Отключение журнала событий Windows - это техника уклонения от защиты, которую злоумышленники используют для отключения или манипулирования журналами событий Windows. Журнал событий Windows - это критически важная функция безопасности, которая регистрирует активность системы, включая попытки входа в систему, выполнение процессов и изменения политики безопасности. Команды безопасности полагаются на эти журналы при поиске угроз, реагировании на инциденты и проведении криминалистических расследований. Отключив или изменив журнал событий, атакующие могут замести следы, что значительно затрудняет обнаружение, расследование и реагирование на вредоносные действия.
Что такое журнал событий Windows?
Журнал событий Windows - это централизованный механизм записи системных и прикладных событий в операционной системе Windows. Журналы событий Windows записывают события операционной системы, приложений, безопасности, настройки, оборудования и пользователей, которые используются администраторами для диагностики системных проблем и применяются инструментами безопасности и аналитиками для анализа проблем безопасности. Записанные в журнал события Windows, такие как установка приложений, попытки входа в систему, повышенные привилегии и созданные процессы, являются отличным источником для обнаружения аномалий, которые могут указывать на кибератаки.
Использование злоумышленниками отключения журнала событий Windows
Злоумышленники осознают важность журналов событий, оставляющих следы их деятельности, которые могут быть использованы администраторами и специалистами по безопасности для обнаружения и реагирования на инциденты безопасности. Злоумышленники подменяют основной механизм ведения журналов, чтобы уменьшить количество собранных журналов для аудита безопасности и, соответственно, частоту обнаружения.
Остановив или отключив службу журнала событий Windows, злоумышленники могут эффективно остановить процесс регистрации, предотвратив запись критически важной информации о своей деятельности. Такие скрытые действия особенно опасны, поскольку позволяют злоумышленникам действовать в системной среде с ограниченной видимостью, что затрудняет выявление и пресечение их злонамеренных действий.
Злоумышленники могут нацелиться на ведение журнала в масштабах всей системы или отдельных приложений.
| 1 2 3 4 5 | //Пример команд для остановки общесистемного протоколирования sc config eventlog start=disabled //Пример PowerShell для остановки общесистемного протоколирования Stop-Service -Name EventLog |
В мае 2024 года сообщалось, что вредоносная программа GhostEngine использует утилиту командной строки Windows Events «wevutil.exe» для удаления определенных типов журналов событий Windows.
| 1 2 3 4 5 6 | wevtutil.exe cl Microsoft-Windows-AppModel-Runtime/Operation wevtutil.exe cl Microsoft-Windows-Diagnostics-Performance wevtutil.exe cl "Forwarded Events" wevtutil.exe cl System wevtutil.exe cl Setup wevtutil.exe cl Security |
В некоторых случаях злоумышленники могут нарушить работу определенных функций регистрации, чтобы подавить или изменить журналы. Так, например, вымогатель Mallox использует технику исправления EtwEventWrite для отключения генерации событий регистрации, оставляя пробелы в телеметрии и ослепляя команды безопасности потенциально вредоносными действиями.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | IntPtr intPtr = WrapperClientManager.LoadLibrary("ntdll.dll"); if (intPtr == IntPtr.Zero) { throw new Exception(); } IntPtr procAddress = WrapperClientManager.GetProcAddress(intPtr, "EtwEventWrite"); if (procAddress == IntPtr.Zero) { throw new Exception(); } byte[] array = this.IncludeAttribute(); if (array == null) { throw new Exception; } uint num; if (!ProcessorContextCandidate.m_Writer(procAddress, array.Length, 64U, out num)) |
Другой метод заключается в изменении реестра Windows - центрального хранилища системных параметров и конфигураций. Злоумышленники могут манипулировать определенными записями реестра, связанными с регистрацией событий, тем самым отключая или изменяя поведение регистрации по умолчанию. Этот метод позволяет незаметно стереть свои цифровые следы и скрыться от бдительных глаз систем безопасности, использующих журналы событий для обнаружения аномалий.
Кроме того, злоумышленники могут применять более сложные тактики, например, использовать привилегии для изменения настроек групповой политики, связанных с регистрацией событий. Групповая политика - мощный инструмент в среде Windows, позволяющий администраторам определять и применять политики безопасности в сети. Злоумышленники, стремящиеся замести следы, могут использовать уязвимости или прибегать к методам повышения привилегий для изменения настроек групповой политики, эффективно подавляя создание важных записей в журнале событий.