​​Заметки на полях: Attack Samples Чаще всего специалисты (ка | [MIS]ter & [MIS]sis Team

​​Заметки на полях: Attack Samples

Чаще всего специалисты (как RedTeam, так и BlueTeam) понимают, что за атака произошла, какова ее цель, механизм атаки. Но нет понимания того, как данная атака отображается в журналах событий Windows.

Почему это важно? И для кого это нужно?

RedTeam нужно всегда понимать насколько их действия являются заметными, как на это могут среагировать средства защиты и продумывать какую информацию из журнала событий смогут получить BlueTeam специалисты. В свою очередь, BlueTeam должна понимать какие именно события говорят о возможных угрозах безопасности. Поскольку в журнал событий Windows записывается очень много информации - порой бывает сложно найти какие именно действия выполнял злоумышленник, если не знаешь, что искать.

Для того, чтобы знать, что искать - нужна какая-то практика. Хотя бы практика в изучении журналов событий при проведении атак различных видов.
Например, на картинке можно увидеть часть журнала событий Windows при эксплуатации CVE-2020-1030 (Windows Print Spooler Elevation of Privilege Vulnerability).

Можно самим проводить разного рода атаки, смотреть и изучать журналы событий. Но это трудозатратно в плане разворачивания лаборатории, поиска эксплойтов, инструментов и т.д.

Есть очень крутой, постоянно пополняемый репозиторий (https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES) от Samir (https://twitter.com/SBousseaden) с образцами самых популярных атак. Очень его вам рекомендуем - полезная вещь. Пригодится как BlueTeam, так и RedTeam.