143D38DF7F76446E2CB3,SHA256=CA1E2C445D4C847B161D36E9939CFA66B5C71A7549C76988D948314691A5DD79,IMPHASH=00000000000000000000000000000000" + }, + "ExtraFieldInfo": { + "Contents": "-", + "CreationUtcTime": "2024-03-11 23:40:00.237", + "RuleName": "-", + "User": "TEST-WIN-19-RES\\Admin", + "UtcTime": "2024-03-11 23:40:06.027" + } +} +``` + +6. Скачивание с помощью браузера архива + +``` +{ + "Timestamp": "2024-03-11 23:40:06.672 +00:00", + "RuleTitle": "File Created (Sysmon Alert)", + "Level": "med", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 11, + "RecordID": 2321347, + "Details": { + "Rule": "Downloads", + "Path": "C:\\Users\\Admin\\Downloads\\3vs2BYCX.zip.part", + "Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe", + "PID": 3040, + "PGUID": "13CA83BD-952E-65EF-3607-000000000D00" + }, + "ExtraFieldInfo": { + "CreationUtcTime": "2024-03-11 23:40:06.659", + "User": "TEST-WIN-19-RES\\Admin", + "UtcTime": "2024-03-11 23:40:06.659" + } +} +``` + +7. Скачивание с помощью бразуера архива `Docs.zip` +```json +{ + "Timestamp": "2024-03-11 23:40:06.847 +00:00", + "RuleTitle": "File Created (Sysmon Alert)", + "Level": "med", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 11, + "RecordID": 2321351, + "Details": { + "Rule": "Downloads", + "Path": "C:\\Users\\Admin\\Downloads\\Docs.zip:Zone.Identifier", + "Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe", + "PID": 3040, + "PGUID": "13CA83BD-952E-65EF-3607-000000000D00" + }, + "ExtraFieldInfo": { + "CreationUtcTime": "2024-03-11 23:40:06.659", + "User": "TEST-WIN-19-RES\\Admin", + "UtcTime": "2024-03-11 23:40:06.843" + } +} +``` + +8. Перемещение файла в `C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc` + +```json +{ + "Timestamp": "2024-03-11 23:48:26.520 +00:00", + "RuleTitle": "ADS Created", + "Level": "info", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 15, + "RecordID": 2321544, + "Details": { + "Path": "C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc", + "Proc": "C:\\Windows\\Explorer.EXE", + "PID": 3484, + "PGUID": "13CA83BD-9B68-65ED-6000-000000000D00", + "Hash": "MD5=D7E6921BFD008F707BA52DEE374FF3DB,SHA256=044AA7E93EC81B297B53AAEBAD9BBAC1A9D754219B001AAF5D4261665AF30BC7,IMPHASH=00000000000000000000000000000000" + }, + "ExtraFieldInfo": { + "Contents": "-", + "CreationUtcTime": "2024-03-11 20:44:02.000", + "RuleName": "-", + "User": "TEST-WIN-19-RES\\Admin", + "UtcTime": "2024-03-11 23:48:26.509" + } +} +``` +9. Перемещение файла в `C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А2.doc` + +```json +{ + "Timestamp": "2024-03-11 23:48:26.540 +00:00", + "RuleTitle": "ADS Created", + "Level": "info", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 15, + "RecordID": 2321545, + "Details": { + "Path": "C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А2.doc", + "Proc": "C:\\Windows\\Explorer.EXE", + "PID": 3484, + "PGUID": "13CA83BD-9B68-65ED-6000-000000000D00", + "Hash": "MD5=349D13CA99AB03869548D75B99E5A1D0,SHA256=D34849E1C97F9E615B3A9B800CA1F11ED04A92B1014F55AA0158E3FFFC22D78F,IMPHASH=00000000000000000000000000000000" + }, + "ExtraFieldInfo": { + "Contents": "-", + "CreationUtcTime": "2024-03-11 20:49:58.000", + "RuleName": "-", + "User": "TEST-WIN-19-RES\\Admin", + "UtcTime": "2024-03-11 23:48:26.525" + } +} +``` + +10. Открытие файла `╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc` в Word. +```json +{ + "Timestamp": "2024-03-11 23:50:54.755 +00:00", + "RuleTitle": "Proc Exec", + "Level": "info", + "Computer": "test-win-19-res", + "Channel": "Sec", + "EventID": 4688, + "RecordID": 79425, + "Details": { + "Cmdline": "\"C:\\Program Files\\Microsoft Office\\Root\\Office16\\WINWORD.EXE\" /n \"C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc\" /o \"\"", + "Proc": "C:\\Program Files\\Microsoft Office\\root\\Office16\\WINWORD.EXE", + "PID": 1360, + "User": "Admin", + "LID": "0xc285d" + }, + "ExtraFieldInfo": { + "MandatoryLabel": "HIGH_INTEGRITY", + "ParentProcessName": "C:\\Windows\\explorer.exe", + "ProcessId": 