Phân tích sự kiện Windows và Phát hiện tấn công Brute Force

Phân tích sự kiện Windows và Phát hiện tấn công Brute Force

Giới thiệu
Ngày thứ 7 của chúng tôi tập trung vào việc biến dữ liệu sự kiện thô thành các phát hiện có thể hành động. Tôi đã sử dụng truy vấn nhật ký sự kiện Windows của Splunk để tìm kiếm xu hướng xác thực và áp dụng logic phát hiện để tìm kiếm các cuộc tấn công Brute Force. Bài tập này nhấn mạnh tầm quan trọng của việc điều tra an ninh dựa trên dữ liệu, cho thấy cách nghiên cứu có mục tiêu và các truy vấn có cấu trúc có thể tiết lộ các lỗ hổng ẩn.

Mục tiêu
Mục tiêu là truy vấn nhật ký sự kiện Windows để xác định và điều tra các cuộc tấn công Brute Force tiềm năng bằng cách phân tích các mẫu của các lần đăng nhập không thành công và khóa tài khoản. Chúng ta sẽ tận dụng ngôn ngữ tìm kiếm của Splunk để tạo một phát hiện cho các cuộc tấn công Brute Force và xây dựng một bảng điều khiển để giám sát các sự kiện bảo mật Windows.

Trường hợp sử dụng: Phát hiện tấn công Brute Force
Phát hiện các cuộc tấn công Brute Force liên quan đến việc giám sát nhật ký sự kiện Windows để tìm kiếm các mẫu của nhiều lần đăng nhập không thành công, thường đi kèm với việc khóa tài khoản. Bằng cách phân tích các ID sự kiện như 4625 (đăng nhập không thành công) và 4740 (khóa tài khoản), các tổ chức có thể xác định hoạt động độc hại, truy vết địa chỉ IP nguồn và thực hiện các biện pháp chủ động để giảm thiểu mối đe dọa.

Hiểu biết về chiến thuật của đối thủ

Tấn công Brute Force là gì?
Một quá trình tự động cố gắng nhiều kết hợp tên người dùng/mật khẩu để có quyền truy cập trái phép vào một hệ thống.

Tại sao đây là cảnh báo quan trọng?
Đây là một cuộc tấn công phổ biến, có lưu lượng cao, thường xuất hiện trước một vi phạm an ninh lớn. Việc phát hiện sớm là rất quan trọng.

Nơi cần tìm?
Nhật ký sự kiện bảo mật Windows là nguồn thông tin chính xác cho các sự kiện xác thực trên hệ thống Windows.

Truy vấn
Việc này liên quan đến việc hiểu cách tìm kiếm nhật ký sự kiện trên bảng điều khiển Splunk và diễn giải các phát hiện của chúng. Sử dụng phiên bản doanh nghiệp, truy cập vào phần tìm kiếm và báo cáo.

Xây dựng truy vấn phát hiện

Từ lọc cơ bản đến phân tích nâng cao
Một bộ lọc đơn giản là không đủ. Chúng ta cần tìm các mẫu thất bại.

Truy vấn phát hiện Brute Force nâng cao:
sourcetype="WinEventLog: Security" EventCode=4625 | stats count by \_time, user, src\_ip | where count > 5 | sort - count

Phân tích SPL

• sourcetype="WinEventLog:Security" EventCode=4625: Tìm tất cả các lần đăng nhập không thành công.
• | stats count by \_time, user, src\_ip: Nhóm chúng lại để đếm số lần thất bại theo từng người dùng, từ mỗi địa chỉ IP nguồn, theo thời gian.
• | where count > 5: Lọc để chỉ hiển thị hoạt động mà số lần thất bại vượt quá ngưỡng (ví dụ: 5 trong một khoảng thời gian ngắn).
• | sort - count: Sắp xếp kết quả với các cuộc tấn công nghiêm trọng nhất ở trên cùng.

Trường hợp sử dụng: Tấn công Brute Force
Khi xem xét nhật ký bảo mật, nó liên quan đến một nỗ lực xác thực.
Để điều tra, đây là cách tôi thực hiện lệnh để lọc qua toàn bộ nhật ký.

Hiểu biết về ID sự kiện của cuộc tấn công Brute Force
Windows ghi lại mọi hành động dưới dạng một "Sự kiện" với một ID sự kiện duy nhất.

Đối với Xác thực, hãy nhớ những ID quan trọng sau:

• ID sự kiện 4624: Một lần đăng nhập thành công. (Một sự kiện "tốt")
• ID sự kiện 4625: Một lần đăng nhập không thành công. (Là "bằng chứng xác thực" cho một cuộc tấn công Brute Force)

Tìm kiếm đầu tiên của bạn: Tìm tất cả các lần đăng nhập không thành công.

sourcetype="WinEventLog: Security" EventCode=4625

1. ID sự kiện 4625:

   • Chỉ ra một nỗ lực đăng nhập không thành công.
   • Tìm kiếm các lần xuất hiện lặp lại từ cùng một địa chỉ IP hoặc tài khoản.

2. ID sự kiện 4740:

   • Đánh dấu một khóa tài khoản sau nhiều lần đăng nhập không thành công.
   • Liên kết với ID sự kiện 4625 để xác định các mẫu tấn công Brute Force.

Bằng cách phân tích các ID sự kiện này, bạn có thể phát hiện và điều tra các cuộc tấn công Brute Force một cách hiệu quả.

