marker/sf
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
bad
sf/01-main/02-monitoring/02-logs/README.md
Marat Kharitonov ac8e716774 02-logs better
2024-03-27 16:10:00 -04:00

402 lines
17 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Мониторинг, аналитика и оценка рисков ИБ
## Модуль 2. Аналитика информационной безопасности
### Практическое задание № 3
#### Ход задания
Условие:
```
Представим кейс. Сотрудница в 00:06 12.03 обнаружила на своем компьютере что-то странное с файлами. Она выключила компьютер, а утром обратилась к вашей команде расследования. Проведите расследование инцидента по логам с ОС Windows.
В качестве результата составьте таймлайн инцидента 12-17 событий с хоста. В таймлайне важно отразить развитие инцидента, временные метки событий, EventID, влияние инцидента, какая вредоносная активность наблюдается (подозрительные сетевые соединения, изменения реестра Windows и т.д.). Рекомендуется воспользоваться рекомендациями по журналам Windows с семинара. Особенно ценно и достаточно непросто определить источник попадания активности на рабочую станцию, понять, как начался инцидент (время, содержание).
```
Рассмотрим логи и выделим основные моменты.
1. Сработка антивируса MS Defender на документ `╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc`
```json
{
"Timestamp": "2024-03-11 22:42:25.843 +00:00",
"RuleTitle": "Defender Alert (Severe)",
"Level": "crit",
"Computer": "test-win-19-res",
"Channel": "Defender",
"EventID": 1116,
"RecordID": 337,
"Details": {
"Threat": "TrojanDownloader:O97M/Emotet.CSK!MTB",
"Severity": "Критический",
"Type": "Загрузчик троянов",
"User": "TEST-WIN-19-RES\\Admin",
"Path": "file:_C:\\Users\\Admin\\Downloads\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc",
"Proc": "C:\\Windows\\explorer.exe"
},
"ExtraFieldInfo": {
"Action ID": 9,
"Action Name": "%%887",
"Additional Actions ID": 0,
"Additional Actions String": "No additional actions required",
"Category ID": 4,
"Detection ID": "{0F657BB1-4CC8-4145-AF21-F8E170AD73F6}",
"Detection Time": "2024-03-11T22:42:25.211Z",
"Engine Version": "AM: 1.1.24010.10, NIS: 2.1.14600.4",
"Error Code": "0x00000000",
"Error Description": "Операция успешно завершена.",
"Execution ID": 1,
"Execution Name": "%%813",
"FWLink": "http://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:O97M/Emotet.CSK!MTB&threatid=2147761122&enterprise=0",
"Origin ID": 1,
"Origin Name": "%%845",
"Post Clean Status": 0,
"Pre Execution Status": 0,
"Product Name": "%%827",
"Product Version": "4.10.14393.4651",
"Remediation User": "",
"Severity ID": 5,
"Signature Version": "AV: 1.405.1159.0, AS: 1.405.1159.0, NIS: 119.0.0.0",
"Source ID": 4,
"Source Name": "%%819",
"State": 1,
"Status Code": 1,
"Status Description": "",
"Threat ID": 2147761122,
"Type ID": 0,
"Type Name": "%%822",
"Unused2": "",
"Unused3": "",
"Unused4": "",
"Unused5": "",
"Unused6": "",
"Unused": ""
}
}
```
2. Отключение защитных механизмов MS Defender
```json
{
"Timestamp": "2024-03-11 22:44:13.718 +00:00",
"RuleTitle": "Windows Defender Real-time Protection Disabled",
"Level": "high",
"Computer": "test-win-19-res",
"Channel": "Defender",
"EventID": 5001,
"RecordID": 342,
"Details": {
},
"ExtraFieldInfo": {
"Product Name": "%%827",
"Product Version": "4.10.14393.4651"
}
}
```
3. Очистка журналов Windows
```json
{
"Timestamp": "2024-03-11 23:34:34.485 +00:00",
"RuleTitle": "Log Cleared",
"Level": "high",
"Computer": "test-win-19-res",
"Channel": "Sec",
"EventID": 1102,
"RecordID": 79373,
"Details": {
},
"ExtraFieldInfo": {
"SubjectDomainName": "TEST-WIN-19-RES",
"SubjectLogonId": "0xc285d",
"SubjectUserName": "Admin",
"SubjectUserSid": "S-1-5-21-107221567-3081071120-1500011723-1000"
}
}
```
4. Начинаются постоянные подключения на порт RDP
```json
{
"Timestamp": "2024-03-11 23:34:06.469 +00:00",
"RuleTitle": "Net Conn (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 3,
"RecordID": 2321153,
"Details": {
"Initiated": false,
"Proto": "tcp",
"SrcIP": "45.141.87.101",
"SrcPort": 7028,
"SrcHost": "-",
"TgtIP": "212.233.73.226",
"TgtPort": 3389,
"TgtHost": "test-win-19-res",
"User": "NT AUTHORITY\\NETWORK SERVICE",
"Proc": "C:\\Windows\\System32\\svchost.exe",
"PID": 852,
"PGUID": "13CA83BD-C3D1-65ED-1100-000000000D00"
},
"ExtraFieldInfo": {
"DestinationPortName": "ms-wbt-server",
"RuleName": "RDP",
"UtcTime": "2024-03-12 02:33:54.284"
}
}
```