3484, + "SubjectDomainName": "TEST-WIN-19-RES", + "SubjectUserSid": "S-1-5-21-107221567-3081071120-1500011723-1000", + "TargetDomainName": "-", + "TargetLogonId": "0x0", + "TargetUserName": "-", + "TargetUserSid": "S-1-0-0", + "TokenElevationType": "FULL_TOKEN" + } +} +``` + +11. Дано разрешение на исполнение макросов Office. + +```json + +{ + "Timestamp": "2024-03-11 23:52:19.327 +00:00", + "RuleTitle": "Reg Key Value Set (Sysmon Alert)", + "Level": "med", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 13, + "RecordID": 2321663, + "Details": { + "Rule": "Context,ProtectedModeExitOrMacrosUsed", + "EventType": "SetValue", + "TgtObj": "HKU\\S-1-5-21-107221567-3081071120-1500011723-1000\\SOFTWARE\\Microsoft\\Office\\16.0\\Word\\Security\\Trusted Documents\\TrustRecords\\%USERPROFILE%/Desktop/Work/╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc", + "": "Binary Data", + "Proc": "C:\\Program Files\\Microsoft Office\\Root\\Office16\\WINWORD.EXE", + "PID": 1360, + "PGUID": "13CA83BD-98DE-65EF-4E07-000000000D00" + }, + "ExtraFieldInfo": { + "User": "TEST-WIN-19-RES\\Admin", + "UtcTime": "2024-03-11 23:52:19.314" + } +} +``` + +12. Спустя 17 секунд пользователь решил посмотреть новые тик-токи. + +```json +{ + "Timestamp": "2024-03-11 23:52:36.757 +00:00", + "RuleTitle": "DNS Query", + "Level": "info", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 22, + "RecordID": 2321690, + "Details": { + "Query": "analytics.tiktok.com", + "Result": "type: 5 analytics.tiktok.com.ttdns2.com;type: 5 analytics.tiktok.com.edgekey.net;type: 5 e35058.a.akamaiedge.net;::ffff:139.45.207.83;::ffff:139.45.207.18;::ffff:139.45.207.81;::ffff:139.45.207.10;::ffff:139.45.207.48;::ffff:139.45.207.72;::ffff:139.45.207.11;::ffff:139.45.207.32;::ffff:139.45.207.97;", + "Proc": "C:\\Program Files\\Internet Explorer\\iexplore.exe", + "PID": 5344, + "PGUID": "13CA83BD-9936-65EF-5B07-000000000D00" + }, + "ExtraFieldInfo": { + "QueryStatus": 0, + "RuleName": "-", + "User": "TEST-WIN-19-RES\\Admin", + "UtcTime": "2024-03-11 23:52:25.873" + } +} + +``` + +13. Наблюдаются ошибки записи на диск. +```json +{ + "Timestamp": "2024-03-12 00:18:44.457 +00:00", + "RuleTitle": "Sysmon Error", + "Level": "low", + "Computer": "test-win-19-res", + "Channel": "Sysmon", + "EventID": 255, + "RecordID": 2322478, + "Details": { + "ID": "GetConfigurationOptions", + "Description": "Failed to open service configuration with error 19 - Last error: Носитель защищен от записи.\\r\\n" + }, + "ExtraFieldInfo": { + "Description": "Failed to open service configuration with error 19 - Last error: Носитель защищен от записи.", + "UtcTime": "2024-03-12 00:18:44.437" + } +} +``` + +#### Итог лабораторной работы + +В итоге мы получили следующую историю, пользователь работая по RDP попробовал перенести на компьютер вредоносный файл Word, который был заблокирован антивирусом Microsoft Defender. +После чего он отключил антивирус и очистил журналы Windows. После этого через браузер Firefox был скачан файл письма, в котором находилось вложение в виде архива `.zip`. Данный архив был разархивирован. +После этого пользователь открыл вредоносный документ, разрешил взаимодействие с ним и дополнительно разрешил выполнение макросов. Через 17 секунд пользователь окончательно усыпил бдительность и пошёл смотреть тик-токи перед сном. +На следующий день пользователь обнаружил, что имеет проблему. + +Вероятнее всего в документе содержался зловред, вероятно, бьющий файлы на диске. + +Также мы заметили большое количество подключений по RDP с разных источников, в том числе ботнетов, замеченных в брутфорсах RDP. С данной проблемой связи это не имеет. + +В дальнейшем стоит использовать антивирус, который имеет возможность ограничения его доступа (или же групповые политики Windows) запретить выполнение макросов в Office и настроить ограничение сетевого доступа с помощью межсетевого экрана (используя UTM с прокси сервером в составе, мы также получим возможность заблокировать пользователю возможность смотреть тик-токи на рабочем месте, чтобы не расслаблялся). + +**Выполнил:** Харитонов Марат Русланович, М235314 \ No newline at end of file