Как удалить следы активности (логи) при проведении тестирования на проникновение

Аудит ИБ

Как удалить записи событий системных журналах

Один из неменее важных аспектов во время тестирования на проникновение – это убедиться, что в системе не останется никаких следов взлома. Как и у злоумышленника, вашей целью может быть взлом (легитимный) целевой системы или сети, однако при разрыве соединения или выходе из взламываемой системы очень важно, чтобы не оставалось никаких следов в журналах или в других логах. Кроме того, во время тестирования на проникновение могут быть сгенерированы новые данные, которые оставляют след в системе и сети. В этой статье мы рассмотрим какие бывают логи, их информативность при расследовании инцидента и как очистить журналы событий в Windows с помощью штатных средств, powershell и cmd.

В область кибербезопасности чрезвычайно быстро растет потребность в специалистах по информационной безопасноти в целях защиты организаций от киберугроз и противодействию злоумышленникам. Кибератака может быть чем угодно: от фишингового письма до заражения вредоносным ПО, атакой с помощью программ-вымогателей(шифровальщиков) и т.д. Международные организации по кибербезопасности и органы сертификации, такие как EC-Council и GIAC, подчеркивают роль в компьютерной криминалистики в цифровом мире. В рамках расследованиях необходимо определить, что произошло, как произошла атака, определить  возможных исполнителей, а также прояснить многие другие детали, которые могут помочь при обвинение в суде.

Типы журналов и их расположение

Даллее рассмотрим различные типы журналов, которые пентестер должен опередить для удаления, а также где эти журналы можно найти

Журналы DHCP-сервера

В этих журналах ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адресса клиентов, которые будут занесены в соответсвующий журнал событий.
Ниже приведены местоположения журналов DHCP-сервера:
Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp для ОС Windows.
В Linux для просмотра журналов DHCP мы можем использовать команду

 
cat / var / log / syslog | grep -Ei 'dhcp'

 

События Syslog

Когда внутри организации происходит кибератака, будь то MITM (атака типа человек посередине) или же выявлен хост, который является частью ботнета, незамедлительно проводится расследование. Эксперты проводят сбор событий и их последующий анализ не только на компьютерах, ноутбуках и серверах, но и в сети. Для каждого сеанса или запроса/ответа, происходящего в сети, такие устройства, как межсетевые экраны, системы обнаружения / предотвращения вторжений (IDS / IPS) и др. ведут свои журналы событий в отношении сетевого трафика. Эти устройства используют Syslog protocol для создания сообщений журнала в едином формате со всеми необходимыми деталями, которые могут очень пригодиться при расследовании инцидента информационной безопаности.
В системах Linuх Syslog журналы находятся в / var / log / syslog

Пакетный анализ

Далее,проводя исследования сети, эксперты проводят анализ пакетов, наблюдая за любыми аномалиями в интересующем сегменте сети. Анализ пакетов позволяет определить следующее:
Источник атаки
Загруженые и скачаные файлы
Тип трафика в сети
Время атаки
Извлеченные артефакты, например файлы
URL-адреса и домены
Атакованный хост
Данные телеметрии

Журналы веб-сервера

В этих журналах хранятся сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером. Ниже приведены местоположения различных веб-серверов:

Файлы журнала Internet Information Server (IIS) находятся в
% SystemDrive% \ inetpub \ logs \ LogFiles
Журналы Apache в Red Hat, CentOS и Fedora хранятся в
/ var / log / httpd / access_log и / var / log / httpd / error_log
Для систем Debian и Ubuntu журналы веб-сервера Apache можно найти по адресу
/ var / log / apache2 / access_log и / var / log / apache2 / error_log
Журналы FreeBSD Apache находятся в /var/log/httpd-access.log и
/var/log/httpd-error.log

 

Журналы базы данных

Во время теста на проникновение вам может быть поручено манипулировать целевой базой данных, будь то создание, изменение, удаление или извлечение информации. При этом базы данных создают собственный набор сообщений журнала.
Журналы базы данных для Microsoft SQL Server можно найти в \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ DATA \ *. MDF и \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ DATA \ *. LDF.
Эксперт может проверить журналы ошибок в базе данных на предмет подозрительных действий, их можно найти в \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ LOG \ ERRORLOG.

