تشخیص Indicator Blocking توسط رول تشخیص اسپلانک
بررسی و رول شناسایی تشخیص Indicator Blocking
مهاجم (adversary)ممکن است تلاش کند برای جلوگیری از جمع آوری و آنالیز رخدادها و شاخص هایی که عموما توسط سنسورها ثبت می شوند آنها را مسدود کند. این امر ممکن است شامل تعیین جهت (redirecting) نادرست یا حتی غیر فعال کردن سنسورهای مبتنی بر میزبان مانند ردیابی رخداد ویندوز(ETW) باشد، که با دستکاری تنظیمات کنترل کننده ی دریافت و telemetry جریان رخداد انجام می شود. این تنظیمات ممکن است در فایل های پیکربندی و/یا فایل های رجیستری سیستم ذخیره شده باشند که توسط ابزارهای اجرایی مانند powershell یا ابزار مدیریت ویندوز قابل دسترسی باشند.
غیر فعال کردن ETW از راه های مختلفی انجام می شود با این وجود ،ساده ترین روش، تعیین شرایط (condition) با استفاده از Power Shell Set-EtwTracerProvider cmdlet یا ازطریق ارتباط مستقیم با رجیستری، برای ایجاد تغییرات می باشد.
در مورد گزارش مبتنی بر شبکه در شاخص ها، مهاجم ممکن است برای مانع شدن از آنالیز مرکزی، ترافیک مرتبط با گزارش را بلاک کند. این ممکن است به هر شیوه ای انجام شود از جمله، متوقف کردن یک پروسس محلی(local) که مسئول ارسال telemetry است و/یا ساختن یک قانون فایروال بر روی میزبان به منظور مسدود کردن ترافیک مربوط به میزبان های مشخصی که مسئولیت متراکم سازی (aggregate) رخداد را بر عهده دارند مانند محصولات مدیریت رویداد و اطلاعات امنیتی (SIEM).
ID:T1070
Tactic:Defense Evasion
Platform:windows
Data Source: sensor health and status, process command-line parameters, process monitoring
Defense Bypassed:Anti-virus,Log analysis,Host intrusion prevention systems
کاهش اثر(Mitigation)
محدود کردن فایل ها و مجوزهای دایرکتوری: اطمینان حاصل کنید که ردیاب ها/ارسال کننده های رویداد، سیاست های فایروال و سایر مکانیسم های مربوطه با مجوزها و کنترل های دسترسی مناسب ایمن شده باشند.
پیکربندی نرم افزار: مکانیزم های راه اندازی مجدد خودکار را در بازه های تکراری (مانند :temporal،on-logon و) در نظر بگیرید .
مدیریت حساب کاربری: مطمئن شوید که ردیاب ها/ارسال کننده های رخداد، سیاست های فایروال و سایر مکانیزم های مربوطه با مجوزها و کنترل های دسترسی مناسب ایمن شده اند و توسط حساب های کاربری قابل دستکاری نیستند.
رول تشخیص
کمبود گزارش فعالیت شده از سنسور را تشخیص دهید. روش های مختلف مسدود کردن ممکن است اختلالات متفاوتی در گزارش کردن ایجاد کند. سیستم ها ممکن است به صورت اتفاقی گزارش تمام داده ها یا انواع خاصی از داده ها را متوقف کنند.
با توجه به نوع اطلاعات جمع آوری شده توسط میزبان، تحلیل گر می تواند رخدادی که باعث توقف پروسس (process) یا مسدود شدن ارتباط شده است را تشخیص دهد. به عنوان مثال، وقتی که حالت پیکربندی Sysmon تغییر کند (EventID 16) لاگ می شود و همچنین می توان از ابزار مدیریت ویندوز (WMI) برای اشتراک در ارائه دهندگان ETW که حذف هرگونه ارایه دهنده (provider) را لاگ می کنند، استفاده کرد . همچنین می توانید برای تشخیص تغییرات در ETW کلید رجیستری را که شامل پیکربندی های تمام ارائه دهندگان رخداد ETW است را کنترل کنید :
HKLM\SYSTEM\Current Control Set\Control\WMI\Autologger\AUTOLOGGER_NAME{{PROVIDER_GUIDE }}
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=16) OR (EventCode IN (12,13) TargetObject=”HKLM\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Autologger*”) OR (EventCode=1 Image=”*\\logman.exe” CommandLine=”*update trace*”) OR (EventCode=1 Image=”*\\wpr”) //tampering Event Tracing in windows
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\logman.exe” CommandLine=”*query*”) OR (EventCode IN (12,13) TargetObject=”HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WINEVT\\Publishers*”) // enumirating the ETW in windows with logman,exe