Article Уклонение от обнаружения: Очищаем логи Windows (T1562.002)

[Vander]

​

Приветствую уважаемую аудиторию форума Protey.

В этой статье речь пойдет о том как удаить следы вашего нежелательного присутствия в системах семейства Windows.

Defense Evasion - это cyber kill chain attack стратегия , которая включает методы, используемые злоумышленниками для предотвращения обнаружения во время их деятельности.

Немного подробностей:

• MITRE TACTIC: Defenses Evasion (TA0005)
• MITRE TECHNIQUE: Impair Defence (T1562)
• SUBTITLE: Disable Windows Event Logging (T1562.002)

Чтобы ограничить объем данных, которые могут использоваться для обнаружения и аудита, злоумышленник может отключить ведение журнала событий Windows. Попытки входа в систему, разработка процессов, поведение других пользователей и устройств записываются в журналы событий Windows. Программное обеспечение и аналитики используют эту информацию для обнаружения артефактов.

Очистка Event log с помощью команды Wevtutil

Это системный инструмент, позволяющий просматривать подробные сведения о журналах событий и издателях. Вы также можете использовать эту команду для установки и удаления манифестов событий, экспорта, архивирования и очистки журналов.

Попробуем удалить с помощью него логи в категории Security.

​

wevtutil cl Security

​

Результат должен быть таким:

​

Записалось новое событие, но удалены все старые, это событие указывает на то, что логи были почищены.

Очистка Event log с помощью Powershell

Другой метод - использовать PowerShell для очистки журналов, поскольку вы можете заметить, что на компьютере есть журнал System и Security.

​

Запустите Powershell от имени администратора и выполните следующие команды:

Clear-Eventlog -LogName Security
Clear-Eventlog -LogName System

​

Как результат - видим следующее:

​

Существует более унивесальный способ с помощью Powershell очистить все журналы событий, выполняем данную команду от имени администратора:

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

​

Phantom

Этот скрипт просматривает стеки потоков процесса службы Event Log (в частности, svchost.exe) определяет потоки журнала событий и уничтожает те потоки, которые используются службой журнала событий. Таким образом, система не сможет собирать логи, и в то же время служба Event Log будет работать.

Скачать его можно тут - Phantom.

Скачиваем данный скрипт и запускаем, предварительно выполнив команду в powershell:

powershell -ep bypass

• Bypass – разрешён запуск любых PS файлов (предупреждения не выводятся) – эта политика обычно используется для автоматического запуска PS скриптов без вывода каких-либо уведомлений (например при запуске через GPO, SCCM, планировщик и т.д.) и не рекомендуется для постоянного использования.

​

Запускаем непосредственно выпонение скрипта Phant0m:

Import-Module .\Invoke-Phant0m.ps1
Invoke-Phant0m

​

Очистка следов Phant0m:

Write-Host "NEED TO Restart-Computer TO ENSURE LOGGING RETURNS" -fore red
Remove-Item "$env:TEMP\Invoke-Phant0m.ps1" -ErrorAction Ignore

​

Mimikatz

Как мы можем забыть о Mimikatz, когда речь идет о Red Team? Mimikatz - наиболее эффективный метод, позволяющий не только украсть учетные данные, но и очистить журнал из средства просмотра событий.

Запустите mimikatz от имени администратора и выполните следующие команды:

privilege::debug
event::clear

​

Записи журналов успешно очищаются.

MiniNT registry key

Вы можете поиграть с реестром, создать новый раздел реестра, как указано ниже, и перезагрузить компьютер, чтобы переопределить ветви реестра.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt"

​

Этот ключ отключает программу просмотра событий и, таким образом, ограничивает создание журналов.

​

Немного подробностей:

• К сожалению, наличие ключа реестра MiniNT заставляет различные компоненты Windows думать, что они работают в среде предустановки Windows. Примечательно, что наличие ключа нарушает работу средства просмотра событий - попробуйте открыть любой журнал, и вы увидите следующее очень бесполезное сообщение об ошибке: Event Viewer cannot open the event log or custom view. Verify that Event Log service is running or query is too long. The request is not supported (50)​

Удалив данный ключ из реестра, работа Event Viewer приходит в норму.

PowerShell Empire

PowerShell Empire также можно использовать для очистки журналов, классификации потоков журнала событий и уничтожения потоков службы журнала событий.

Используйте следующую команду, чтобы запустить модуль для активных агентов:

usemodule management/phant0m
execute

​

Metasploit

И последнее, но не менее важное: у нас есть фреймворк Metasploit для очистки журналов приложений, безопасности и системных журналов из средства просмотра событий.

В сеансе meterperter вы можете выполнить следующую команду:

clearev

На этом всё, спасибо за внимание.​