Sistema di rilevamento HIDS e modifiche al registro

7

Io uso OSSEC HIDS per monitorare i sistemi operativi XP e Windows 7.

Quando OSSEC cambia le modifiche nel registro di Windows, non ho idea di dove andare per cercare informazioni e identificare se le modifiche sono piuttosto legittime o se c'è una vera intrusione. Quindi, ho due domande:

1) Qualcuno può vedere qualcosa riguardo alle seguenti modifiche che sono state contrassegnate in un controllo di integrità di un giorno?

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ialm\Device0
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Epoch
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings

2) Qualcuno può indicarmi risorse o siti Web per aiutarmi a capire meglio il registro di Windows e come identificare le intrusioni in base alle sue modifiche?

    
posta beauk 06.05.2012 - 05:17
fonte

3 risposte

5

Chiavi di registro fornite

Queste sono solo le chiavi del Registro di sistema, per aggiungere ulteriori analisi è necessario anche i nomi dei valori. La prima chiave è relativa al driver video Intel. Il secondo è una rete correlata a LAN Manager. Il terzo è relativo a Windows Firewall / Condivisione connessione Internet. Il quarto è in effetti un hook di Windows Genuine Advantage.

Nessuna di queste chiavi di registro indica un'intrusione autonoma. Tuttavia, vorrei verificare se un utente ha modificato queste aree o se le modifiche sono in correlazione con i Criteri di gruppo o gli aggiornamenti Microsoft distribuiti.

Suggerirei che le modifiche al proprio ambiente (come patch, software e criteri di gruppo) dovrebbero essere testate su un PC di controllo in modo da poter eliminare rapidamente i falsi positivi. Questo ti aiuterà a capire meglio il registro di Windows.

Le chiavi del Registro di sistema in genere ad alto rischio sono:

  • HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ *
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ * in particolare PendingFileRenameOperations
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opzioni di esecuzione file di immagine
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *

Risorse

I suggerimenti di Mark sono buoni. Sans.org ha un sacco di grandi risorse. Personalmente userò solo un motore di ricerca come Google o Bing per cercare la chiave / il valore del registro. La maggior parte delle chiavi di registro Microsoft standard sono abbastanza ben documentate con spiegazioni.

Guarderei anche i rapporti sui malware di tutti i principali fornitori. Esistono generalmente schemi comuni in cui il malware rilascia le chiavi del Registro di sistema, ad es. link

Spero che questo aiuti.

    
risposta data 17.05.2012 - 13:08
fonte
6

Suggerirei di dare un'occhiata al blog SANS Forensics (http://computer-forensics.sans.org), hanno alcuni articoli sull'analisi del registro di Windows come link .

Ecco il link a tutti i post del blog sull'analisi del registro - link .

Potrebbe valere la pena di installare gli strumenti Sysinternals per l'analisi complementare - link

Per quanto riguarda OSSEC, hai cambiato la configurazione o è l'installazione predefinita? Sospetto che potrebbe essere un falso positivo, ma non sono un esperto del registro di Windows. Penso che i primi tre tasti siano relativi al driver e l'ultimo ha qualcosa a che fare con Windows Genuine Advantage, che non ho idea del motivo per cui sarebbe stato modificato.

    
risposta data 16.05.2012 - 15:05
fonte
-2

Non sono un professionista in questo, ma ti darò consigli basati sulla mia esperienza e conoscenza che non è molto ma comunque valida. Questo strumento è estremamente utile perché è possibile utilizzarlo per rilevare i malware di TUTTI i diversi tipi e TUTTI i diversi livelli di complessità. Detto questo, dovrai fare del lavoro da parte tua. Quello che vorrei fare è scaricare una macchina virtuale come VMware e quindi scaricare un keylogger remoto o un keylogger che consente di allegare installazioni remote a un file e poi sulla macchina virtuale aprire questo keylogger e utilizzare OSSEC per osservare quali sono le modifiche o cosa La reazione di OSSEC è a questo keylogger. Allo stesso modo esponi la tua macchina virtuale e OSSEC ad altri malware e osserva il comportamento di vari malware quando esposti a OSSEC. Usando questo, devi solo testare alcuni tipi diversi di malware finché non vedi un modello generale di come funzionano virus o worm poiché hanno tutti un impatto simile su una macchina. Una volta fatto, elimina la macchina virtuale e raccogli tutti i tuoi dati. A parte questo, dubito che qualcuno saprà cosa sta succedendo esattamente in quegli assegni che menzioni a meno che non abbiano avuto esperienza con malware prima.

    
risposta data 15.05.2012 - 14:14
fonte

Leggi altre domande sui tag