JetHabr Dec 14 2023 at 15:47

Как обнаружить хакера на этапе дампа учетных данных в Windows?

10 min

13K

Инфосистемы Джет corporate blogInformation Security*

✏️ Technotext 2023

+15

Comments 7

AlexeyK77 Dec 14 2023 at 16:22

Круть, спасибо!
По хорошему всем этим должен заниматься endpoint security из коробки, а не заставлять людей делать закат солнца вручную вместо EDR.

HorekRediskovich Dec 15 2023 at 18:18

Интересная статья но для профи, для новичков сложно ибо не понятно каким образом автор к примеру фильтрует:

Event ID = 4656
Object Type = Process
Object Name = *lsass.exe
Access List = *%%4484*

В стандартным методом в журнале Безопасности, Фильтр текущего журнала, получается указать только Event ID = 4656

Как вызвать такое окно тоже не понятно:

Где включаются вот такие политики аудита тоже не понятно:

Для логирования командной строки процесса необходимо дополнительно включить политики аудита:
Process Tracking – Process Creation
System – Audit Process Creation – Include command line in process creation events

AlexeyK77 Dec 15 2023 at 19:51

авторы показали лишь пруф, а в реальности эти события вычитываются централизовано и обрабатываются автоматически siem-системой, параметры типа Object Type извлекаются из события парсером для анализа.

HorekRediskovich Dec 15 2023 at 20:08

Понял, спасибо за ответ.

lera_shott Dec 25 2023 at 08:28

Добрый день! Как верно подметил @AlexeyK77, фильтры написаны на псевдокоде для использования в SIEM-системах.

"Как вызвать такое окно": необходимо зайти в консоль Управление групповыми политиками, создать объект ГПО и перейти в его настройку. Пройти по пути "Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Реестр". Далее нажать правой кнопкой мыши и выбрать "Добавить раздел".

Там набрать путь "MACHINE\SYSTEM\CurrentControlSet\Control\Lsa", после этого нажать "Дополнительно".

Перейти во вкладку "Аудит" и нажать "Добавить" - появится окно, которое указано в статье.

"Где включаются такие политики аудита": необходимо в редакторе управления групповыми политиками пройти по пути "Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Конфигурация расширенной политики аудита\Политики аудита\Подробное отслеживание" (Process Tracking – Process Creation)

Необходимо в редакторе управления групповыми политиками пройти по пути "Конфигурация компьютера\Политики\Административный шаблоны\Система\Аудит создания процессов" (System – Audit Process Creation – Include command line in process creation events)

HorekRediskovich Dec 25 2023 at 17:50

Спасибо за пояснения

ElvenSailor Aug 13 at 14:17

И, есть ещё нюанс: при включении таких аудитов заметно возрастёт объём логов на DC, и количество записей на диск в единицу времени.

Вроде бы пустяк, а может неприятно удивить, если домен поднимали олдскульные админы ("да что он там ест, это же домен-контроллер") и "пожадничали" место на дисках.