لاگ ویندوز یکی از ارزشمندترین لاگها برای فعالیت شکار تهدیدات است. اطلاعات مختلفی از لاگ ویندوز قابل استخراج است، بهعنوان مثال، اطلاعات لاگین کاربران، اطلاعات تغییرات روی فایلها، اطلاعات حذف/ایجاد حساب کاربری و … . تحلیل لاگهای ویندوز میتواند نقطه شروع خوبی برای ایجاد یا دنبال کردن یک فرضیه (فرضیه شکار تهدیدات) باشد. علاوه بر این، میتوان از تحلیل ترکیبی لاگ ویندوز با سایر لاگها (از دستگاههای شبکه، آنتی ویروس و …) به رشتهای از تهدیدات دست یافت که نتیجه بسیار ارزشمندی به دنبال خواهد داشت.

در این بخش، سه لاگ بسیار ارزشمند ویندوز که در اکثر فعالیتهای شکار تهدیدات مورد استفاده قرار میگیرد، بررسی و نمونه تحلیلی از آن ارایه شده است.

لاگ ویندوز با شناسه ۴۶۸۸

هنگامی این لاگ تولید میشود که پردازه[۱] جدیدی در سیستم ایجاد شود. به بیان دیگر، هر برنامه‌‌ای که توسط کاربر یا سیستمعامل اجرا شود، لاگی با این شناسه تولید میشود. در صورتی که یک سیستم ویندوزی با یک بدافزار و یا ویروس آلوده شود، جستجو در بین لاگهای ۴۶۸۸ پردازههایی که توسط بدافزار یا ویروس اجرا شده است را نشان خواهد داد. از نظر شکار تهدیدات، میتوان فرض کرد پردازههایی که کمترین تکرار (وقوع) را دارند، میتوانند مخرب باشند یا توسط یک بدافزار یا ویروس ایجاد شده باشند؛ اینگونه بدافزارها نیاز به بررسی بیشتری دارند.

 جستجوی زیر با استفاده از ابزار اسپلانک، پردازههای جدیدا ایجاد شده به همراه شناسه پردازه والد آنها را بر میگرداند. اما این اطلاعات (نتیجه این جستجو) چه اهمیتی دارد؟ از آنجایی که پردازههای فرزند، شناسه پردازه والد یکسانی خواهند داشت، میتوانید بهراحتی به بدافزار یا ویروسی که این پردازهها (پردازههای فرزند) را ایجاد کرده دست یابید و به طور کامل آلودگی را رفع و رهگیری کنید. همچنین در نتیجه حاصل از این جستجو، میتوانید روی پردازههایی که از مسیرهای غیرمعمول (مسیرهایی به جز C:\windows\system32 یا C:\Program Files) ایجاد شدهاند تمرکز کنید. با شناسایی پردازههای نادر روی سیستم، میتوانید به اطلاعات ارزشمندتری نیز دست یابید.

لاگ ویندوز با شناسه ۴۷۳۸

هنگامی این لاگ تولید میشود که یک حساب کاربری تغییر کند، بهعنوان نمونهای بسیار مهم و ارزشمند، هنگامی که یک حساب کاربری معمولی به حساب کاربری مدیر سیستم تغییر وضعیت مییابد لاگی با شناسه مذکور تولید خواهد شد. بنابراین از مهمترین کاربردهای این لاگ شناسایی فعالیتهای ترفیع سطح دسترسی[۲] غیرمجاز است. یکی از شکارهای با ارزش روی این لاگ (یکی از تکنیکهای شکار) جستجوی هرچیزی است که در ۲ دقیقه قبل و بعد از تولید این لاگ رخ داده است.

لاگ ویندوز با شناسه ۴۶۲۴

هنگامی این لاگ تولید میشود که یک حساب کاربری لاگین موفق داشته باشد. این اطلاعات میتواند برای ایجاد خط مبنایی[۳] از زمان و مکانهای لاگین مورد استفاده قرار گیرد. با استفاده از ابزار اسپلانک، میتواند هرگونه ناهنجاری نسبت به لاگینهای نرمال و عادی را یافت که میتواند نشانهای از نفوذ و مخاطره حساب کاربری باشد. از ویژگیهای لاگ با شناسه ۴۶۲۴ این است که انواع فعالیت لاگین را نشان میدهد؛ به عنوان نمونه لاگین از شبکه یا به صورت محلی. شناسایی ناهنجاری میتواند براساس زمان لاگین یا نوع لاگین، یعنی شناسایی زمانهای ناهنجار لاگین یا انواع ناهنجار و غیرمنتظره لاگین صورت گیرد.

بهعنوان نمونه با جستجوی زیر در اسپلانک میتوان زمانهای ناهنجار لاگین را شناسایی کرد.

لاگ ویندوز با شناسه ۱۱۰۲

این لاگ زمانی تولید میشود که مدیر سیستم لاگهای Audit ویندوز را پاک میکند. پاک کردن لاگهای مذکور فعالیتی کاملا مشکوک است که نباید در شرایط عادی اتفاق بیافتد. شکارچی تهدید باید لاگهایی با شناسه ۱۱۰۲ را بهعنوان رویدادی حیاتی و بسیار مهم تلقی کند و بررسی آن را با ابزارهایی نظیر اسپلانک در اولویت قرار دهد.


[۱] Process

[۲] Priviledge Escalation

[۳] Baseline

 

دسته‌ها: شکار تهدید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *