Introduzione all'Event Log Analysis per Blue Team | Nexsys
AlessandraCassighi
10 views
12 slides
Oct 29, 2024
Slide 1 of 12
1
2
3
4
5
6
7
8
9
10
11
12
About This Presentation
Una guida informativa dettagliata sull’analisi dei log degli eventi, che fornisce metodi e strumenti per la gestione dell’informazione.
Slide Content
www.nexsys.it [email protected]
INDICE DEI CONTENUTI
Introduzione all’event log
Analisi di eventi logon di successo
Rilevazione di un attacco di forza bruta
Rilevare la persistenza dagli event log
www.nexsys.it [email protected]
2
3
5
8
11
Introduzione all’event log
Analisi di eventi logon di successo
Rilevazione di un attacco di forza bruta
Rilevare la persistenza dagli event log
www.nexsys.it [email protected]
2
3
5
8
11
INTRODUZIONE ALL’EVENT LOG
Event Log
Nel corso di un'indagine, gli event log dovrebbero essere monitorati in quanto
presentano diverse attività. Lo strumento "Event Viewer" può essere utilizzato per
esaminare in maniera semplice le evidenze offerte dai log.
Tramite l’analisi degli event log di Windows è possibile recuperare informazioni molto
importanti come ad esempio:
Avvio e arresto di servizi
Attività RDP
Modifica dei privilegi dell'utente
Login utente falliti
Queste azioni sono tra le più comuni nei principali attacchi informatici. Pertanto,
l’analisi dell’event log è molto importante per trovare la causa principale dell'attacco
informatico.
Nei sistemi Windows, il raggruppamento principale include tre macro tipologie di event
log: Applicazioni, Sistema e Sicurezza.
www.nexsys.it [email protected]
3
Event Log
Nel corso di un'indagine, gli event log dovrebbero essere monitorati in quanto
presentano diverse attività. Lo strumento "Event Viewer" può essere utilizzato per
esaminare in maniera semplice le evidenze offerte dai log.
Tramite l’analisi degli event log di Windows è possibile recuperare informazioni molto
importanti come ad esempio:
Avvio e arresto di servizi
Attività RDP
Modifica dei privilegi dell'utente
Login utente falliti
Queste azioni sono tra le più comuni nei principali attacchi informatici. Pertanto,
l’analisi dell’event log è molto importante per trovare la causa principale dell'attacco
informatico.
Nei sistemi Windows, il raggruppamento principale include tre macro tipologie di event
log: Applicazioni, Sistema e Sicurezza.
www.nexsys.it [email protected]
3
INTRODUZIONE ALL’EVENT LOG
Applicazione
Fornisce i record dei log relativi alle applicazioni del sistema. Ad esempio, è possibile
trovare gli errori segnalati da un'applicazione antivirus in esecuzione sul sistema.
Un altro esempio è il log generato da edgeupdate.
Sistema
È l'area in cui si trovano i log creati dai componenti di base del sistema operativo. Ad
esempio, qui si trovano i log delle operazioni di carico e scarico dei driver.
Sicurezza
Qui si trovano i record relativi all'autenticazione e alla sicurezza. Questa è la parte più
interessante ai fini di indagini in ottica Blue Team.
www.nexsys.it [email protected]
4
Applicazione
Fornisce i record dei log relativi alle applicazioni del sistema. Ad esempio, è possibile
trovare gli errori segnalati da un'applicazione antivirus in esecuzione sul sistema.
Un altro esempio è il log generato da edgeupdate.
Sistema
È l'area in cui si trovano i log creati dai componenti di base del sistema operativo. Ad
esempio, qui si trovano i log delle operazioni di carico e scarico dei driver.
Sicurezza
Qui si trovano i record relativi all'autenticazione e alla sicurezza. Questa è la parte più
interessante ai fini di indagini in ottica Blue Team.
www.nexsys.it [email protected]
4
ANALISI DI EVENTI LOGON
DI SUCCESSO
Guida rapida agli event log
Ogni event log ha un proprio valore ID. Filtrare, analizzare e cercare il titolo del log è
più difficile; quindi, per facilità, si potrebbe usare il valore ID.
Indagine sui Record di accesso (Login)
Considerando la situazione generale, un'attività di login compare in tutti gli attacchi
informatici riusciti o meno. Tramite un attacco, si vuole spesso accedere al server per
prendere il controllo del sistema. A questo scopo, l’autore dell’attacco può eseguirlo
ricorrendo alla forza bruta o accedendo direttamente essendo in possesso della
password. In entrambi i casi (login riuscito / tentativo di login non riuscito) viene creato
un log.
Consideriamo ad esempio un hacker che si è collegato al server dopo un attacco di
forza bruta.
Per analizzare meglio ciò che l'aggressore ha fatto dopo essere entrato nel sistema,
dobbiamo trovare la data di accesso. A tal fine, abbiamo bisogno che compaia tale
scrittura: "Event ID 4624 - An account was successfully logged on". (Event ID 4624 –
Un account è stato registrato con successo”).
www.nexsys.it [email protected]
5
DI SUCCESSO
Guida rapida agli event log
Ogni event log ha un proprio valore ID. Filtrare, analizzare e cercare il titolo del log è
più difficile; quindi, per facilità, si potrebbe usare il valore ID.
