T1562-006-windows-停止日志采集
来自ATT&CK的描述
攻击者可能试图阻止通常由传感器(可理解为windows日志审核策略)捕获的指标(可理解为告警)或事件被收集和分析。这可能包括恶意篡改或通过篡改控制事件遥测收集和流程的设置来禁用基于主机的传感器,例如Windows事件跟踪(ETW)。 这些设置可以存储在系统中的配置文件中或注册表中,也可以通过管理实用程序(例如PowerShell或Windows Management Instrumentation)进行访问。
可以通过多种方式实现ETW中断,但是最直接的方法是使用PowerShell Set-EtwTraceProvider cmdlet定义条件,或者直接对注册表进行更改。
在基于网络的指标报告中,攻击者可能会阻止与报告相关的流量,以防止进行集中分析。这可以通过多种方式来完成,例如停止负责转发数据的本地进程或创建基于主机的防火墙规则以阻止流量流向负责汇总事件的特定主机,例如安全信息和事件管理(SIEM)产品。
注释:ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。
测试案例
暂无测试案例,可参考其他案例,关停日志转发或更改日志采集策略
检测日志
windows sysmon
测试复现
暂无测试案例,可参考其他案例,关停日志转发或更改日志采集策略
测试留痕
windows sysmon
检测规则/思路
splunk规则
从主机日志转发器检测到缺少告警或者日志的活动。不同的阻止方法可能会导致抓发中断。系统可能突然停止报告所有数据或仅报告某些种类的数据。
根据收集到的主机信息的类型,分析人员可能能够检测到触发了进程停止或连接被阻止的事件。例如,Sysmon将在其配置状态已更改(事件ID 16)时进行记录,并且Windows Management Instrumentation(WMI)可以用于订阅ETW提供程序,该程序记录从特定跟踪会话中删除的任何提供程序。要检测ETW中的更改,您还可以监视包含所有ETW事件提供程序配置的注册表项:HKLM\SYSTEM\CurrentControlSet\Control\WMI\ Autologger\AUTOLOGGER_NAME {{PROVIDER_GUID}}
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=16) OR (EventCode IN (12,13) TargetObject=“HKLM\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Autologger*”) OR (EventCode=1 Image=”*\\logman.exe” CommandLine=”*update trace*”) OR (EventCode=1 Image=”*\\wpr”)//tampering Event Tracing in windows
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\logman.exe” CommandLine=”*query*”) OR (EventCode IN (12,13) TargetObject="HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WINEVT\\Publishers*”) // enumirating the ETW in windows with logman,exe
建议
暂无
参考推荐
MITRE-ATT&CK-T1562-006
https://attack.mitre.org/techniques/T1562/006/
如何利用ETW(Event Tracing for Windows)记录日志