Sistema de detección de HIDS y cambios en el registro

7

Utilizo OSSEC HIDS para monitorear los sistemas operativos XP y Windows 7.

Cuando OSSEC marca los cambios en el registro de Windows, no tengo idea de dónde buscar información e identificar si los cambios son legítimos o si existe una intrusión real. Entonces, tengo dos preguntas:

1) ¿Alguien puede ver algo concerniente a los siguientes cambios que se marcaron en las verificaciones de integridad de un día?

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ialm\Device0
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Epoch
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings

2) ¿Alguien puede indicarme recursos o sitios web para ayudarme a comprender mejor el registro de Windows y cómo identificar las intrusiones en función de sus cambios?

    
pregunta beauk 06.05.2012 - 05:17
fuente

3 respuestas

5

Se proporcionaron las claves de registro

Estas son solo las claves de registro. Para agregar análisis, es necesario que también necesiten los nombres de los valores. La primera clave está relacionada con el controlador de video Intel. El segundo es una red relacionada con LAN Manager. El tercero está relacionado con el Firewall de Windows / Conexión compartida a Internet. El cuarto es de hecho un gancho de Windows Genuine Advantage.

Ninguna de estas claves de registro indica una intrusión por sí mismas. Sin embargo, investigaría si un usuario ha cambiado estas áreas o si los cambios se relacionan con la Política de grupo o las actualizaciones de Microsoft que se están implementando.

Sugeriría que los cambios en su entorno (como parches, software y políticas de grupo) se prueben en una PC de control para que pueda eliminar rápidamente los falsos positivos. Esto le ayudará a comprender mejor el registro de Windows.

Las claves de registro típicamente de alto riesgo son:

  • HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ *
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ * en particular PendingFileRenameOenameations
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opciones de ejecución de archivos de imagen
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *

Recursos

Las sugerencias hechas por Mark son buenas. Sans.org tiene un montón de grandes recursos. Personalmente, solo usaría un motor de búsqueda como Google o Bing para buscar la clave / valor del registro. La mayoría de las claves de registro de Microsoft están bastante bien documentadas con explicaciones.

También me gustaría ver informes de malware de todos los proveedores principales. En general, hay patrones comunes en los que el malware elimina las claves de registro, por ejemplo. enlace

Espero que esto ayude.

    
respondido por el Bernie White 17.05.2012 - 13:08
fuente
6

Recomiendo echar un vistazo al blog SANS Forensics (http://computer-forensics.sans.org), tienen algunos artículos sobre el análisis del Registro de Windows como enlace .

Aquí está el enlace a todas sus publicaciones de blog sobre Análisis de Registro - enlace .

Podría valer la pena instalar las herramientas de Sysinternals para el análisis complementario - enlace

Respecto a OSSEC, ¿ha cambiado la configuración o es la instalación predeterminada? Sospecho que podría ser un falso positivo, pero no soy un experto en el registro de Windows. Creo que las tres primeras claves están relacionadas con los controladores y la última tiene algo que ver con Windows Genuine Advantage, que no tengo idea de por qué se modificaría.

    
respondido por el Mark Hillick 16.05.2012 - 15:05
fuente
-2

No soy un profesional en esto, pero le daré consejos basados en mi experiencia y conocimiento, que no son muchos pero sí valiosos. Esta herramienta es extremadamente útil porque al usarla básicamente puede detectar malwares de TODOS los tipos diferentes y TODOS los diferentes niveles de complejidad. Teniendo en cuenta esto, tendrás que trabajar un poco en tu final. Lo que haría sería descargar una máquina virtual como VMware y luego descargar un keylogger remoto o un keylogger que le permite adjuntar instalaciones remotas a un archivo y luego, en su máquina virtual, abra este keylogger y utilice OSSEC para observar cuáles son los cambios o qué La reacción de OSSEC es a este keylogger. De manera similar, exponga su máquina virtual y OSSEC a otros programas maliciosos y observe el comportamiento de varios malware cuando se exponen a OSSEC. Usando esto, solo necesita probar algunos tipos diferentes de malware hasta que vea un patrón general de cómo funcionan los virus o gusanos, ya que todos tienen un impacto similar en una máquina. Una vez hecho esto borra la máquina virtual y reúne todos tus datos. Aparte de eso, dudo que alguien sepa lo que está pasando exactamente en los controles que mencionas, a menos que hayan tenido experiencia con malware antes.

    
respondido por el Raynos 15.05.2012 - 14:14
fuente

Lea otras preguntas en las etiquetas