5. Скачивание с помощью браузера файла письма `Договоры.eml`
```json
{
"Timestamp": "2024-03-11 23:40:06.167 +00:00",
"RuleTitle": "ADS Created",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 15,
"RecordID": 2321344,
"Details": {
"Path": "C:\\Users\\Admin\\Downloads\\Договоры.eml",
"Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe",
"PID": 3040,
"PGUID": "13CA83BD-952E-65EF-3607-000000000D00",
"Hash": "MD5=4A509F71EEEA143D38DF7F76446E2CB3,SHA256=CA1E2C445D4C847B161D36E9939CFA66B5C71A7549C76988D948314691A5DD79,IMPHASH=00000000000000000000000000000000"
},
"ExtraFieldInfo": {
"Contents": "-",
"CreationUtcTime": "2024-03-11 23:40:00.237",
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:40:06.027"
}
}
```
6. Скачивание с помощью браузера архива
```
{
"Timestamp": "2024-03-11 23:40:06.672 +00:00",
"RuleTitle": "File Created (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 11,
"RecordID": 2321347,
"Details": {
"Rule": "Downloads",
"Path": "C:\\Users\\Admin\\Downloads\\3vs2BYCX.zip.part",
"Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe",
"PID": 3040,
"PGUID": "13CA83BD-952E-65EF-3607-000000000D00"
},
"ExtraFieldInfo": {
"CreationUtcTime": "2024-03-11 23:40:06.659",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:40:06.659"
}
}
```
7. Скачивание с помощью бразуера архива `Docs.zip`
```json
{
"Timestamp": "2024-03-11 23:40:06.847 +00:00",
"RuleTitle": "File Created (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 11,
"RecordID": 2321351,
"Details": {
"Rule": "Downloads",
"Path": "C:\\Users\\Admin\\Downloads\\Docs.zip:Zone.Identifier",
"Proc": "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe",
"PID": 3040,
"PGUID": "13CA83BD-952E-65EF-3607-000000000D00"
},
"ExtraFieldInfo": {
"CreationUtcTime": "2024-03-11 23:40:06.659",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:40:06.843"
}
}
```
8. Перемещение файла в `C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc`
```json
{
"Timestamp": "2024-03-11 23:48:26.520 +00:00",
"RuleTitle": "ADS Created",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 15,
"RecordID": 2321544,
"Details": {
"Path": "C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc",
"Proc": "C:\\Windows\\Explorer.EXE",
"PID": 3484,
"PGUID": "13CA83BD-9B68-65ED-6000-000000000D00",
"Hash": "MD5=D7E6921BFD008F707BA52DEE374FF3DB,SHA256=044AA7E93EC81B297B53AAEBAD9BBAC1A9D754219B001AAF5D4261665AF30BC7,IMPHASH=00000000000000000000000000000000"
},
"ExtraFieldInfo": {
"Contents": "-",
"CreationUtcTime": "2024-03-11 20:44:02.000",
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:48:26.509"
}
}
```
9. Перемещение файла в `C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А2.doc`
```json
{
"Timestamp": "2024-03-11 23:48:26.540 +00:00",
"RuleTitle": "ADS Created",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 15,
"RecordID": 2321545,
"Details": {
"Path": "C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А2.doc",
"Proc": "C:\\Windows\\Explorer.EXE",
"PID": 3484,
"PGUID": "13CA83BD-9B68-65ED-6000-000000000D00",
"Hash": "MD5=349D13CA99AB03869548D75B99E5A1D0,SHA256=D34849E1C97F9E615B3A9B800CA1F11ED04A92B1014F55AA0158E3FFFC22D78F,IMPHASH=00000000000000000000000000000000"
},
"ExtraFieldInfo": {
"Contents": "-",
"CreationUtcTime": "2024-03-11 20:49:58.000",
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:48:26.525"
}
}
```
10. Открытие файла `╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc` в Word.
```json
{
"Timestamp": "2024-03-11 23:50:54.755 +00:00",
"RuleTitle": "Proc Exec",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sec",
"EventID": 4688,
"RecordID": 79425,
"Details": {
"Cmdline": "\"C:\\Program Files\\Microsoft Office\\Root\\Office16\\WINWORD.EXE\" /n \"C:\\Users\\Admin\\Desktop\\Work\\╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc\" /o \"\"",
"Proc": "C:\\Program Files\\Microsoft Office\\root\\Office16\\WINWORD.EXE",
"PID": 1360,
"User": "Admin",
"LID": "0xc285d"
},
"ExtraFieldInfo": {
"MandatoryLabel": "HIGH_INTEGRITY",
"ParentProcessName": "C:\\Windows\\explorer.exe",
"ProcessId": 3484,
"SubjectDomainName": "TEST-WIN-19-RES",
"SubjectUserSid": "S-1-5-21-107221567-3081071120-1500011723-1000",
"TargetDomainName": "-",
"TargetLogonId": "0x0",
"TargetUserName": "-",
"TargetUserSid": "S-1-0-0",
"TokenElevationType": "FULL_TOKEN"
}
}
```
11. Дано разрешение на исполнение макросов Office.
