Что нового

Article Уклонение от обнаружения: Очищаем логи Windows (T1562.002)

Vander 0

Vander

Команда форума
10.11.2019
483
1 109
1619884009168.png

Приветствую уважаемую аудиторию форума Protey.

В этой статье речь пойдет о том как удаить следы вашего нежелательного присутствия в системах семейства Windows.

Defense Evasion - это cyber kill chain attack стратегия , которая включает методы, используемые злоумышленниками для предотвращения обнаружения во время их деятельности.

Немного подробностей:
  • MITRE TACTIC: Defenses Evasion (TA0005)
  • MITRE TECHNIQUE: Impair Defence (T1562)
  • SUBTITLE: Disable Windows Event Logging (T1562.002)
Чтобы ограничить объем данных, которые могут использоваться для обнаружения и аудита, злоумышленник может отключить ведение журнала событий Windows. Попытки входа в систему, разработка процессов, поведение других пользователей и устройств записываются в журналы событий Windows. Программное обеспечение и аналитики используют эту информацию для обнаружения артефактов.

Очистка Event log с помощью команды Wevtutil

Это системный инструмент, позволяющий просматривать подробные сведения о журналах событий и издателях. Вы также можете использовать эту команду для установки и удаления манифестов событий, экспорта, архивирования и очистки журналов.

Попробуем удалить с помощью него логи в категории Security.

1619885339980.png

Код:
wevtutil cl Security
1619885528477.png

Результат должен быть таким:

1619885600911.png

Записалось новое событие, но удалены все старые, это событие указывает на то, что логи были почищены.

Очистка Event log с помощью Powershell

Другой метод - использовать PowerShell для очистки журналов, поскольку вы можете заметить, что на компьютере есть журнал System и Security.

1619885892912.png

Запустите Powershell от имени администратора и выполните следующие команды:

Код:
Clear-Eventlog -LogName Security
Clear-Eventlog -LogName System
1619886630148.png

Как результат - видим следующее:

1619886693278.png

Существует более унивесальный способ с помощью Powershell очистить все журналы событий, выполняем данную команду от имени администратора:

Код:
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
Phantom

Этот скрипт просматривает стеки потоков процесса службы Event Log (в частности, svchost.exe) определяет потоки журнала событий и уничтожает те потоки, которые используются службой журнала событий. Таким образом, система не сможет собирать логи, и в то же время служба Event Log будет работать.

Скачать его можно тут - Phantom.

Скачиваем данный скрипт и запускаем, предварительно выполнив команду в powershell:

Код:
powershell -ep bypass
  • Bypass – разрешён запуск любых PS файлов (предупреждения не выводятся) – эта политика обычно используется для автоматического запуска PS скриптов без вывода каких-либо уведомлений (например при запуске через GPO, SCCM, планировщик и т.д.) и не рекомендуется для постоянного использования.

1619887375763.png

Запускаем непосредственно выпонение скрипта Phant0m:

Код:
Import-Module .\Invoke-Phant0m.ps1
Invoke-Phant0m
1619888018196.png

Очистка следов Phant0m:

Код:
Write-Host "NEED TO Restart-Computer TO ENSURE LOGGING RETURNS" -fore red
Remove-Item "$env:TEMP\Invoke-Phant0m.ps1" -ErrorAction Ignore
Mimikatz

Как мы можем забыть о Mimikatz, когда речь идет о Red Team? Mimikatz - наиболее эффективный метод, позволяющий не только украсть учетные данные, но и очистить журнал из средства просмотра событий.

Запустите mimikatz от имени администратора и выполните следующие команды:

Код:
privilege::debug
event::clear
1619888601026.png

Записи журналов успешно очищаются.

MiniNT registry key

Вы можете поиграть с реестром, создать новый раздел реестра, как указано ниже, и перезагрузить компьютер, чтобы переопределить ветви реестра.

Код:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt"
1619889651666.png

Этот ключ отключает программу просмотра событий и, таким образом, ограничивает создание журналов.

1619889851375.png

Немного подробностей:
  • К сожалению, наличие ключа реестра MiniNT заставляет различные компоненты Windows думать, что они работают в среде предустановки Windows. Примечательно, что наличие ключа нарушает работу средства просмотра событий - попробуйте открыть любой журнал, и вы увидите следующее очень бесполезное сообщение об ошибке: Event Viewer cannot open the event log or custom view. Verify that Event Log service is running or query is too long. The request is not supported (50)
Удалив данный ключ из реестра, работа Event Viewer приходит в норму.

1619890345455.png

PowerShell Empire

PowerShell Empire также можно использовать для очистки журналов, классификации потоков журнала событий и уничтожения потоков службы журнала событий.

Используйте следующую команду, чтобы запустить модуль для активных агентов:

Код:
usemodule management/phant0m
execute
1619893888858.png

Metasploit

И последнее, но не менее важное: у нас есть фреймворк Metasploit для очистки журналов приложений, безопасности и системных журналов из средства просмотра событий.

В сеансе meterperter вы можете выполнить следующую команду:

Код:
clearev
1619894455827.png


На этом всё, спасибо за внимание.​
 
Верх Низ