marker/sf
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

02-logs

Browse Source
This commit is contained in:
Marat Kharitonov
2024-03-27 22:28:14 +03:00
parent 40899bcd4b
commit 6f9b58b500
1 changed files with 403 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

403
01-main/02-monitoring/02-logs/README.md Normal file
View File

@@ -0,0 +1,403 @@
# Мониторинг, аналитика и оценка рисков ИБ
## Модуль 2. Аналитика информационной безопасности
### Практическое задание № 3
#### Ход задания
Условие:
```
Представим кейс. Сотрудница в 00:06 12.03 обнаружила на своем компьютере что-то странное с файлами. Она выключила компьютер, а утром обратилась к вашей команде расследования. Проведите расследование инцидента по логам с ОС Windows.
В качестве результата составьте таймлайн инцидента 12-17 событий с хоста. В таймлайне важно отразить развитие инцидента, временные метки событий, EventID, влияние инцидента, какая вредоносная активность наблюдается (подозрительные сетевые соединения, изменения реестра Windows и т.д.). Рекомендуется воспользоваться рекомендациями по журналам Windows с семинара. Особенно ценно и достаточно непросто определить источник попадания активности на рабочую станцию, понять, как начался инцидент (время, содержание).
```
Рассмотрим логи и выделим основные моменты.
1. Сработка антивируса MS Defender на документ `╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc`
```json
{
"Timestamp": "2024-03-11 22:42:25.843 +00:00",
"RuleTitle": "Defender Alert (Severe)",
"Level": "crit",
"Computer": "test-win-19-res",
"Channel": "Defender",
"EventID": 1116,
"RecordID": 337,
"Details": {
"Threat": "TrojanDownloader:O97M/Emotet.CSK!MTB",
"Severity": "Критический",
"Type": "Загрузчик троянов",
"User": "TEST-WIN-19-RES\\Admin",
"Path": "file:_C:\\Users\\Admin\\Downloads\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc",
"Proc": "C:\\Windows\\explorer.exe"
},
"ExtraFieldInfo": {
"Action ID": 9,
"Action Name": "%%887",
"Additional Actions ID": 0,
"Additional Actions String": "No additional actions required",
"Category ID": 4,
"Detection ID": "{0F657BB1-4CC8-4145-AF21-F8E170AD73F6}",
"Detection Time": "2024-03-11T22:42:25.211Z",
"Engine Version": "AM: 1.1.24010.10, NIS: 2.1.14600.4",
"Error Code": "0x00000000",
"Error Description": "Операция успешно завершена.",
"Execution ID": 1,
"Execution Name": "%%813",
"FWLink": "http://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:O97M/Emotet.CSK!MTB&threatid=2147761122&enterprise=0",
"Origin ID": 1,
"Origin Name": "%%845",
"Post Clean Status": 0,
"Pre Execution Status": 0,
"Product Name": "%%827",
"Product Version": "4.10.14393.4651",
"Remediation User": "",
"Severity ID": 5,
"Signature Version": "AV: 1.405.1159.0, AS: 1.405.1159.0, NIS: 119.0.0.0",
"Source ID": 4,
"Source Name": "%%819",
"State": 1,
"Status Code": 1,
"Status Description": "",
"Threat ID": 2147761122,
"Type ID": 0,
"Type Name": "%%822",
"Unused2": "",
"Unused3": "",
"Unused4": "",
"Unused5": "",
"Unused6": "",
"Unused": ""
}
}
```
2. Отключение защитных механизмов MS Defender
```json
{
"Timestamp": "2024-03-11 22:44:13.718 +00:00",
"RuleTitle": "Windows Defender Real-time Protection Disabled",
"Level": "high",
"Computer": "test-win-19-res",
"Channel": "Defender",
"EventID": 5001,
"RecordID": 342,
"Details": {
},
"ExtraFieldInfo": {
"Product Name": "%%827",
"Product Version": "4.10.14393.4651"
}
}
```
3. Очистка журналов Windows
```json
{
"Timestamp": "2024-03-11 23:34:34.485 +00:00",
"RuleTitle": "Log Cleared",
"Level": "high",
"Computer": "test-win-19-res",
"Channel": "Sec",
"EventID": 1102,
"RecordID": 79373,
"Details": {
},
"ExtraFieldInfo": {
"SubjectDomainName": "TEST-WIN-19-RES",
"SubjectLogonId": "0xc285d",
"SubjectUserName": "Admin",
"SubjectUserSid": "S-1-5-21-107221567-3081071120-1500011723-1000"
}
}
```
4. Начинаются постоянные подключения на порт RDP
```json
{
"Timestamp": "2024-03-11 23:34:06.469 +00:00",
