跳转至

T1070-001-windows-清除事件日志

来自ATT&CK的描述

攻击者可能试图阻止由监测软件或进程捕获到的告警,以及事件日志被收集和分析。这可能包括修改配置文件或注册表项中的监测软件的设置,以达到逃避追踪的目的。

在基于特征监测的情况下,攻击者可以阻止监测特征相关的数据被发送出去,以便于阻止安全人员进行分析。这可以有很多方式实现,例如停止负责转发的进程(splunk转发器、Filebate、rsyslog等)。

具体案例,你可以参考绕过sysmon相关的文章。(PS:英语不好、谷歌翻译真心,,,太难了)。

测试案例

在正常的操作期间内,事件日志不太可能会被刻意清除。但是恶意攻击者可能会通过清除事件日志来尝试掩盖自己的踪迹。当事件日志被清除时,它是可疑的。发现“清除事件日志”时可能意味着有恶意攻击者利用了此项技术。

集中收集事件日志的一个好处就是使攻击者更难以掩盖他们的踪迹,事件转发允许将收集到的系统事件日志发送给多个收集器(splunk、elk等),从而实现冗余事件收集。使用冗余事件收集,可以最大限度的帮助我们发现威胁。

检测日志

windows security

windows system

测试复现

进入windows事件查看器

windows日志>系统日志>清除日志

windows日志>安全日志>清除日志

测试留痕

暂无

检测规则/思路

sigma

title: windows 日志清除
description: win7 and windows server 2003模拟测试结果
status: experimental
author: 12306Bro
logsource:
​    product: windows
​    service: security
detection:
​    selection:
​        EventID:
​                - 1102
​                - 517
​    condition: selection
level: medium
title: windows 日志清除
description: win7 模拟测试结果
status: experimental
author: 12306Bro
logsource:
​    product: windows
​    service: system
detection:
​    selection:
​        EventID: 104
​    condition: selection
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1070-001

https://attack.mitre.org/techniques/T1070/001/