рд╕рднреА рдХреЛ рдирдорд╕реНрдХрд╛рд░ред рдЖрдЬ рд╣рдо рдПрдХ рдЙрджрд╛рд╣рд░рдг рджреЗрдЦреЗрдВрдЧреЗ рдЬрд╣рд╛рдВ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рд╡рд┐рдВрдбреЛрдЬ рдбрд┐рдлреЗрдВрдбрд░ рдХреЛ рдмрд╛рдпрдкрд╛рд╕ рдХрд░рдиреЗ рдореЗрдВ рдХрд╛рдордпрд╛рдм рд░рд╣рд╛, рд▓реЗрдХрд┐рди рд╡рд┐рдлрд▓ рд░рд╣рд╛ - рдПрдХ рд╕реБрд░рдХреНрд╖рд╛ рдЧрд╛рд░реНрдбред рд╣рд╛рдБ, рдпрд╣ рдлрд┐рд░ рд╕реЗ mimikatz рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд╣реИред рдХреИрд╕реЗ, mimikatz рд▓реЙрдиреНрдЪ рдХрд░рдХреЗ, рд╡рд┐рдВрдбреЛрдЬ рдбрд┐рдлреЗрдВрдбрд░ рдХреЛ рдмрд╛рдпрдкрд╛рд╕ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдк рдпрд╣рд╛рдВ рдкрдврд╝ рд╕рдХрддреЗ рд╣реИрдВ ред рдФрд░ рдЖрдЬ, рдЬреИрд╕рд╛ рдХрд┐ рдореИрдВрдиреЗ рд╡рд╛рджрд╛ рдХрд┐рдпрд╛ рдерд╛, "рдмреНрд▓реВ" рдЯреАрдо рдХреЗ рд▓рд┐рдП рдХреБрдЫ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░реЗрдВред рдпрджрд┐ рдпрд╣ рдХрд┐рд╕реА рдХреЛ рдХрдо рд╕реЗ рдХрдо рдорджрдж рдХрд░рддрд╛ рд╣реИ, рддреЛ рдпрд╣ рд╡реНрдпрд░реНрде рдирд╣реАрдВ рд╣реИред рддреЛ рдЪрд▓рддреЗ рд╣реИрдВредELK рд╕реНрдЯреИрдХ (Elasticsearch, рд▓реЛрдЧрд╕реНрдЯреИрд╢, рдХрд┐рдмрд╛рдирд╛) рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдмрд╣реБрдд рдХреБрдЫ рд▓рд┐рдЦрд╛ рдЧрдпрд╛ рд╣реИ (рд╣реИрдмреЗ рд╕рд╣рд┐рдд), рдФрд░ рдЖрдЬ рд╣рдо рдЗрд╕рдХрд╛ рдЗрд╕реНрддреЗрдорд╛рд▓ рдХрд░реЗрдВрдЧреЗ, рдпрд╛ рдЕрдзрд┐рдХ рд╕рдЯреАрдХ рд╣реЛрдиреЗ рдХреЗ рд▓рд┐рдП, рдЦрддрд░реЗ рдХреА рд╢рд┐рдХрд╛рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣рдорд╛рд░реА рдЬрд░реВрд░рддреЛрдВ рдХреЗ рд▓рд┐рдП рдПрдХ ELK рдбреЛрдк рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛редрд╢рд┐рдХрд╛рд░ ELK, рдпрд╛ HELK
HELK рдЖрд░реЗрдЦ рдЗрд╕ рддрд░рд╣ рджрд┐рдЦрддрд╛ рд╣реИ:
рдЪрд▓реЛ рд╕реНрдерд╛рдкрдирд╛ рдкрд░ рдЪрд▓рддреЗ рд╣реИрдВ редрдбреЗрд╡рд▓рдкрд░ рдХреЗ рд╕рд▓рд╛рд╣ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рд╕рд░реНрд╡рд░ рдЬрд╣рд╛рдВ HELK рд╕реНрдерд┐рдд рд╣реЛрдЧрд╛, рдореИрдВрдиреЗ рдЪреБрдирд╛ рд╣реИ:tomhunter@helk:~$ cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=18.04