"RuleTitle": "Net Conn (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 3,
"RecordID": 2321153,
"Details": {
"Initiated": false,
"Proto": "tcp",
"SrcIP": "45.141.87.101",
"SrcPort": 7028,
"SrcHost": "-",
"TgtIP": "212.233.73.226",
"TgtPort": 3389,
"TgtHost": "test-win-19-res",
"User": "NT AUTHORITY\\NETWORK SERVICE",
"Proc": "C:\\Windows\\System32\\svchost.exe",
"PID": 852,
"PGUID": "13CA83BD-C3D1-65ED-1100-000000000D00"
},
"ExtraFieldInfo": {
"DestinationPortName": "ms-wbt-server",
"RuleName": "RDP",
"UtcTime": "2024-03-12 02:33:54.284"
}
}
```
5. Скачивание с помощью браузера файла письма `Договоры.eml`
```json
{
"Timestamp": "2024-03-11 23:40:06.167 +00:00",
"RuleTitle": "ADS Created",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 15,
"RecordID": 2321344,
"Details": {
"Path": "C:\\Users\\Admin\\Downloads\\Договоры.eml",
"Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe",
"PID": 3040,
"PGUID": "13CA83BD-952E-65EF-3607-000000000D00",
"Hash": "MD5=4A509F71EEEA143D38DF7F76446E2CB3,SHA256=CA1E2C445D4C847B161D36E9939CFA66B5C71A7549C76988D948314691A5DD79,IMPHASH=00000000000000000000000000000000"
},
"ExtraFieldInfo": {
"Contents": "-",
"CreationUtcTime": "2024-03-11 23:40:00.237",
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:40:06.027"
}
}
```
6. Скачивание с помощью браузера архива
```
{
"Timestamp": "2024-03-11 23:40:06.672 +00:00",
"RuleTitle": "File Created (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 11,
"RecordID": 2321347,
"Details": {
"Rule": "Downloads",
"Path": "C:\\Users\\Admin\\Downloads\\3vs2BYCX.zip.part",
"Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe",
"PID": 3040,
"PGUID": "13CA83BD-952E-65EF-3607-000000000D00"
},
"ExtraFieldInfo": {
"CreationUtcTime": "2024-03-11 23:40:06.659",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:40:06.659"
}
}
```
7. Скачивание с помощью бразуера архива `Docs.zip`
```json
{
"Timestamp": "2024-03-11 23:40:06.847 +00:00",
"RuleTitle": "File Created (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 11,
"RecordID": 2321351,
"Details": {
"Rule": "Downloads",
"Path": "C:\\Users\\Admin\\Downloads\\Docs.zip:Zone.Identifier",
"Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe",
"PID": 3040,
"PGUID": "13CA83BD-952E-65EF-3607-000000000D00"
},
"ExtraFieldInfo": {
"CreationUtcTime": "2024-03-11 23:40:06.659",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:40:06.843"
}
}
```
8. Перемещение файла в `C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc`
```json
{
"Timestamp": "2024-03-11 23:48:26.520 +00:00",
"RuleTitle": "ADS Created",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 15,
"RecordID": 2321544,
"Details": {
"Path": "C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc",
"Proc": "C:\\Windows\\Explorer.EXE",
"PID": 3484,
"PGUID": "13CA83BD-9B68-65ED-6000-000000000D00",
"Hash": "MD5=D7E6921BFD008F707BA52DEE374FF3DB,SHA256=044AA7E93EC81B297B53AAEBAD9BBAC1A9D754219B001AAF5D4261665AF30BC7,IMPHASH=00000000000000000000000000000000"
},
"ExtraFieldInfo": {
"Contents": "-",
"CreationUtcTime": "2024-03-11 20:44:02.000",
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:48:26.509"
}
}
```
9. Перемещение файла в `C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А2.doc`
```json
{
"Timestamp": "2024-03-11 23:48:26.540 +00:00",
"RuleTitle": "ADS Created",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 15,
"RecordID": 2321545,
"Details": {
"Path": "C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А2.doc",
"Proc": "C:\\Windows\\Explorer.EXE",
"PID": 3484,
"PGUID": "13CA83BD-9B68-65ED-6000-000000000D00",
"Hash": "MD5=349D13CA99AB03869548D75B99E5A1D0,SHA256=D34849E1C97F9E615B3A9B800CA1F11ED04A92B1014F55AA0158E3FFFC22D78F,IMPHASH=00000000000000000000000000000000"
},
"ExtraFieldInfo": {
"Contents": "-",
"CreationUtcTime": "2024-03-11 20:49:58.000",
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:48:26.525"
}
}
```
10. Открытие файла `╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc` в Word.
