Como muitos sabem, temos investido bastante tempo e pesquisa nos eventos do Windows (EventIDs) aqui na
Clavis. No caso, um que chama atenção por fornecer bastante informação é o eventid
4688, que se refere a criação de novos processos, o qual muito utilizado por um atacante com acesso a máquina.
Se repararmos nesse evento, notaremos que a parte do Command Line está vazia, pois essa opção não sei por qual motivo não vem habilitada por padrão e ela que realmente faz todo o diferencial para um analista de segurança diferenciar comandos maliciosos ou não (logicamente exemplo bem simplista aqui).
Abaixo duas tabelas baseados apenas no NewProcess e no CommandLine completo para os mesmos eventos, isso em uma máquina laboratório com minimo acesso no momento, porém máquina de testes. Da pra se notar como a quantidade de informação é BEM diferentes com e sem o KB, lembrando que as infos se completam, pois no New Process Name tem o Path completo do caminho, o que pode ser o indicador do processo malicioso também.
Mapeando somente Novo Processo
Mapeando o Command Line
Para ter essa opção, precisa instalar um kb e habilitar após isso no template para envio do comando completo. Abaixo os links possuem isso muito bem explicado.
Caso faça monitoramento dos novos processos, certamente aplicar esse KB é bem interessante e se não faz o uso de monitorar esse evento, realmente recomendo. Nós utilizamos para armazenar o Elastic Stack no caso.
E para finalizar, não sei porque esse kb e templates não vem habilatidos por padrão, será consumo de recursos ? ** Atualizado - Bem lembrado pelo
Sieira, algumas aplicações infelizmente chamam o command line com usuario/senha e vem desabilitado por padrão.
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
Nenhum comentário:
Postar um comentário