DISTRIB_CODENAME=bionic
DISTRIB_DESCRIPTION="Ubuntu 18.04.4 LTS"
рд╕реНрдерд╛рдкрдирд╛ рд╕рд░рд▓ рд╣реИ рдФрд░ 2 рдЖрджреЗрд╢реЛрдВ рдореЗрдВ рдХреА рдЧрдИ рд╣реИ:git clone https://github.com/Cyb3rWard0g/HELK
tomhunter@helk:~/HELK/docker$ sudo ./helk_install.sh
рдиреЛрдЯ: рдЖрдкрд╕реЗ рд╕рдВрд╕реНрдерд╛рдкрди рдХреЗ рд▓рд┐рдП рдЕрдзрд┐рдХ RAM рдЖрд╡рдВрдЯрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд╣рд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдореИрдВ 10 рдЬреАрдмреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реВрдВред
рдкреНрд░рд╕реНрддрд╛рд╡рд┐рдд рд╕реНрдерд╛рдкрдирд╛ рд╡рд┐рдХрд▓реНрдкреЛрдВ рдореЗрдВ рд╕реЗ, рдореИрдВрдиреЗ KAFKA + KSQL + ELK + NGNIX + ELASTALERT рдХреЛ рдЪреБрдирд╛ ред рдФрд░ рдЕрдм рдмрд╕ рдЗрдВрддрдЬрд╛рд░ рд╣реИред рдФрд░, рдЕрдЧрд░ рд╣рдордиреЗ рд╕рдм рдХреБрдЫ рдареАрдХ рдХрд┐рдпрд╛, рддреЛ рд╣рдо рдкреЛрд╖рд┐рдд рджреЗрдЦреЗрдВрдЧреЗ:
рд╕рд░реНрд╡рд░ рд╕рдорд╛рдкреНрдд рд╣реЛрдиреЗ рдХреЗ рдмрд╛рдж, рдЧреНрд░рд╛рд╣рдХ рдХреЛ рддреИрдпрд╛рд░ рдХрд░рддреЗ рд╣реИрдВред рдпрд╣ рдПрдХ рд╡рд┐рдВрдбреЛрдЬрд╝ 10 рдорд╢реАрди рд╣реЛрдЧреАред рд╣рдореЗрдВ рдЗрд╕ рдкрд░ Sysmon рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛редрд╣рдореЗрдВ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ рднреА рдЪрд╛рд╣рд┐рдП: git clone https://github.com/olafhartong/sysmon-modular
рд╡рд┐рдиреНрдпрд╛рд╕ рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ: . .\Merge-SysmonXml.ps1
Merge-AllSysmonXml -Path ( Get-ChildItem '[0-9]*\*.xml') -AsString | Out-File sysmonconfig.xml
Daud: PS C:\Users\Tomhunter\Documents\sysmon-modular> .\Sysmon64.exe -i .\sysmonconfig.xml
рд╣рдо winlogbeat рдХреЛ рднреА рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВрдЧреЗ , winlogbeat.yml рдлрд╝рд╛рдЗрд▓ рдХреЛ рд╣рдЯрд╛рдПрдВрдЧреЗ рдФрд░ рдЙрд╕рдореЗрдВ рдПрдХ рдирдпрд╛ рд▓рд┐рдВрдХ рдмрдирд╛рдХрд░ raw.githubusercontent.com/Cyb3rWard0g/HELK/master/configs/winlogbeat/winlogbeat.yml рдХреА рдкреНрд░рддрд┐рд▓рд┐рдкрд┐рдмрдирд╛рдПрдВрдЧреЗредрдзреНрдпрд╛рди рджреЗрдВ: рдпрд╣рд╛рдВ рд╣рдореЗрдВ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рд╡рд╛рдВрдЫрд┐рдд (рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдореЗрдЬрдмрд╛рди: [[192.168.31.97:9092]] рдореЗрдВ рдмрджрд▓рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИредтАитАи
рдЗрдВрд╕реНрдЯреЙрд▓: PS C:\Users\Tomhunter\Desktop\winlogbeat-7.6.2-windows-x86_64> .\install-service-winlogbeat.ps1
рдиреЛрдЯ: рдЖрдкрдХреЛ рд╕реЗрд╡рд╛ рдХреЛ рд╣рд╛рде рд╕реЗ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдпрд╛ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рд░реАрдмреВрдЯ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред
рд╕рдм рдХреБрдЫ рддреИрдпрд╛рд░ рд╣реИ, рджреЗрдЦрддреЗ рд╣реИрдВ рдХрд┐ рд╣рдореЗрдВ рдХреНрдпрд╛ рдорд┐рд▓рддрд╛ рд╣реИредрд╣рдо рд╡рд┐рдВрдбреЛрдЬ 10 рдкрд░ mimikatz рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВред
рдФрд░ рд╕рд╛рдЗрдмрд░рд╛рдирд╛ рдореЗрдВ рдкреНрд░рд╡реЗрд╢ рдХрд┐рдпрд╛ рд╣реИ (рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдпрд╣ 192.168.31.97 рд╣реИ , рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓: рд╣реЗрд▓: рд╢рд┐рдХрд╛рд░) рд╣рдо рдПрдХ рдЪреЗрддрд╛рд╡рдиреА рджреЗрдЦрддреЗ рд╣реИрдВред рдЕрдкрдиреЗ рдХрдЪреНрдЪреЗ рд░реВрдк рдореЗрдВ, рдпрд╣ рдЗрд╕ рддрд░рд╣ рджрд┐рдЦрддрд╛ рд╣реИ:
рдЕрд▓рд░реНрдЯ рд╕реНрд╡рдпрдВ рдХреЛ рдИ-рдореЗрд▓, рд╕реНрд▓реИрдХ рдЖрджрд┐ рдореЗрдВ рднреЗрдЬрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИредрд▓реЗрдХрд┐рди рд╣рдо рдЗрд╕ рдмрд╛рдд рдореЗрдВ рдЕрдзрд┐рдХ рд░реБрдЪрд┐ рд░рдЦрддреЗ рд╣реИрдВ рдХрд┐ рдпрд╣ рдХреИрд╕реЗ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рдЖрдЗрдП рд╕рдордЭрддреЗ рд╣реИрдВредрд╕рд┐рджреНрдзрд╛рдВрдд рдХреА рдмрд┐рдЯ
рд╡рд┐рдВрдбреЛрдЬ 10 рдХреЗ рд╕рд╛рде mimikatz рд╢реБрд░реВ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдирд┐рдореНрди рд╕рдВрджреЗрд╢ рдЙрдбрд╝ рдЬрд╛рддрд╛ рд╣реИ: рд╡рд╣
рдХреМрди рд╕рд╛ рдирд┐рдпрдо рд╣реИ рдЬрд┐рд╕рдиреЗ рдЕрд▓рд░реНрдЯ рдЬрд╛рд░реА рдХрд┐рдпрд╛ рдЬреЛ рдореБрдЭреЗ рднреНрд░рдорд┐рдд рдХрд░рддрд╛ рд╣реИ? (рд╕реНрдкреЙрдЗрд▓рд░: mimikatz.exe рдлрд╝рд╛рдЗрд▓ рдирд╛рдо рдирд╣реАрдВ)ред рдЖрдЗрдП рдирд┐рдпрдо рдкрд░ рдПрдХ рдирдЬрд╝рд░ рдбрд╛рд▓рддреЗ рд╣реИрдВ:sudo docker exec -it helk-elastalert bash
