Как удалить следы активности (логи) при проведении тестирования на проникновение. Часть 1

Spread the love

ВНИМАНИЕ!!!! АВТОР ДАННОЙ СТАТЬИ НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ДЕЙСТВИЯ ОТ ЕЕ ПРОЧТЕНИЯ. ВСЕ МАТЕРИАЛЫ ПРЕДОСТАВЛЕНЫ В ИСКЛЮЧИТЕЛЬНО ОБРАЗОВАТЕЛЬНЫХ ЦЕЛЯХ!

Один из не менее важных аспектов во время тестирования на проникновение – это убедиться, что в системе не останется никаких следов взлома. Как и у злоумышленника, вашей целью может быть взлом (легитимный) целевой системы или сети, однако при разрыве соединения или выходе из взламываемой системы очень важно, чтобы не оставалось никаких следов в журналах или в других логах. 

Кроме того, во время тестирования на проникновение могут быть сгенерированы новые данные, которые оставляют след в системе и сети. В этой статье мы рассмотрим какие бывают логи, их информативность при расследовании инцидента и как очистить журналы событий в Windows с помощью штатных средств, powershell и cmd. 

В область кибербезопасности чрезвычайно быстро растет потребность в специалистах по информационной безопасноти в целях защиты организаций от киберугроз и противодействию злоумышленникам. Кибератака может быть чем угодно: от фишингового письма до заражения вредоносным ПО, атакой с помощью программ-вымогателей(шифровальщиков) и т.д. 

Международные организации по кибербезопасности и органы сертификации, такие как EC-Council и GIAC, подчеркивают роль в компьютерной криминалистики в цифровом мире. В рамках расследованиях необходимо определить, что произошло, как произошла атака, определить возможных исполнителей, а также прояснить многие другие детали, которые могут помочь при обвинение в суде. 

Типы журналов и их расположение 

Даллее рассмотрим различные типы журналов, которые пентестер должен опередить для удаления, а также где эти журналы можно найти 

Журналы DHCP-сервера 

В этих журналах ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. 

Наибольший интерес здесь представляют MAC-адресса клиентов, которые будут занесены в соответсвующий журнал событий.

Ниже приведены местоположения журналов DHCP-сервера:

Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp для ОС Windows.

В Linux для просмотра журналов DHCP мы можем использовать команду 

 
cat / var / log / syslog | grep -Ei 'dhcp' 

События Syslog 

Когда внутри организации происходит кибератака, будь то MITM (атака типа человек посередине) или же выявлен хост, который является частью ботнета, незамедлительно проводится расследование. Эксперты проводят сбор событий и их последующий анализ не только на компьютерах, ноутбуках и серверах, но и в сети. 

Для каждого сеанса или запроса/ответа, происходящего в сети, такие устройства, как межсетевые экраны, системы обнаружения / предотвращения вторжений (IDS / IPS) и др. ведут свои журналы событий в отношении сетевого трафика.

Эти устройства используют Syslog protocol для создания сообщений журнала в едином формате со всеми необходимыми деталями, которые могут очень пригодиться при расследовании инцидента информационной безопаности.

В системах Linuх Syslog журналы находятся в / var / log / syslog 

Пакетный анализ 

Далее,проводя исследования сети, эксперты проводят анализ пакетов, наблюдая за любыми аномалиями в интересующем сегменте сети. Анализ пакетов позволяет определить следующее:

Источник атаки

Загруженые и скачаные файлы

Тип трафика в сети

Время атаки

Извлеченные артефакты, например файлы

URL-адреса и домены

Атакованный хост

Данные телеметрии 

Журналы веб-сервера 

В этих журналах хранятся сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером. Ниже приведены местоположения различных веб-серверов: 

Файлы журнала Internet Information Server (IIS) находятся в

 % SystemDrive% \ inetpub \ logs \ LogFiles

Журналы Apache в Red Hat, CentOS и Fedora хранятся в

 / var / log / httpd / access_log и / var / log / httpd / error_log

Для систем Debian и Ubuntu журналы веб-сервера Apache можно найти по адресу

 / var / log / apache2 / access_log и / var / log / apache2 / error_log

Журналы FreeBSD Apache находятся в /var/log/httpd-access.log и

 /var/log/httpd-error.log 

Журналы базы данных 

Во время теста на проникновение вам может быть поручено манипулировать целевой базой данных, будь то создание, изменение, удаление или извлечение информации. При этом базы данных создают собственный набор сообщений журнала.

Журналы базы данных для Microsoft SQL Server можно найти в \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ DATA \ *. MDF и \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ DATA \ *. LDF.

Эксперт может проверить журналы ошибок в базе данных на предмет подозрительных действий, их можно найти в \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ LOG \ ERRORLOG

Event logs

Журналы событий – это запись действий, предпринятых в системе с участием пользователя и без него. Например журналы безопасности содержат записи о событиях входа в систему, если пользователь успешно авторизовался или же наоборот, о неудачной попытке входа в систему. 

Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В операционной системе Windows 10 конфигурация журналов событий хранится в следующем разделе реестра: 

HKLM \ System \ ControlSet00x \ Services \ EventLog

Кроме того, использование команды wevtutil gl <имя журнала> представит информацию о конфигурации для выбранного журнала:

Стоит отметить, что сами системные журналы Windows хранятся в C:\Windows\System32\winevt \Logs в локальной системе:

Простое изменение или удаление файлов журналов, хранящихся в этих местах будет вызывать сложности при расследовании инцидента информационной безопаности и безусловно будет затруднять работу экспертов. Станет гораздо сложнее определить фактическую последовательность атаки и ее распространение, что в свою очередь снижает шансы быть обнаруженным. 

Очистка журналов в Windows 

В операционной системе Windows средство просмотра событий представляет собой приложение, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Она располагается в: 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий 

Также для открытия средства просмотра событий в Windows достаточно ввести сочение клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK.

В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал».

Однако не стоит забывать о том, что события об очистке журнала также пишется в лог

Добавить комментарий

WP2Social Auto Publish Powered By : XYZScripts.com