Procesado de logs de eventos a gran escala

Ponencia de Antonio Sanz perteneciente al módulo Ciberinteligencia de C1b3rWall Academy 22/23

Procesado de logs de eventos a gran escala

Tiempo de lectura estimado: 10 minutos


¿Qué es un evento de Windows?

Se trata de cualquier cosa que sucede en un ordenador con el sistema operativo Windows. Desde el punto de vista forense, los logs de eventos ayudan a comprender qué ha podido suceder en un equipo.

  • Log de eventos: Fichero que guarda los eventos de una categoría.
  • Artefactos básicos para forense: MFT (qué ficheros hay y cuándo se manipularon), registro (configuración) y logs de eventos.

Ventajas de los logs de eventos

  • Hay una gran cantidad de información.
  • La información se recoge de forma automática y por defecto, no hay que hacer nada.
  • Es fácil de obtener, se puede copiar con una herramienta de triaje y visualizarla con una herramienta de visualización adecuada.
  • Procesado sencillo.
  • Son uno de los pilares de cualquier análisis forense.

Desventajas de los logs de eventos

  • No proporcionan todo lo que pasa en un Windows, la información no es total.
  • Algunos eventos no están activos por defecto.
  • Retención escasa en sistemas muy usados.
  • Pueden ser borrados por los atacantes; la solución es la centralización de logs.

Los identificadores de eventos (EventID)

Hay miles de EventID, y en la ponencia se muestra el top 10 de los usados en investigaciones, que se muestra a continuación:

  1. 4624/Security: Indica un inicio de sesión correcto. Es un log fundamental para hacer la trazabilidad de la investigación. Sirve como indicador de posible acceso no autorizado.
  2. 4625/Security: Indica un inicio de sesión fallido. Puede indicar intrusión, fuerza bruta o password spraying.
  3. 4672/Security: Indica un inicio de sesión con privilegios. Los atacantes suelen querer tener privilegios en los equipos para poder realizar multitud de acciones. Estos eventos se generan cuando alguien inicia sesión con esos privilegios. 
  4. 11707/Application: Indica una aplicación instalada correctamente, confirmando cuándo y quién la instaló. Es muy útil en casos de apps troyanizadas o instalación de software de acceso remoto (muy visto en casos de ransomware).
  5. 7045/System: Indica un nuevo servicio instalado, además de la instalación de software que se arranca con el equipo.
  6.  Terminal-Services-(1149/RemoteConnectionManager y 21/LocalSessionManager): Indican cuándo un usuario inicia sesión en un equipo por escritorio remoto, además de la IP origen. Están siempre asociados a un 4624.
  7. 5/User Profile: Indica cuándo se carga el perfil de usuario. Es muy útil cuando Security ha rotado, o si los atacantes han borrado logs.
  8. 400/Windows Powershell: Indica el inicio de actividad de Powershell. Se puede configurar para que guarde todo lo ejecutado. 
  9. 106/TaskScheduler/Operational: Indica la creación de una nueva tarea programada. Usadas por atacantes para persistencia y/o movimiento lateral.
  10. 1006-1005-1016/WindowsDefender/Operational: Indica las detecciones de malware por parte de Defender. En muchas intrusiones el antivirus avisa, pero nadie hace caso. Se trata de un EventLog duradero y poco costoso de revisar. 

Herramientas para trabajar con los logs de eventos

La primera herramienta es el visor de eventos, que no es maravillosa, pero sí decente. No existe una herramienta definitiva, pero sí existen muchas y de varios tipos (gestión, visualización, hunting...). 

  1. El visor de eventos tiene la capacidad de exportar logs, pero no lo hace bien. Para ello existe la herramienta EvtxEcmd, que hace una exportación muy buena y da un conteo de los EventID.
  2. La herramienta Timeline Explorer es una alternativa para visualizar logs de eventos. No trabaja con .evtx, solo con .csv, y supone el compañero perfecto de la anterior (EvtxEcmd). Incluye muchas funcionalidades (filtros potentes, agrupamientos, visualizaciones...).
  3. Full Event Log Viewer es una herramienta para visualizar todos los logs de eventos. Resulta interesante para tener una visión en conjunto (ver qué ha pasado en un momento concreto a nivel de todo el equipo).
  4. En cuanto a Linux, existe Linux Power, que sirve como herramienta completa o como "aligerador" de logs. 
  5. Chainsaw es una herramienta útil para la respuesta ante incidentes, que permite analizar logs y detectar amenazas. Además, es multiplataforma (Windows/Linux/Mac).

Metodologías de investigación

Para investigar incidentes se precisan metodologías. Lo primero es obtener la mayor cantidad de información posible del incidente para buscar pivotes (pivots), que son los puntos desde donde empezar (un equipo empezó a hacer cosas raras, en un momento dado se borraron ficheros...). 

Opciones de investigación:

  1. Quirúrgica: Se produce en el caso de tener pivots muy buenos, por lo que se va a tiro hecho, ya que se sabe qué EventLog y qué EventID buscar. Es una opción muy eficaz y rápida, pero no siempre posible. 
  2. Quick Wins: Se produce cuando no hay pivots, por lo que se buscan los "sospechosos habituales", como pueden ser nuevos servicios, detecciones del antivirus, escritorios remotos, inicios de sesión... Es una opción bastante rápida y eficaz en coste/beneficio. 
  3. Automatizada: Se basa en utilizar las herramientas, por ejemplo, la mencionada Chainsaw. Es ideal como alternativa o complemento al Quick-wins.
  4. Capas de cebolla: Consiste en coger lo logs principales e ir excepcionando los EventID que no aportan (pelar las capas de cebolla hasta que solo queda lo no conocido). Es costosa en tiempo, pero ideal para logs nuevos. 

Centralización de logs

Conclusiones

  • Los logs de eventos son una fuente de información vital en un incidente/forense.
  • Hay que conocer los EventID disponibles, ya que son, en general, muy útiles.
  • Hay muchas herramientas y metodologías, se trata de un área de investigación rápidamente cambiante.
  • Es muy recomendable instalar Sysmon, un monitor gratuito de eventos del sistema que supone un complemento enorme para la monitorización. 

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Antonio Sanz

Antonio es responsable de Respuesta de Incidentes y Análisis Forense (DFIR) en la compañía española de ciberseguridad S2 Grupo. 

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/