cat /opt/sigma/rules/windows/sysmon/sysmon_mimikatz_detection_lsass.yml
EventID: 10. рдпрд╣ рд╣рдорд╛рд░реА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╣реИредTargetImage: C: \ windows \ system32 \ lsass.exeред рдпрд╣ рдЕрдЪреНрдЫрд╛ рд╣реИ, рд▓реЗрдХрд┐рди mimikatz рдПрдХрдорд╛рддреНрд░ рдРрд╕рд╛ рд╡реНрдпрдХреНрддрд┐ рдирд╣реАрдВ рд╣реИ рдЬреЛ lsass рдореЗрдВ рдмрджрд▓ рдЬрд╛рддрд╛ рд╣реИред
рдЕрдиреБрджрд╛рдирд┐рдд: 0x1410 рдпрд╛ 0x1010редрдФрд░ рдпрд╣рд╛рдВ рд╕рдм рдХреБрдЫ рдЧрд┐рд░ рдЬрд╛рддрд╛ рд╣реИред рдореИ рд╕рдордЭрд╛рддрд╛ рд╣реВрдБредрдЖрдЗрдП mimikatz рдХреЗ рд╕реНрд░реЛрдд рдХреЛрдб рдкрд░ рдПрдХ рдирдЬрд╝рд░ рдбрд╛рд▓реЗрдВ, рдЕрд░реНрдерд╛рддреН, рд╣рдо kuhl_m_sekurlsa.c рдлрд╝рд╛рдЗрд▓ рдФрд░ kuhl_m_sekurlsa_acquireLSA () рдлрд╝рдВрдХреНрд╢рди рдореЗрдВ рд░реБрдЪрд┐ рд░рдЦрддреЗ рд╣реИрдВред
Microsoft рд╡реЗрдмрд╕рд╛рдЗрдЯ рдХреА рдУрд░ рдореБрдбрд╝рддреЗ рд╣реБрдП, рд╣рдо рджреЗрдЦрддреЗ рд╣реИрдВ рдХрд┐редPROCESS_QUERY_LIMITED_INFORMATION (0x1000)
PROCESS_VM_READ (0x0010)
PROCESS_QUERY_INFORMATION (0x0400)
рдмрд┐рдЯрд╡рд╛рдЗрдЬрд╝ тАЬORтАЭ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╣рдо рдЕрдкрдирд╛ Granted Access рдкреНрд░рд╛рдкреНрдд рдХрд░рддреЗ рд╣реИрдВрдиреЛрдЯ: рдЗрд╕рд╕реЗ рдкрд╣рд▓реЗ рд╕рд┐рдЧреНрдорд╛ рдирд┐рдпрдо рдореЗрдВ рдХреЗрд╡рд▓ 0x1410 рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдпрд╛ рдЧрдпрд╛ рдерд╛, рд╢рд╛рдпрдж рдпрд╣ рдЗрд╕ рддрдереНрдп рдХреЗ рдХрд╛рд░рдг рд╣реИ рдХрд┐ mimikatz рдХреЗ рдкреБрд░рд╛рдиреЗ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдиреЗ рджреЛрдиреЛрдВ рдЕрдиреБрд░реЛрдз рдХрд┐рдП (PROCESS_QUERY_INFORMATION рдФрд░ PROCESS_QUERY_LIMITED_INFORMATION), рд╣рд╛рд▓рд╛рдВрдХрд┐, mimikatz 0x1010 рдХреЗ рд╕рд╛рде рдкрд╛рд░рд┐рдд рд╣реБрдЖ, рдЗрд╕рд▓рд┐рдП рдЖрдкрдХреЛ рд╕рд╣реА рдХрд░рдирд╛ рдкрдбрд╝рд╛ред рдЕрдм рдРрд╕реА рдХреЛрдИ рд╕рдорд╕реНрдпрд╛ рдирд╣реАрдВ рд╣реИ, рдФрд░ рд╕рдм рдХреБрдЫ рдмреЙрдХреНрд╕ рд╕реЗ рдмрд╛рд╣рд░ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИред
