Chào mọi người, nay ngồi rảnh gõ mấy dòng lưu lại sau cần tìm cho nhanh, có thể các thông tin còn thiếu sót nhưng những thông tin này mình đã từng làm việc với nó.
Loạt bài này mình sẽ viết một ít bài về Điều tra vi phạm ANTT, gặp cái nào viết cái đó và sẽ đi từ từ. Bài này có tham khảo (dịch thuật) có tổng hợp kinh nghiệm + chỗ khác về "Windows Event Log Analysis" tạm dịch là "Kỹ thuật phân tích Event Log trên Windows", bản gốc tại đây: https://www.appliedincidentresponse.com/windows-event-log-analyst-reference/
Hình 01 - Giao diện của Event Log trên Windows
Đầu tiên giới thiệu về Event Log trên Windows thì nó là nơi mà những hoạt động trên máy tính được lưu lại, ví dụ như ai đăng nhập vào máy, đăng nhập thời gian nào, đang chạy tiến trình gì, kết nối đi đâu,...đều được lưu lại. Đây cũng là những câu hỏi thường gặp trong vấn đề điều tra truy vết (thuật ngữ chuyên ngành gọi là forensic).
Một số log được bật (enabled) lên theo cấu hình mặc định của Windows, một số lại không được bât lên (disabled) có thể do log ghi ra quá nhiều gây chiếm tài nguyên hệ thống. Ví dụ như log đăng nhập, kết nối thì được enabled mặc định còn log cắm thiết bị ngoại vi qua cổng USB thì lại bị disabled. Để bật lên các bạn có thể cấu hình trong registry của hệ điều hành.
Mình sẽ tổng hợp một số nội dung sau:
1. Định dạng cấu trúc của Event Log.
2. Một số log thường gặp - định danh qua ID (có bổ sung dần).
Nội dung chi tiết:
1. Định dạng cấu trúc của event log:
Event Log của Windows được lưu trữ ở thư mục mặc định tại đường dẫn %SystemRoot%\System32\winevt\logs, các bạn có thể truy cập vào trực tiếp đường dẫn hoặc xem qua trình Event Viewer, để bật trình Event Viewer bạn có thể vào RUN gõ keyword "eventvwr".
Cấu trúc của log có các trường sau:
Hình 01 - Các trường trong Event Log
Mặc định lượng log được lưu trong event log này không được nhiều, vì thế hay bị mất nếu bạn tìm quá xa thời gian phát hiện ra sự cố, thay vào đó các bạn có thể đẩy (có thể sử dụng syslog, winlogbeat,...) về SIEM để giám sát, loạt bài SIEM mình sẽ viết sau và sẽ link đến.
2. Một số log thường gặp để xử lý sự cố dựa vào Event ID:
Tuỳ vào trường hợp của mình mà các bạn lọc được nhanh hơn dựa vào Event ID như hình dưới
Hình 02 - Hướng dẫn filter dựa vào Event ID
2.1) Event liên quan đến quản lý tài khoản: là các event lưu lại khi tài khoản được tạo, chỉnh sửa.
Hình 03 - Các Event ID liên quan đến quản lý tài khoản trên Windows
2.2) Event đăng nhập, đăng xuất tài khoản: sinh ra khi có thao tác đăng nhập hay đăng xuất tài khoản.
Hình 04 - Các Event ID liên quan đăng nhập, đăng xuất tài khoản
2.3) Event về truy cập share folder/object: mặc định log này không được lưu, để bật log này bạn truy cập vào "Group Policy Management" để chỉnh sửa (vào RUN gõ gpedit.msc để mở Group Policy), đường dẫn cấu hình: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Object Access -> Audit File Share.
Các Event ID cho Object Sharing có ID từ 5140 đến 5145.
2.4) Event về Scheduled Task: các event liên quan đến lập lịch.
Hình 05 - Các Event ID liên quan Scheduled Task trên Windows
2.5) Event về quản lý chính sách (policy audit): sinh ra khi các thay đổi policy trên máy tính.
Event ID liên quan về policy có ID là 1102 và 4719.
2.6) Event về các dịch vụ trên windows (windows service): sinh ra khi liên quan các dịch vụ chạy trên windows, mặc định không được enabled, muốn cấu hình bạn vào GPO cập nhật theo đường dẫn sau "Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies > System > Audit Security System Extension".
Nếu OS là Windows 10 và Server 2016/2019 thì Event ID là 4697 ở mục Security Event Log.
Hình 06 - Các Event ID liên quan dịch vụ chạy trên Windows (Windows Services)
2.7) Event về LAN, Wireless: sinh ra khi liên quan đến các kết nối mạng.
Hình 07 - Các Event ID liên quan kết nối mạng LAN, Wireless trên Windows
2.8) Event về tiến trình (process audit): liên quan các tiến trình trên windows. Mặc định log này không được bât, để cấu hình bạn vào chỉnh trong Group Policy theo dường dẫn sau "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy -> Audit process tracking".
Hình 08 - Các Event ID liên quan quản lý tiến trình trên Windows
2.9) Event về Windows Filtering Platform (WFP): thường gặp khi có ứng dụng chạy trên máy bị block/accept như firewall.
Cái này quan trọng khi điều tra xem tiến trình nào đang kết nối ra C2 nào.
Hình 09 - Các Event ID liên quan kết nối trên máy tính Windows
2.9) Event về thực thi chương trình (execute program): một số event thường gặp khi điều tra về các tiến trình lạ được thực thi liên quan đến các action của Windows Defender.
Hình 10 - Các Event ID liên quan action của Windows Defender
2.10) Event về PowerShell: lưu lại các event khi powershell được gọi ra và thực hiện câu lệnh. Log này mặc định không được enabled, để enabled log ta vào Group Policy cấu hình đường dẫn sau "Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell".
Event ID của powershell được filter qua 02 ID là 4103 và 4104.
Còn tiếp tục cập nhật...
Trên đây mình tổng hợp một số thông tin về Event Log, để chi tiết minh hoạ hơn về các trường hợp hay gặp để xử lý, truy vết sự cố, mình sẽ cập nhật ứng với các bài viết trong loạt bài "Điều tra vi phạm ANTT".
Mình dịch thuật và cập nhật thông tin có thể không chính xác hay khác với OS / phiên bản, các bạn góp ý giúp ở phần comment nhé.