Lệnh nhật ký sự kiện bảo mật

Cách tạo cảnh báo
Điều này có nghĩa là sau khi lệnh này được lưu dưới dạng cảnh báo, nó sẽ tự động chạy liên tục. Khi phát hiện bất kỳ cuộc tấn công Brute Force nào, nó sẽ tạo ra một cảnh báo.

Từ Tìm kiếm đến Cảnh báo: Tự động hóa Phát hiện của bạn
Tại sao tạo cảnh báo?
Để bạn không phải chạy tìm kiếm này một cách thủ công mãi mãi. SOC cần được thông báo tự động.

Cách tạo cảnh báo:
Lưu tìm kiếm đã xác thực của bạn.

Nhấp vào Lưu dưới dạng > Cảnh báo.

Hãy đặt nó chạy mỗi 5 phút (đối với phòng thí nghiệm) hoặc 1 phút (đối với SOC sản xuất).
Điều kiện kích hoạt: Chọn "Số lượng kết quả" và đặt nó thành > 0.
Hành động kích hoạt: Cấu hình để gửi email hoặc thêm một sự kiện nổi bật vào Splunk ES.

Chi tiết cảnh báo Brute Force

Mô phỏng tấn công: Kiểm tra Phát hiện của bạn
Cách kiểm tra:
Mô phỏng một cuộc tấn công chống lại máy chủ Windows của bạn từ một VM Linux trên máy khác.

Công cụ phổ biến:
Sử dụng Hydra trên Linux để mô phỏng một cuộc tấn công Brute Force chống lại một dịch vụ như RDP hoặc SSH trên máy chủ Windows.

Lệnh ví dụ:
hydra -L userlist.txt -P passlist.txt rdp://

Tại sao điều này quan trọng:
Điều này chứng minh rằng phát hiện của bạn hoạt động trong một môi trường kiểm soát trước khi bạn cần nó trong một môi trường thực tế.

Mô phỏng cuộc tấn công Brute Force

Tôi đã thực hiện một cuộc tấn công Brute Force trên hệ thống Linux của mình chống lại máy chủ Windows, nhằm vào Active Directory, bằng cách thực hiện lệnh này trên hệ thống Linux.

Nhật ký sự kiện của một cuộc tấn công Brute Force trên Splunk

1. Nhập nhật ký sự kiện Windows:
   • Cấu hình Universal Forwarder để thu thập nhật ký từ nhật ký bảo mật Windows.
2. Tìm kiếm các ID sự kiện liên quan:
   • Sử dụng truy vấn sau để tìm kiếm các chỉ báo tấn công Brute Force:

index=windows EventCode=4625 OR EventCode=4740

• Mã sự kiện 4625 chỉ ra các lần đăng nhập không thành công.
• Mã sự kiện 4740 chỉ ra các khóa tài khoản.

1. Lọc và Phân tích:
   • Lọc kết quả theo địa chỉ IP nguồn, tên tài khoản và thời gian để xác định các mẫu tấn công Brute Force.
2. Tạo cảnh báo:
   • Thiết lập cảnh báo để thông báo khi có nhiều lần đăng nhập không thành công hoặc khóa tài khoản xảy ra trong một khoảng thời gian ngắn.

Cách tiếp cận này giúp phát hiện và điều tra các cuộc tấn công Brute Force bằng Splunk.

Tấn công Brute Force trên Linux

Tạo cái nhìn của SOC
Mục tiêu:
Cung cấp cho nhà phân tích bảo mật một cái nhìn theo thời gian thực về hoạt động xác thực.
Chạy tìm kiếm của bạn: sourcetype="WinEventLog:Security" (EventCode=4624 OR EventCode=4625)
Nhấp vào Lưu dưới dạng > Tấm bảng điều khiển.
Chọn để tạo một bảng điều khiển mới.
Chọn loại hình ảnh trực quan. Một biểu đồ cột hiển thị số lượng theo Mã sự kiện hoặc một bảng hiển thị người dùng hàng đầu theo số lượng là những lựa chọn tuyệt vời.

Kết quả:
Bây giờ bạn đã có một cái nhìn tổng thể để theo dõi hành vi đăng nhập.

Hình dung mối đe dọa: Xây dựng bảng điều khiển

Chạy tìm kiếm của bạn: sourcetype="WinEventLog:Security" (EventCode=4624 OR EventCode=4625)
Nhấp vào Lưu dưới dạng > Tấm bảng điều khiển.
Lưu tấm bảng vào bảng điều khiển mới và chọn kiểu hiển thị bảng điều khiển của bạn.

Tổng quan về bảng điều khiển cảnh báo tấn công Brute Force của tôi

Phản ánh ngày thứ 7: Đỉnh cao của công việc SOC
Mục tiêu đã đạt được:

• Tôi đã hiểu các ID sự kiện Windows quan trọng cho bảo mật.
• Phát triển một truy vấn SPL tinh vi để xác định và phát hiện một mẫu tấn công.
• Tự động hóa việc phát hiện bằng cách tạo cảnh báo.
• Kiểm tra cảnh báo bằng cách mô phỏng một cuộc tấn công.
• Xây dựng một bảng điều khiển để hình dung.

Ngày thứ 7 đại diện cho chức năng cốt lõi của nhà phân tích SOC: biến dữ liệu thô thành thông tin tình báo an ninh có thể hành động và chuyển từ quan sát thụ động sang săn lùng chủ động và phát hiện tự động.