Indagine sui Record di accesso (Login)
Considerando la situazione generale, un'attività di login compare in tutti gli attacchi
informatici riusciti o meno. Tramite un attacco, si vuole spesso accedere al server per
prendere il controllo del sistema. A questo scopo, l’autore dell’attacco può eseguirlo
ricorrendo alla forza bruta o accedendo direttamente essendo in possesso della
password. In entrambi i casi (login riuscito / tentativo di login non riuscito) viene creato
un log.
Consideriamo ad esempio un hacker che si è collegato al server dopo un attacco di
forza bruta.
Per analizzare meglio ciò che l'aggressore ha fatto dopo essere entrato nel sistema,
dobbiamo trovare la data di accesso. A tal fine, abbiamo bisogno che compaia tale
scrittura: "Event ID 4624 - An account was successfully logged on". (Event ID 4624 –
Un account è stato registrato con successo”).
www.nexsys.it [email protected]
5
ANALISI DI EVENTI LOGON
DI SUCCESSO
Per ottenere il risultato, aprire il "Event Viewer" e selezionare i log relativi alla
"Sicurezza".
www.nexsys.it [email protected]
A questo punto si crea un filtro per l’Event ID "4624".
6
DI SUCCESSO
Per ottenere il risultato, aprire il "Event Viewer" e selezionare i log relativi alla
"Sicurezza".
www.nexsys.it [email protected]
A questo punto si crea un filtro per l’Event ID "4624".
6
ANALISI DI EVENTI LOGON
DI SUCCESSO
www.nexsys.it [email protected]
È possibile notare come il numero dei log sia diminuito in modo significativo in quanto
vengono elencati solo i log delle attività di accesso riuscite. Osservando i dettagli dei log, si
osserva che l'utente "Lets Defend Test" si è collegato per la prima volta il 23/02/2021 alle
22:17.
Anche guardando al campo "Tipo di accesso", si nota il valore 10. Questo indica che la
connessione è avvenuta tramite "RemoteDesktop Services" o "Remote Desktop Protocol".
Il significato dei valori di tipo logon è riportato nella pagina di Microsoft.
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-
4624
Nella prossima sezione, andremo ad analizzare l’attacco di forza bruta messo in atto
dall’hacker prima di effettuare l'accesso.
7
DI SUCCESSO
www.nexsys.it [email protected]
È possibile notare come il numero dei log sia diminuito in modo significativo in quanto
vengono elencati solo i log delle attività di accesso riuscite. Osservando i dettagli dei log, si
osserva che l'utente "Lets Defend Test" si è collegato per la prima volta il 23/02/2021 alle
22:17.
Anche guardando al campo "Tipo di accesso", si nota il valore 10. Questo indica che la
connessione è avvenuta tramite "RemoteDesktop Services" o "Remote Desktop Protocol".
Il significato dei valori di tipo logon è riportato nella pagina di Microsoft.
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-
4624
Nella prossima sezione, andremo ad analizzare l’attacco di forza bruta messo in atto
dall’hacker prima di effettuare l'accesso.
7
RILEVAMENTO DI UN ATTACCO DI
FORZA BRUTA
www.nexsys.it [email protected]
In questa sezione, si cattura un hacker che si trova nella fase di spostamento, il quale cerca
di passare da un computer ad un altro computer con la forza bruta tramite RDP.
Quando un'operazione di login su RDP non va a buon fine, viene generato il log "Event ID
4625 - An account failed to log on" (Event ID 4625 – Un account non è riuscito ad
accedere). Seguendo questo log, è possibile rintracciare l'aggressore.
8
FORZA BRUTA
www.nexsys.it [email protected]
In questa sezione, si cattura un hacker che si trova nella fase di spostamento, il quale cerca
di passare da un computer ad un altro computer con la forza bruta tramite RDP.
Quando un'operazione di login su RDP non va a buon fine, viene generato il log "Event ID
4625 - An account failed to log on" (Event ID 4625 – Un account non è riuscito ad
accedere). Seguendo questo log, è possibile rintracciare l'aggressore.
8
RILEVAMENTO DI UN ATTACCO DI
FORZA BRUTA
www.nexsys.it [email protected]
In seguito all’operazione di filtraggio, vediamo 4 log con l’Event ID 4625.
Osservando le date, si nota che i log vengono creati uno dopo l'altro. Osservando i dettagli,
si nota che tutti i log sono stati creati per l'utente "LetsDefendTest".
Di conseguenza, possiamo dedurre che l’hacker abbia tentato senza successo di effettuare
il login per 4 volte. Per capire se l'attacco sia riuscito o meno, possiamo cercare i 4624 log
visti nella sezione precedente.
9
FORZA BRUTA
www.nexsys.it [email protected]
In seguito all’operazione di filtraggio, vediamo 4 log con l’Event ID 4625.