Event logs
Журналы событий – это запись действий, предпринятых в системе с участием пользователя и без него. Например журналы безопасности содержат записи о событиях входа в систему, если пользователь успешно авторизовался или же наоборот, о неудачной попытке входа в систему. Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В операционной системе Windows 10 конфигурация журналов событий хранится в следующем разделе реестра:

HKLM \ System \ ControlSet00x \ Services \ EventLog

Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду

wevtutil el

 

 

Кроме того, использование команды wevtutil gl <имя журнала> представит информацию о конфигурации для выбранного журнала:

 

Стоит отметить, что сами системные журналы Windows хранятся в C:\Windows\System32\winevt \Logs в локальной системе:

 

 

Простое изменение или удаление файлов журналов, хранящихся в этих местах будет вызывать сложности при расследовании инцидента информационной безопаности и безусловно будет затруднять работу экспертов. Станет гораздо сложнее определить фактическую последовательность атаки и ее распространение, что в свою очередь снижает шансы быть обнаруженным.

 

Очистка журналов в Windows

В операционной системе Windows средство просмотра событий представляет собой приложение, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Она располагается в:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий

Также для открытия средства просмотра событий в Windows достаточно ввести сочение клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK.
В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал».

 

 

Однако не стоит забывать о том, что события об очистке журнала также пишется в лог

Использование PowerShell для очистки журналов в Windows

PowerShell – это очень мощный инстурмент командной строки, который дает системному администратору большой просмтор для администрирования систем, для выполнения и автоматизации операций и задач в операционных системах Windows, MacOS и Linux.
Для начала щелкните значок Windows, который является значком запуска в нижнем левом углу рабочего стола, и введите powershell. Появится приложение Windows PowerShell, или в уже запущенной командной строке введите “powershell”
Убедитесь, что вы запускаете Windows PowerShell от имени администратора. Запуск программы или приложения с правами администратора снимет любые ограничения, с которыми может столкнуться обычный пользователь. Эти ограничения будут включать и привилегии безопасности.

Теперь рассмотрим несколько комманд для очистки журналов.

1.Для очиски всех журналов событий:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

 

После выполнения команды журналы стираются, как показано в средстве просмотра событий:

 

 

2 Для очистки определенных журналов с компьютера
Команда Clear-EventLog позволяет администратору очистить / стереть все сообщения журнала <LogName>: из определенной категории событий. Синтаксис для использования этой команды:

Clear-EventLog <LogName>

 

Использование параметра Get-Help, за которым следует командлет Clear-EventLog, предоставит вам дополнительные параметры:

 

 

Далее рассмотрим использование командной строки для очистки журналов.

Использование командной строки для очистки журналов в Windows

Теперь рассмотрим использование командной строки для очистки журналов в ОС Windows:

1 Очистка отдельных журналов
Ранее мы использовали команду wevtutil el в командной строке Windows для просмотра списка типов / категорий журналов. Мы можем использовать wevtutil cl, за которым следует конкретный журнал, чтобы стереть / очистить записи в категории журнала:

Кроме того,можно использовать синтаксис clear-log вместо cl:

 

2.Очистка всех журналов одним скриптом

Когда мы запустили команду wevtutil el, мы увидели длинный список категорий журналов событий. Однако очистка каждой категории занимает довольно много времени, поэтому используйте следующий скрипт для очистки каждой категории при выполнении команды

for / F "tokens = *"% 1 в ('wevtutil.exe el') DO wevtutil.exe cl "% 1" 

И чтобы не получить результат “отказано в доступе”, cmd также следует запускать с правами администратора

 

Использование Meterpreter для очистки журналов Windows

В cоставе the Metasploit framework существует очень продвинутая и динамически расширяемая полезная нагрузка, известная как Meterpreter. Использование этой утилиты на этапе тестирования на проникновение позволит вам выполнять полезные нагрузки stager в целевой системе, которые могут создавать соеднинение или даже обратную оболочку между целью и машиной атакующего.
Metasploit – фреймворк, созданный Rapid7 (www.rapid7.com). Он позволяет тестировщикам на проникновение собирать информацию о цели, обнаруживать уязвимости, создавать и доставлять полезные нагрузки на атакуюемый хост, а также создавать бэкдоры. Отличный набор инструментов для тестирования на проникновение для обнаружения и использования уязвимостей.
Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы ве можете использовать команду clearev для очистки журналов приложений, системы и безопасности:
Как видно на предыдущем скриншоте, Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.

 

 

В этой статье мы рассмотрелли способы скрытия активности во время тестирвоания на проникновение, моделируя атаки на целевую систему или сеть. Мы обсудили различные типы журналов и их расположение. Кроме того, мы рассмотрели несколько сценариев, в которых мы использовали различные методы для очистки журналов в операционных системах Windows.

Добавить комментарий