JetHabr 14 дек 2023 в 15:47

Как обнаружить хакера на этапе дампа учетных данных в Windows?

10 мин

7.6K

Блог компании Инфосистемы ДжетИнформационная безопасность*

✏️ Технотекст 2023

+15

Комментарии 6

AlexeyK77 14 дек 2023 в 16:22

Круть, спасибо!
По хорошему всем этим должен заниматься endpoint security из коробки, а не заставлять людей делать закат солнца вручную вместо EDR.

HorekRediskovich 15 дек 2023 в 18:18

Интересная статья но для профи, для новичков сложно ибо не понятно каким образом автор к примеру фильтрует:

Event ID = 4656
Object Type = Process
Object Name = *lsass.exe
Access List = *%%4484*

В стандартным методом в журнале Безопасности, Фильтр текущего журнала, получается указать только Event ID = 4656

Как вызвать такое окно тоже не понятно:

Где включаются вот такие политики аудита тоже не понятно:

Для логирования командной строки процесса необходимо дополнительно включить политики аудита:
Process Tracking – Process Creation
System – Audit Process Creation – Include command line in process creation events

AlexeyK77 15 дек 2023 в 19:51

авторы показали лишь пруф, а в реальности эти события вычитываются централизовано и обрабатываются автоматически siem-системой, параметры типа Object Type извлекаются из события парсером для анализа.

HorekRediskovich 15 дек 2023 в 20:08

Понял, спасибо за ответ.

lera_shott 25 дек 2023 в 08:28

Добрый день! Как верно подметил @AlexeyK77, фильтры написаны на псевдокоде для использования в SIEM-системах.

"Как вызвать такое окно": необходимо зайти в консоль Управление групповыми политиками, создать объект ГПО и перейти в его настройку. Пройти по пути "Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Реестр". Далее нажать правой кнопкой мыши и выбрать "Добавить раздел".

Там набрать путь "MACHINE\SYSTEM\CurrentControlSet\Control\Lsa", после этого нажать "Дополнительно".

Перейти во вкладку "Аудит" и нажать "Добавить" - появится окно, которое указано в статье.

"Где включаются такие политики аудита": необходимо в редакторе управления групповыми политиками пройти по пути "Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Конфигурация расширенной политики аудита\Политики аудита\Подробное отслеживание" (Process Tracking – Process Creation)

Необходимо в редакторе управления групповыми политиками пройти по пути "Конфигурация компьютера\Политики\Административный шаблоны\Система\Аудит создания процессов" (System – Audit Process Creation – Include command line in process creation events)

HorekRediskovich 25 дек 2023 в 17:50

Спасибо за пояснения

Зарегистрируйтесь на Хабре, чтобы оставить комментарий