Osservando le date, si nota che i log vengono creati uno dopo l'altro. Osservando i dettagli,
si nota che tutti i log sono stati creati per l'utente "LetsDefendTest".
Di conseguenza, possiamo dedurre che l’hacker abbia tentato senza successo di effettuare
il login per 4 volte. Per capire se l'attacco sia riuscito o meno, possiamo cercare i 4624 log
visti nella sezione precedente.
9
RILEVAMENTO DI UN ATTACCO DI
FORZA BRUTA
www.nexsys.it [email protected]
Come è possibile notare alla luce dei risultati, l’hacker è riuscito a connettersi al sistema con
il log 4624 dopo il log 4625.
10
FORZA BRUTA
www.nexsys.it [email protected]
Come è possibile notare alla luce dei risultati, l’hacker è riuscito a connettersi al sistema con
il log 4624 dopo il log 4625.
10
RILEVARE LA PERSISTENZA DAGLI
EVENT LOG
www.nexsys.it [email protected]
Un attaccante applica vari metodi per garantire la persistenza nel sistema. Uno di questi è
la creazione di un "task di pianificazione" o la modifica di un task esistente.
Pianificazione delle attività
Come analisti di sicurezza, possiamo accedere ai registri relativi all'attività di pianificazione
da "Applications and Services Logs-Microsoft-Windows - TaskScheduler%
Operational.evtx".
I seguenti 2 Event ID ci renderanno il lavoro più semplice:
Event ID 4698 - Un'attività pianificata è stata creata
Event ID 4702 - Un'attività pianificata è stata aggiornata
Per prima cosa, possiamo esaminare le attività appena create filtrando “4698”. Qui
possiamo vedere le attività di pianificazione appena create.
11
EVENT LOG
www.nexsys.it [email protected]
Un attaccante applica vari metodi per garantire la persistenza nel sistema. Uno di questi è
la creazione di un "task di pianificazione" o la modifica di un task esistente.
Pianificazione delle attività
Come analisti di sicurezza, possiamo accedere ai registri relativi all'attività di pianificazione
da "Applications and Services Logs-Microsoft-Windows - TaskScheduler%
Operational.evtx".
I seguenti 2 Event ID ci renderanno il lavoro più semplice:
Event ID 4698 - Un'attività pianificata è stata creata
Event ID 4702 - Un'attività pianificata è stata aggiornata
Per prima cosa, possiamo esaminare le attività appena create filtrando “4698”. Qui
possiamo vedere le attività di pianificazione appena create.
11
RILEVARE LA PERSISTENZA DAGLI
EVENT LOG
www.nexsys.it [email protected]
Come emerge dall’immagine, è stato creato un task che crea una reverse shell.
Servizio
Quando viene aggiunto un nuovo servizio al sistema, viene generato l’Event ID 4697: È
stato installato un servizio nel log di sistema. Si potrebbe desiderare di esaminare i servizi
creati con un nome o un file sospetto relativi ad una data sospetta.
Registro di sistema
Se si sospetta che un servizio persistente sia stato ottenuto modificando i valori del
Registro di sistema, si può cercare il log “A registry value was modified” (il valore del
registro è stato modificato) corrispondente all'Event ID 4657.
Approfondisci la Security Information and Event
Management, diventa un esperto di sicurezza con il
Corso Cybersecurity: Blue Team – Difendi la tua rete
Dedicato a professionisti IT e appassionati di sicurezza per
sviluppare in modo più preciso le proprie abilità
informatiche difensive pratiche.
12
EVENT LOG
www.nexsys.it [email protected]
Come emerge dall’immagine, è stato creato un task che crea una reverse shell.
Servizio
Quando viene aggiunto un nuovo servizio al sistema, viene generato l’Event ID 4697: È
stato installato un servizio nel log di sistema. Si potrebbe desiderare di esaminare i servizi
creati con un nome o un file sospetto relativi ad una data sospetta.
Registro di sistema
Se si sospetta che un servizio persistente sia stato ottenuto modificando i valori del
Registro di sistema, si può cercare il log “A registry value was modified” (il valore del
registro è stato modificato) corrispondente all'Event ID 4657.
Approfondisci la Security Information and Event
Management, diventa un esperto di sicurezza con il
Corso Cybersecurity: Blue Team – Difendi la tua rete
Dedicato a professionisti IT e appassionati di sicurezza per
sviluppare in modo più preciso le proprie abilità
informatiche difensive pratiche.
12
Download
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 10
- Slides 12
- Age 407 days
Related Slideshows
32
figurative-language power point.pptththtrht
acecamero20
21 views
22
Figurative-Language-powerpoint.pptgttgth
acecamero20
24 views
44
Plasma proteins functions electroforesis - Copy.pptx
DratoshKatiyar
22 views
2
FORMATO 4. PLANTEAMIENTO DEL PROBLEMA. 4 Oct. 2022.ppt
LuisLopez350618
20 views
4
Cristiano Ronaldo jugador portugués, la leyenda
laparchizacorp
20 views
10
🎮✨ Top 10 Most Used Software Tools by Indie Game Developers (2025 Edition)
cheapersgamecomcare
19 views