рдЗрд╕ рдкреНрд░рдХрд╛рд░, рдпрджрд┐ рдХрд┐рдмрди рдореЗрдВ рд╣рдо рдлрд╝рд┐рд▓реНрдЯрд░рдЗрд╡реЗрдВрдЯ_рдб: 10 рдФрд░ рдкреНрд░реЛрд╕реЗрд╕_рдЯрд╛рд░реНрдЧреЗрдЯ_рдирд╛рдо: "* lsass.exe" рдФрд░ process_granted_access: "0x1010" рдбрд╛рд▓рддреЗ рд╣реИрдВ, рддреЛ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХреЗрд╡рд▓ рд╣рдорд╛рд░рд╛ mimtatz рд╣реЛрдЧрд╛ред
рд╕реБрдЦрдж рд╕реЗ: mimikatz_inmemory, mimikatz_trough_winrm рдФрд░ рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ safetycatz (рдЕрдкрдиреЗ рд╕реНрд╡рдпрдВ рдХреЗ рдЪрд┐рдкреНрд╕ рдХреЗ рд╕рд╛рде mimikatz рдХрд╛ .NET рд╕рдВрд╕реНрдХрд░рдг) рдХреЗ рд▓рд┐рдП рдирд┐рдпрдо рд╣реИрдВредрдЖрдк рдФрд░ рдХреНрдпрд╛ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ?
рдмреЗрд╢рдХ, рдирд┐рдпрдо рдорд┐рдорд┐рдХреЗрдЬрд╝ рддрдХ рд╕реАрдорд┐рдд рдирд╣реАрдВ рд╣реИрдВ, рдЙрдирдореЗрдВ рд╕реЗ рдмрд╣реБрдд рд╕рд╛рд░реЗ рд╣реИрдВред рд╡реЗ рд╢реНрд░реЗрдгрд┐рдпреЛрдВ рдХреЗ рдЕрдиреБрдкреНрд░рдпреЛрдЧ, рдХреНрд▓рд╛рдЙрдб, рдЕрдиреБрдкрд╛рд▓рди, рд▓рд┐рдирдХреНрд╕, рдиреЗрдЯрд╡рд░реНрдХ, рдкреНрд░реЙрдХреНрд╕реА, рд╡реЗрдм рдФрд░ рд╡рд┐рдВрдбреЛрдЬрд╝ рдореЗрдВ рд╡рд┐рднрд╛рдЬрд┐рдд рд╣реИрдВред рд╢реНрд░реЗрдгрд┐рдпреЛрдВ рдХреЛ рдЙрдкрд╢реНрд░реЗрдгрд┐рдпреЛрдВ рдореЗрдВ рд╡рд┐рднрд╛рдЬрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рд╡рд┐рдВрдбреЛрдЬрд╝ рдХреЛ рдмреЗрд╕рд┐рди, рдореИрд▓рд╡реЗрдпрд░, рдЕрдиреНрдп, рдкрд╛рд╡рд░рд╢реЗрд▓, рдкреНрд░реЛрд╕реЗрд╕_рдХреНрд░рд┐рдПрд╢рди, рд╕рд┐рд╕рдореЛрди рдореЗрдВ рд╡рд┐рднрд╛рдЬрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИредрдФрд░ рдЬреЛ рдЬрд╛рдирддрд╛ рд╣реИ, рд╢рд╛рдпрдж GPO рдореЗрдВ рдкреЙрд╡рд░рд╢реЗрд▓ рд▓реЙрдЧрд┐рдВрдЧ рдХреЛ рд╢рд╛рдорд┐рд▓ рдХрд░рдХреЗ, рдЖрдк рдЗрди рдирд┐рдпрдореЛрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдЕрд▓рд░реНрдЯ рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВрдЧреЗ:
рдпрд╣ рд╕рдм рдкреНрд░рддреАрдд рд╣реЛрддрд╛ рд╣реИред рдЪреИрдирд▓ рдХреА рд╕рджрд╕реНрдпрддрд╛ рд▓реЗрдВ, рдЬреИрд╕реЗ, рдШрдВрдЯреА рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред