Уклонение от обнаружения: Очищаем логи Windows (T1562.002)
Life-Hack [Жизнь-Взлом]/ХакингВ этой статье речь пойдет о том как удаить следы вашего нежелательного присутствия в системах семейства Windows.
Defense Evasion - это cyber kill chain attack стратегия , которая включает методы, используемые злоумышленниками для предотвращения обнаружения во время их деятельности.
Немного подробностей:
- MITRE TACTIC: Defenses Evasion (TA0005)
- MITRE TECHNIQUE: Impair Defence (T1562)
- SUBTITLE: Disable Windows Event Logging (T1562.002)
Чтобы ограничить объем данных, которые могут использоваться для обнаружения и аудита, злоумышленник может отключить ведение журнала событий Windows. Попытки входа в систему, разработка процессов, поведение других пользователей и устройств записываются в журналы событий Windows. Программное обеспечение и аналитики используют эту информацию для обнаружения артефактов.
Очистка Event log с помощью команды Wevtutil
Это системный инструмент, позволяющий просматривать подробные сведения о журналах событий и издателях. Вы также можете использовать эту команду для установки и удаления манифестов событий, экспорта, архивирования и очистки журналов.
Попробуем удалить с помощью него логи в категории Security.
wevtutil cl Security
Результат должен быть таким:
Записалось новое событие, но удалены все старые, это событие указывает на то, что логи были почищены.
Очистка Event log с помощью Powershell
Другой метод - использовать PowerShell для очистки журналов, поскольку вы можете заметить, что на компьютере есть журнал System и Security.
Запустите Powershell от имени администратора и выполните следующие команды:
Clear-Eventlog -LogName Security Clear-Eventlog -LogName System
Как результат - видим следующее:
Существует более унивесальный способ с помощью Powershell очистить все журналы событий, выполняем данную команду от имени администратора:
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
Phantom
Этот скрипт просматривает стеки потоков процесса службы Event Log (в частности, svchost.exe) определяет потоки журнала событий и уничтожает те потоки, которые используются службой журнала событий. Таким образом, система не сможет собирать логи, и в то же время служба Event Log будет работать.
Скачать его можно тут - Phantom.
Скачиваем данный скрипт и запускаем, предварительно выполнив команду в powershell:
powershell -ep bypass
Bypass – разрешён запуск любых PS файлов (предупреждения не выводятся) – эта политика обычно используется для автоматического запуска PS скриптов без вывода каких-либо уведомлений (например при запуске через GPO, SCCM, планировщик и т.д.) и не рекомендуется для постоянного использования.
Запускаем непосредственно выпонение скрипта Phant0m:
Import-Module .\Invoke-Phant0m.ps1 Invoke-Phant0m
Очистка следов Phant0m:
Write-Host "NEED TO Restart-Computer TO ENSURE LOGGING RETURNS" -fore red Remove-Item "$env:TEMP\Invoke-Phant0m.ps1" -ErrorAction Ignore
Mimikatz
Как мы можем забыть о Mimikatz, когда речь идет о Red Team? Mimikatz - наиболее эффективный метод, позволяющий не только украсть учетные данные, но и очистить журнал из средства просмотра событий.
Запустите mimikatz от имени администратора и выполните следующие команды:
privilege::debug event::clear
Записи журналов успешно очищаются.
MiniNT registry key
Вы можете поиграть с реестром, создать новый раздел реестра, как указано ниже, и перезагрузить компьютер, чтобы переопределить ветви реестра.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt"
Этот ключ отключает программу просмотра событий и, таким образом, ограничивает создание журналов.
Немного подробностей:
- К сожалению, наличие ключа реестра MiniNT заставляет различные компоненты Windows думать, что они работают в среде предустановки Windows. Примечательно, что наличие ключа нарушает работу средства просмотра событий - попробуйте открыть любой журнал, и вы увидите следующее очень бесполезное сообщение об ошибке: Event Viewer cannot open the event log or custom view. Verify that Event Log service is running or query is too long. The request is not supported (50)
Удалив данный ключ из реестра, работа Event Viewer приходит в норму.
PowerShell Empire
PowerShell Empire также можно использовать для очистки журналов, классификации потоков журнала событий и уничтожения потоков службы журнала событий.
Используйте следующую команду, чтобы запустить модуль для активных агентов:
usemodule management/phant0m execute
Metasploit
И последнее, но не менее важное: у нас есть фреймворк Metasploit для очистки журналов приложений, безопасности и системных журналов из средства просмотра событий.
В сеансе meterperter вы можете выполнить следующую команду:
clearev