Elastic Safety – Defense Evasion Mitre T 1070 001

Posted on by

Elastic Security - Defense Evasion Mitre T1070.001

Introdução

Os adversários realizam grande esforço de ofuscar suas ações e manter seus ataques ocultos pelo maior tempo possível. Uma das maneiras mais comuns é evitar serem pegos encobrindo seus rastros dentro de host. Para isso, podem utilizar de uma tática, mapeada pelo Mitre ATT&CK, conhecida como Protection Evasion a qual pode utilizar técnicas para limpeza ou adulteração de logs.

Uma vez que os logs são comprometidos, dificulta o processo de investigação tornando mais difícil a indicação de onde foi o comprometimento inicial do ambiente. Dessa forma, é de suma importância coletar esses logs para monitoramento e alertas desse tipo de anomalia em um centro de operações de segurança.

Neste artigo, estarei fazendo a simulação desse tipo de cenário e como é possível a detecção por meio do Elastic Safety and security

Limpeza dos Logs

A demonstração será feita em um sistema operacional Windows 10 o qual está com o Elastic Endpoint Safety And Security

Utilizando as próprias ferramentas do sistema operacional, como Wevtutil e Powershell, será feita uma tentativa de exclusão dos logs de segurança do sistema. 

  C:\> > wevtutil cl security

Figura 1 – Tentativa de exclusão dos logs de segurança

Uma coisa que vale salientar aqui: há um controle de segurança aplicado no tocante a gestão de acesso onde o usuário não possui permissão para execução desse tipo de comando impossibilitando a exclusão dos logs. Mesmo assim, esse tipo de ação será alertada no Elastic Security.

Dentro de terminal do powershell, carry out os comandos abaixo: 

  PS C:\> > Clear-Eventlog -LogName Safety 
 PS C:\> > Clear-Eventlog -LogName System

Figura 2 – Tentativa de exclusão dos logs de sistema e segurança com powershell

Como esperado, as tentativas foram frustradas.

Desabilitando o Windows Event Log

Apenas vou pontuar essa técnica pois seria uma medida mais extrema e uma possível alternativa para que ataque não deixa sua trilha de atividades.

Os logs de eventos do Windows são tratados pelo serviço EventLog hospedado pelo svchost.exe Ao listar os processos svchost, veremos vários deles:

Figura 3 – Listando processos hospedados no svchost

Não está muito claro qual é o processo pertinente ao Event Log, mas ao executar o comando abaixo, será possível sabermos o seu PID: 

  PS C:\> > Get-WmiObject -Course win 32 _ service -Filter "name='eventlog'"|pick -exp ProcessId

Figura 4 – Identificando o PID do processo Occasion Log

Figura 5 – Tentativa de eliminar o processo Occasion Log

Formas de Detecção

O Elastic Protection já vem com uma regra de detecção para esse tipo de tática, porém, para este artigo, fiz algumas adaptações:

Figura 6 – Alerta provocado pela ação de exclusão de logs

Figura 7 – Detalhes do alerta

Figura 8 – Configuração da cadeia do ataque

Abaixo, criei uma consulta personalizada para os eventos produzidos por esse tipo de técnica: 

  (event.code:" 800 and powershell.command.value: "Clear-Eventlog *") or (event.code:" 4103 and powershell.command.name: "Clear-EventLog") or (event.code:" 4104 and powershell.file.script _ block_text: "taskkill *")

Figura 9 – Busca realizada numa Timeline de investigação

Você também pode duplicar a regra de detecção existente e inserir essa query e assim abranger mais na identificação de ações suspeitas.

Vou ficando por aqui. Dúvidas, sugestões ou críticas construtivas é só postar nos comentários. Até o próximo!:-RRB-

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *