T1070-001-windows-清除事件日志
来自ATT&CK的描述
攻击者可能试图阻止由监测软件或进程捕获到的告警,以及事件日志被收集和分析。这可能包括修改配置文件或注册表项中的监测软件的设置,以达到逃避追踪的目的。
在基于特征监测的情况下,攻击者可以阻止监测特征相关的数据被发送出去,以便于阻止安全人员进行分析。这可以有很多方式实现,例如停止负责转发的进程(splunk转发器、Filebate、rsyslog等)。
具体案例,你可以参考绕过sysmon相关的文章。(PS:英语不好、谷歌翻译真心,,,太难了)。
测试案例
在正常的操作期间内,事件日志不太可能会被刻意清除。但是恶意攻击者可能会通过清除事件日志来尝试掩盖自己的踪迹。当事件日志被清除时,它是可疑的。发现“清除事件日志”时可能意味着有恶意攻击者利用了此项技术。
集中收集事件日志的一个好处就是使攻击者更难以掩盖他们的踪迹,事件转发允许将收集到的系统事件日志发送给多个收集器(splunk、elk等),从而实现冗余事件收集。使用冗余事件收集,可以最大限度的帮助我们发现威胁。
检测日志
windows security
windows system
测试复现
进入windows事件查看器
windows日志>系统日志>清除日志
windows日志>安全日志>清除日志
测试留痕
暂无
检测规则/思路
sigma
title: windows 日志清除
description: win7 and windows server 2003模拟测试结果
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID:
- 1102
- 517
condition: selection
level: medium
title: windows 日志清除
description: win7 模拟测试结果
status: experimental
author: 12306Bro
logsource:
product: windows
service: system
detection:
selection:
EventID: 104
condition: selection
level: medium
建议
暂无
参考推荐
MITRE-ATT&CK-T1070-001