Poco a poco vamos trabajando en el blog con algunas herramientas y procesos que uso en mi día a día en el mundo blue team.
En esta entrada vamos a hablar una vez más del log de Windows, de la matriz Mitre y esas cosas que tanto nos gustan.
El equipo de Malware Archaelogy pone a disposición nuestra una seria de Cheat Sheet diversos muy interesantes. En este caso, nos muestra una lista de Técnicas Mitre y el Id de evento que lo localiza, en el caso que así sea. Es decir, identifica o mide el grado de detección de ciertas Técnicas Mitre en base a la capacidad de nuestros windows de recopilar eventos.
Como sabéis, la configuración de auditoría de eventos de Windows que viene por defecto es INSUFICIENTE para poder hacer un buen trabajo de detección.
Es recomendable activar la auditoría avanzada e implementar SYSMON como mínimo.
Con esta información podemos conocer un poco más sobre el papel el estado de detección de ciertas técnicas, y si nos apetece, pintarlo como vimos en el último post de Mitre.
Pero se que sois perezosos, incluso alguno vago !!! :-) y es mejor que todo lo haga una máquina.
Para eso llega Log Medical Doctor o Log- Md. Una aplicación en dos versiones, gratuita y de pago, que nos va a ayudar mucho en nuestra tarea de setear correctamente nuestros Windows.
Podemos empezar con la herramienta utilizando el parámetro -c para hacernos ese diagnostico de qué logs deberíamos tener activados. No muestra según el sistema operativo si están disponibles o no, o si bien debemos auditar los intentos correctos, incorrectos o ambos.
Otra opción interesante es la de crear un línea base de seguridad del registro y compararla cada cierto tiempo buscando cambios.
-rb Baseline the registry, creates or overwrites Reg_Baseline.txt
-rc [f] Compare a new registry snapshot with Reg_Baseline.txt
f = baseline location full path
Otra opción muy interesante es que hace de una especie de FIM, File Integrity Monitor, al estilo de OSSEC, es decir, podemos indicarle una ruta y realizar una seria de hashes a ficheros, y comprobar posteriormente si ha habido cambios.
hf Hashes a single file, outputs hash to screen
-hd [d] Used with -hb or -hc to designate a starting directory for hashing
d=full path of directory
ex: -hc -hd "F:\Test_Dir"
-hb [-d] Baseline hashes of filesystem
creates/overwrites Hash_Baseline.txt
d = directory containing Hash_Baseline.txt
Creates Hash_Locked_Files.csv
-hc [d] [-md] Compares new hashes and locked files with baseline
Creates Hash_Latest.txt and Hash_Compare.txt
Creates Hash_Locked_Files_Compare.csv
d = directory containing Hash_Baseline.txt (full path)
Uses whitelist file:
+ Whitelist_File_Hash.txt
[+ MasterDigest.txt]
Creates Hash_Locked_Files_Compare.csv
Espero que le saques provecho y pongas esos Windows un poco "al sol" que no todo es siguiente siguiente siguiente como algunos creen.
Gracias por leerme.