```json
{
"Timestamp": "2024-03-11 23:52:19.327 +00:00",
"RuleTitle": "Reg Key Value Set (Sysmon Alert)",
"Level": "med",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 13,
"RecordID": 2321663,
"Details": {
"Rule": "Context,ProtectedModeExitOrMacrosUsed",
"EventType": "SetValue",
"TgtObj": "HKU\\S-1-5-21-107221567-3081071120-1500011723-1000\\SOFTWARE\\Microsoft\\Office\\16.0\\Word\\Security\\Trusted Documents\\TrustRecords\\%USERPROFILE%/Desktop/Work/╨Ф╨╛╨│╨╛╨▓╨╛╤А.doc",
"": "Binary Data",
"Proc": "C:\\Program Files\\Microsoft Office\\Root\\Office16\\WINWORD.EXE",
"PID": 1360,
"PGUID": "13CA83BD-98DE-65EF-4E07-000000000D00"
},
"ExtraFieldInfo": {
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:52:19.314"
}
}
```
12. Спустя 17 секунд пользователь решил посмотреть новые тик-токи.
```json
{
"Timestamp": "2024-03-11 23:52:36.757 +00:00",
"RuleTitle": "DNS Query",
"Level": "info",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 22,
"RecordID": 2321690,
"Details": {
"Query": "analytics.tiktok.com",
"Result": "type: 5 analytics.tiktok.com.ttdns2.com;type: 5 analytics.tiktok.com.edgekey.net;type: 5 e35058.a.akamaiedge.net;::ffff:139.45.207.83;::ffff:139.45.207.18;::ffff:139.45.207.81;::ffff:139.45.207.10;::ffff:139.45.207.48;::ffff:139.45.207.72;::ffff:139.45.207.11;::ffff:139.45.207.32;::ffff:139.45.207.97;",
"Proc": "C:\\Program Files\\Internet Explorer\\iexplore.exe",
"PID": 5344,
"PGUID": "13CA83BD-9936-65EF-5B07-000000000D00"
},
"ExtraFieldInfo": {
"QueryStatus": 0,
"RuleName": "-",
"User": "TEST-WIN-19-RES\\Admin",
"UtcTime": "2024-03-11 23:52:25.873"
}
}
```
13. Наблюдаются ошибки записи на диск.
```json
{
"Timestamp": "2024-03-12 00:18:44.457 +00:00",
"RuleTitle": "Sysmon Error",
"Level": "low",
"Computer": "test-win-19-res",
"Channel": "Sysmon",
"EventID": 255,
"RecordID": 2322478,
"Details": {
"ID": "GetConfigurationOptions",
"Description": "Failed to open service configuration with error 19 - Last error: Носитель защищен от записи.\\r\\n"
},
"ExtraFieldInfo": {
"Description": "Failed to open service configuration with error 19 - Last error: Носитель защищен от записи.",
"UtcTime": "2024-03-12 00:18:44.437"
}
}
```
#### Итог лабораторной работы
В итоге мы получили следующую историю, пользователь работая по RDP попробовал перенести на компьютер вредоносный файл Word, который был заблокирован антивирусом Microsoft Defender.
После чего он отключил антивирус и очистил журналы Windows. После этого через браузер Firefox был скачан файл письма, в котором находилось вложение в виде архива `.zip`. Данный архив был разархивирован.
После этого пользователь открыл вредоносный документ, разрешил взаимодействие с ним и дополнительно разрешил выполнение макросов. Через 17 секунд пользователь окончательно усыпил бдительность и пошёл смотреть тик-токи перед сном.
На следующий день пользователь обнаружил, что имеет проблему.
Вероятнее всего в документе содержался зловред бьющий файлы на диске или же шифрующий их. Механизм был активирован в тот момент, когда пользователь разрешил исполнение макросов в документе.
Также мы заметили большое количество подключений по RDP с разных источников, в том числе ботнетов, замеченных в брутфорсах RDP. С данной проблемой связи это не имеет.
В дальнейшем стоит использовать антивирус, который имеет возможность ограничения его отключения или добавления исключений. (или же групповые политики Windows) запретить выполнение макросов в Office и настроить ограничение сетевого доступа с помощью межсетевого экрана (используя UTM с прокси сервером в составе, мы также получим возможность заблокировать пользователю возможность смотреть тик-токи на рабочем месте, чтобы не расслаблялся).
**Выполнил:** Харитонов Марат Русланович, М235314
Reference in New Issue View Git Blame Copy Permalink