```json
{
"Timestamp": "2024-03-11 23:50:54.755 +00:00",
"RuleTitle": "Proc Exec",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sec",
"EventID": 4688,
"RecordID": 79425,
"Details": {
"Cmdline": "\"C:\\Program Files\\Microsoft Office\\Root\\Office16\\WINWORD.EXE\" /n \"C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc\" /o \"\"",
"Proc": "C:\\Program Files\\Microsoft Office\\root\\Office16\\WINWORD.EXE",
"PID": 1360,
"User": "Admin",
"LID": "0xc285d"
},
"ExtraFieldInfo": {
"MandatoryLabel": "HIGH_INTEGRITY",
"ParentProcessName": "C:\\Windows\\explorer.exe",
"ProcessId": 3484,
"SubjectDomainName": "TEST-WIN-19-RES",
"SubjectUserSid": "S-1-5-21-107221567-3081071120-1500011723-1000",
"TargetDomainName": "-",
"TargetLogonId": "0x0",
"TargetUserName": "-",
"TargetUserSid": "S-1-0-0",
"TokenElevationType": "FULL_TOKEN"
}
}
```
11. Дано разрешение на исполнение макросов Office.
```json
{
"Timestamp": "2024-03-11 23:52:19.327 +00:00",
"RuleTitle": "Reg Key Value Set (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 13,
"RecordID": 2321663,
"Details": {
"Rule": "Context,ProtectedModeExitOrMacrosUsed",
"EventType": "SetValue",
"TgtObj": "HKU\\S-1-5-21-107221567-3081071120-1500011723-1000\\SOFTWARE\\Microsoft\\Office\\16.0\\Word\\Security\\Trusted Documents\\TrustRecords\\%USERPROFILE%/Desktop/Work/╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc",
"": "Binary Data",
"Proc": "C:\\Program Files\\Microsoft Office\\Root\\Office16\\WINWORD.EXE",
"PID": 1360,
"PGUID": "13CA83BD-98DE-65EF-4E07-000000000D00"
},
"ExtraFieldInfo": {
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:52:19.314"
}
}
```
12. Спустя 17 секунд пользователь решил посмотреть новые тик-токи.
```json
{
"Timestamp": "2024-03-11 23:52:36.757 +00:00",
"RuleTitle": "DNS Query",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 22,
"RecordID": 2321690,
"Details": {
"Query": "analytics.tiktok.com",
"Result": "type: 5 analytics.tiktok.com.ttdns2.com;type: 5 analytics.tiktok.com.edgekey.net;type: 5 e35058.a.akamaiedge.net;::ffff:139.45.207.83;::ffff:139.45.207.18;::ffff:139.45.207.81;::ffff:139.45.207.10;::ffff:139.45.207.48;::ffff:139.45.207.72;::ffff:139.45.207.11;::ffff:139.45.207.32;::ffff:139.45.207.97;",
"Proc": "C:\\Program Files\\Internet Explorer\\iexplore.exe",
"PID": 5344,
"PGUID": "13CA83BD-9936-65EF-5B07-000000000D00"
},
"ExtraFieldInfo": {
"QueryStatus": 0,
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:52:25.873"
}
}
```
13. Наблюдаются ошибки записи на диск.
```json
{
"Timestamp": "2024-03-12 00:18:44.457 +00:00",
"RuleTitle": "Sysmon Error",
"Level": "low",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 255,
"RecordID": 2322478,
"Details": {
"ID": "GetConfigurationOptions",
"Description": "Failed to open service configuration with error 19 - Last error: Носитель защищен от записи.\\r\\n"
},
"ExtraFieldInfo": {
"Description": "Failed to open service configuration with error 19 - Last error: Носитель защищен от записи.",
"UtcTime": "2024-03-12 00:18:44.437"
}
}
```
#### Итог лабораторной работы
В итоге мы получили следующую историю, пользователь работая по RDP попробовал перенести на компьютер вредоносный файл Word, который был заблокирован антивирусом Microsoft Defender.
После чего он отключил антивирус и очистил журналы Windows. После этого через браузер Firefox был скачан файл письма, в котором находилось вложение в виде архива `.zip`. Данный архив был разархивирован.
После этого пользователь открыл вредоносный документ, разрешил взаимодействие с ним и дополнительно разрешил выполнение макросов. Через 17 секунд пользователь окончательно усыпил бдительность и пошёл смотреть тик-токи перед сном.
На следующий день пользователь обнаружил, что имеет проблему.
Вероятнее всего в документе содержался зловред, вероятно, бьющий файлы на диске.
Также мы заметили большое количество подключений по RDP с разных источников, в том числе ботнетов, замеченных в брутфорсах RDP. С данной проблемой связи это не имеет.
В дальнейшем стоит использовать антивирус, который имеет возможность ограничения его доступа (или же групповые политики Windows) запретить выполнение макросов в Office и настроить ограничение сетевого доступа с помощью межсетевого экрана (используя UTM с прокси сервером в составе, мы также получим возможность заблокировать пользователю возможность смотреть тик-токи на рабочем месте, чтобы не расслаблялся).
**Выполнил:** Харитонов Марат Русланович, М235314