Thursday, July 16, 2020

Điều tra tiến trình gây kết nối lạ trên máy tính Windows

0

Hôm nay có một case sự cố mà trên SIEM không có thông tin nên chia sẻ cùng anh em.

Thông thường để giám sát kết nối của các endpoint đến các C&C thì trên SIEM mình tạo list IP và domain blacklist để biết được thiết bị nào đang kết nối ra và kết nối vào thời gian nào từ đó xem ai đang sử dụng thiết bị đó (máy tính, điện thoại,...) và tiến hành kiểm tra, bóc gỡ mã độc (nếu có).

Hôm nay đang viết tài liệu chợt có email anh ngồi bên cùng team báo có alert bắn về rằng có 1 IP đang kết nối đến IP nằm trong blacklist cần kiểm tra gấp. Theo thông tin sơ bộ thì IP C2 này thuộc chiến dịch X mà đã add vào hệ thống cách đây không lâu, qua Source IP đã tìm ra được người dùng đang sử dụng và đang online, tiến hành contact và yêu cầu accept remote kết nối vào kiểm tra máy tính.

Bằng các công cụ không tìm ra tiến trình nào lạ chạy trên máy, quái lạ. Quay sang tìm history của trình duyệt xem có kết nối đến trang nào không (hay xảy ra trường hợp người dùng tìm kiếm thông tin trên mạng sau đó click vào link/ảnh bị nhảy popup quảng cáo), kết quả cũng không có thông tin gì.

Thôi thì bật Event Log lên xem có gì không, tiến hành lọc theo các Event ID từ 5152 đến 5159 (là các Event ID liên quan kết nối), lướt vào thời gian mình cần thì có kết nối như hình dưới đúng cái mình cần (để tìm nhanh anh em có thể Ctrl + F để gõ thẳng IP ở trên).

Hình ảnh hiển thị kết nối của tiến trình lạ trên Windows

Lần theo đường dẫn thì file này đã bị xoá bởi AV, hèn gì tìm không ra nên quay ra copy bản copy trong mục Quarantine của AV về phân tích hành vi vậy (AV chỗ mình có phần Quarantine là nơi lưu trữ các file bị xoá do nghi ngờ virus), ngoài ra anh em đừng quên check nguồn gốc file này tại sao chui được vào máy nhé.

Như vậy ta có kinh nghiệm xử lý loại sự cố này như sau:

1. Các loại dữ liệu kết nối thì có thể tìm bằng các tool thông thường (đã được phê duyệt), ví dụ nếu malware còn tồn tại và kết nối thường xuyên có thể xem bằng tool free của Microsoft là TCPView hoặc Procmon (Process Monitor), check các file lạ mình thường dùng các tool như Autoruns, Process Explorer,...

2. Có thể tìm trong phần history của browser, có thể dùng "Browsing History View" của Nirsoft (nếu được phê duyệt sử dụng).

3. Có thể tìm trong Event Log thông qua các ID từ 5152 đến 5159 (mình hay tìm 5152, 5156, 5157), cái này có hạn chế là Event Log trong Windows không lưu được nhiều log, có thể bị rotate mà cắt mất phần mình cần, ví dụ tìm 10 ngày trước chưa chắc đã có do bị xoá rồi.

4. Để khắc phục ý 3, các đơn vị SOC nên cân nhắc lấy log này đẩy về SIEM để lưu được lâu hơn, có dữ liệu mà điều tra chứ điều tra ko đủ log khó lắm, chỉ còn dùng cách ngoại cảm thôi.

Thôi ra làm trận Pes đã.



Thursday, July 9, 2020

Kỹ thuật phân tích Event Log trên Windows

2

Chào mọi người, nay ngồi rảnh gõ mấy dòng lưu lại sau cần tìm cho nhanh, có thể các thông tin còn thiếu sót nhưng những thông tin này mình đã từng làm việc với nó.

Loạt bài này mình sẽ viết một ít bài về Điều tra vi phạm ANTT, gặp cái nào viết cái đó và sẽ đi từ từ. Bài này có tham khảo (dịch thuật) có tổng hợp kinh nghiệm + chỗ khác về "Windows Event Log Analysis" tạm dịch là "Kỹ thuật phân tích Event Log trên Windows", bản gốc tại đây: https://www.appliedincidentresponse.com/windows-event-log-analyst-reference/

Hình 01 - Giao diện của Event Log trên Windows

Đầu tiên giới thiệu về Event Log trên Windows thì nó là nơi mà những hoạt động trên máy tính được lưu lại, ví dụ như ai đăng nhập vào máy, đăng nhập thời gian nào, đang chạy tiến trình gì, kết nối đi đâu,...đều được lưu lại. Đây cũng là những câu hỏi thường gặp trong vấn đề điều tra truy vết (thuật ngữ chuyên ngành gọi là forensic).

Một số log được bật (enabled) lên theo cấu hình mặc định của Windows, một số lại không được bât lên (disabled) có thể do log ghi ra quá nhiều gây chiếm tài nguyên hệ thống. Ví dụ như log đăng nhập, kết nối thì được enabled mặc định còn log cắm thiết bị ngoại vi qua cổng USB thì lại bị disabled. Để bật lên các bạn có thể cấu hình trong registry của hệ điều hành.

Mình sẽ tổng hợp một số nội dung sau:

1. Định dạng cấu trúc của Event Log.

2. Một số log thường gặp - định danh qua ID (có bổ sung dần).

Nội dung chi tiết: 

1. Định dạng cấu trúc của event log:

Event Log của Windows được lưu trữ ở thư mục mặc định tại đường dẫn  %SystemRoot%\System32\winevt\logs, các bạn có thể truy cập vào trực tiếp đường dẫn hoặc xem qua trình Event Viewer, để bật trình Event Viewer bạn có thể vào RUN gõ keyword "eventvwr".

Cấu trúc của log có các trường sau:

Hình 01 - Các trường trong Event Log

Mặc định lượng log được lưu trong event log này không được nhiều, vì thế hay bị mất nếu bạn tìm quá xa thời gian phát hiện ra sự cố, thay vào đó các bạn có thể đẩy (có thể sử dụng syslog, winlogbeat,...) về SIEM để giám sát, loạt bài SIEM mình sẽ viết sau và sẽ link đến.    

2. Một số log thường gặp để xử lý sự cố dựa vào Event ID:

Tuỳ vào trường hợp của mình mà các bạn lọc được nhanh hơn dựa vào Event ID như hình dưới

Hình 02 - Hướng dẫn filter dựa vào Event ID

2.1) Event liên quan đến quản lý tài khoản: là các event lưu lại khi tài khoản được tạo, chỉnh sửa.

Hình 03 - Các Event ID liên quan đến quản lý tài khoản trên Windows

2.2) Event đăng nhập, đăng xuất tài khoản: sinh ra khi có thao tác đăng nhập hay đăng xuất tài khoản.

Hình 04 - Các Event ID liên quan đăng nhập, đăng xuất tài khoản  

2.3) Event về truy cập share folder/object: mặc định log này không được lưu, để bật log này bạn truy cập vào "Group Policy Management" để chỉnh sửa (vào RUN gõ gpedit.msc để mở Group Policy), đường dẫn cấu hình: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Object Access -> Audit File Share.

Các Event ID cho Object Sharing có ID từ 5140 đến 5145.

2.4) Event về Scheduled Task: các event liên quan đến lập lịch.

Hình 05 - Các Event ID liên quan Scheduled Task trên Windows

2.5) Event về quản lý chính sách (policy audit): sinh ra khi các thay đổi policy trên máy tính.

Event ID liên quan về policy có ID là 11024719.

2.6) Event về các dịch vụ trên windows (windows service): sinh ra khi liên quan các dịch vụ chạy trên windows, mặc định không được enabled, muốn cấu hình bạn vào GPO cập nhật theo đường dẫn sau "Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies > System > Audit Security System Extension".

Nếu OS là Windows 10 và Server 2016/2019 thì Event ID là 4697 ở mục Security Event Log.

Hình 06 - Các Event ID liên quan dịch vụ chạy trên Windows (Windows Services)

2.7) Event về LAN, Wireless: sinh ra khi liên quan đến các kết nối mạng.

Hình 07 - Các Event ID liên quan kết nối mạng LAN, Wireless trên Windows

2.8) Event về tiến trình (process audit): liên quan các tiến trình trên windows. Mặc định log này không được bât, để cấu hình bạn vào chỉnh trong Group Policy theo dường dẫn sau "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy -> Audit process tracking".

Hình 08 - Các Event ID liên quan quản lý tiến trình trên Windows

2.9) Event về Windows Filtering Platform (WFP): thường gặp khi có ứng dụng chạy trên máy bị block/accept như firewall.

Cái này quan trọng khi điều tra xem tiến trình nào đang kết nối ra C2 nào.

Hình 09 - Các Event ID liên quan kết nối trên máy tính Windows

2.9) Event về thực thi chương trình (execute program): một số event thường gặp khi điều tra về các tiến trình lạ được thực thi liên quan đến các action của Windows Defender.

Hình 10 - Các Event ID liên quan action của Windows Defender

2.10) Event về PowerShell: lưu lại các event khi powershell được gọi ra và thực hiện câu lệnh. Log này mặc định không được enabled, để enabled log ta vào Group Policy cấu hình đường dẫn sau "Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell".

Event ID của powershell được filter qua 02 ID là 41034104.

Còn tiếp tục cập nhật...

Trên đây mình tổng hợp một số thông tin về Event Log, để chi tiết minh hoạ hơn về các trường hợp hay gặp để xử lý, truy vết sự cố, mình sẽ cập nhật ứng với các bài viết trong loạt bài "Điều tra vi phạm ANTT".

Mình dịch thuật và cập nhật thông tin có thể không chính xác hay khác với OS / phiên bản, các bạn góp ý giúp ở phần comment nhé.