Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленники могут отключить регистрацию событий Windows, чтобы ограничить количество данных, которые могут быть использованы для обнаружения и аудита. Журналы событий Windows записывают действия пользователей и системы, такие как попытки входа в систему, создание процессов и многое другое.(Цитата: Windows Log Events) Эти данные используются инструментами безопасности и аналитиками для создания обнаружений.
Служба EventLog ведет журналы событий от различных системных компонентов и приложений.(Цитата: EventLog_Core_Technologies) По умолчанию служба автоматически запускается при включении системы. Политика аудита, поддерживаемая локальной политикой безопасности (secpol.msc), определяет, какие системные события регистрирует служба EventLog. Параметры политики аудита безопасности можно изменить, запустив secpol.msc, а затем перейдя в Security Settings\Local Policies\Audit Policy для базовых параметров политики аудита или Security Settings\Advanced Audit Policy Configuration для расширенных параметров политики аудита.(Цитата: Audit_Policy_Microsoft)(Цитата: Advanced_sec_audit_policy_settings) auditpol.exe также может использоваться для установки политик аудита.(Цитата: auditpol)
Злоумышленники могут нацелиться на ведение журнала в масштабах всей системы или только определенного приложения. Например, служба Windows EventLog может быть отключена с помощью команд Set-Service -Name EventLog -Status Stopped или sc config eventlog start=disabled (с последующей ручной остановкой службы с помощью Stop-Service -Name EventLog).(Цитата: Disable_Win_Event_Logging)(Цитата: disable_win_evt_logging) Кроме того, службу можно отключить, изменив значение "Start" в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog, а затем перезагрузив систему, чтобы изменения вступили в силу.(Цитата: disable_win_evt_logging)
Существует несколько способов отключения службы EventLog путем изменения ключа реестра. Во-первых, без прав администратора злоумышленники могут изменить значение "Start" в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security, затем перезагрузить систему, чтобы отключить Security EventLog.(Цитата: winser19_file_overwrite_bug_twitter) Во-вторых, обладая привилегиями администратора, злоумышленники могут изменять те же значения в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application, чтобы отключить весь EventLog.(Цитата: disable_win_evt_logging)
Кроме того, злоумышленники могут использовать auditpol и его подкоманды в командной строке, чтобы отключить аудит или очистить политику аудита. Чтобы включить или отключить указанную настройку или категорию аудита, злоумышленники могут использовать параметры /success или /failure. Например, auditpol /set /category: "Account Logon" /success:disable /failure:disable отключает аудит для категории Account Logon.(Цитата: auditpol.exe_STRONTIC)(Цитата: T1562.002_redcanaryco) Чтобы очистить политику аудита, Злоумышленники могут выполнить следующие строки: auditpol /clear /y или auditpol /remove /allusers.(Цитата: T1562.002_redcanaryco)
Отключив регистрацию событий Windows, Злоумышленники могут действовать, оставляя меньше доказательств компрометации.
https://attack.mitre.org/techniques/T1562/002
Визуализация смежных техник для T1562.002
| № | Техника |
|---|
