Утилиты windows defender что это

Безопасность Microsoft 365

Все о Microsoft Security

Почему журналы антивируса Защитника Windows так важны и как отслеживать их с помощью Azure Sentinel?

Сегодня мы поговорим о нашем старом добром друге, более известном как Windows Defender AV. Не путать с решением EDR, которое называется «Защитник для конечной точки». Защитник Windows – это стандартный готовый антивирус для компьютеров с Windows.

В этом сообщении блога мы объясним, почему важно следить за антивирусными журналами Защитника Windows и как использовать данные телеметрии для создания настраиваемых предупреждений. Мы начнем с демонстрации реальных случаев, когда злоумышленники обходят Защитник Windows. Сделав это, мы покажем несколько примеров с Azure Sentinel, которые мы будем использовать для создания настраиваемых оповещений. Это можно сделать и с другими решениями, поэтому не думайте, что нужно использовать только Azure Sentinel, когда вы можете использовать и другие решения.

Атаки программ-вымогателей

Во многих атаках программ-вымогателей мы видели, что злоумышленники, как правило, обходят антивирус Защитника Windows. Это можно сделать, просто отключив антивирус или создав исключения и т. д.

Во время атаки программы-вымогателя Sodinokibi злоумышленники создали объект групповой политики и развернули его во всех системах, чтобы отключить антивирус Защитника Windows.

Источник: https://thedfirreport.com/2021/03/29/sodinokibi-aka-revil-ransomware/

Другой пример произошел во время атаки программы-вымогателя Kaseya. Где шифровальщик-вымогатель начал отключать дополнительную защиту в Защитнике Windows.

Источник: https://www.reddit.com/r/kaseya/comments/ocf0x1/kaseya_has_been_hacked_with_randomware_that/

Это происходит в большинстве случаев программ-вымогателей, поэтому для лучшего понимания. Мы собираемсячтобы продемонстрировать несколько примеров на практике.

Защитник Windows

Чтобы злоумышленник мог отключить Защитник Windows или создать какие-либо исключения. Требуются права локального администратора на поле, поэтому кратко. Это работает только после получения прав администратора. В этом разделе мы продемонстрируем различные примеры, включая создание исключений и отключение антивируса.

Помимо этого, мы также рассмотрим следы, оставленные на машине, что может быть полезно при проведении криминалистической экспертизы.

Во-первых, мы будем моделировать шаги, которые обычно выполняет злоумышленник, когда дело доходит до уничтожения антивируса Защитника Windows. Сюда входят действия, такие как отключение защиты в реальном времени, добавление исключений и т. д.

Добавление исключения в каталог

В первом примере будет создано исключение для папки. Это позволяет злоумышленнику поместить все свои вредоносные файлы в папку, не беспокоясь о том, что антивирусная программа «Защитник Windows» удалит их.

Чтобы сделать это, мы должны запустить следующую команду:

Результат

В результатах примера мы видим событие с идентификатором 5007. Это указывает на то, что конфигурация AV Защитника Windows была изменена. Однако мы также можем получить другие 5007, чтобы найти правильный идентификатор события, указывающий на то, что было установлено исключение. Мы должны посмотреть на следующий раздел реестра: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths в поле свойств.

Если бы мы сейчас запустили следующую команду:

Мы видим, что две папки были исключены.

Добавление исключений в расширения

Злоумышленник также может создавать исключения для расширений. Это означает, что Windows Defender AV, например, не будет сканировать сценарии .ps1 или .vbs. Да, это можно сделатьдля других расширений.

Для этого мы можем запустить одну из следующих команд:

Результат

В результате примера мы видим тот же идентификатор события, но другой ключ реестра. Все исключения, сделанные для расширений, можно найти здесь: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions

Если мы сейчас запустим следующую команду:

Мы видим, что расширение «.ps1» было исключено.

Добавить исключение в процесс

Злоумышленник может создать исключение, чтобы исключить определенный процесс из сканирования антивирусом Защитника Windows.

Чтобы сделать это, мы должны запустить следующую команду:

Результат

В результате примера мы видим, что процесс был исключен из Защитника Windows. Будет создано событие с идентификатором 5007, содержащее следующий раздел реестра: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

.

Если мы сейчас запустим следующую команду:

Мы видим, что «C:\Windows\System32\cmd.exe» был исключен.

Удаление всех подписей

Злоумышленник может оставить Защитник Windows включенным, но удалить все подписи.

Чтобы сделать это, мы должны запустить следующую команду:

Результат

В результате примера мы увидим разные идентификаторы событий. Одно из них — событие ID 2002, но поле «Текущий движок» будет пустым. Это один из индикаторов, на который стоит обратить внимание.

Читайте также:  Утилиты linux что это

Второй индикатор — просмотр события с идентификатором 5007, которое содержит следующий ключ реестра в свойствах: HKLM\SOFTWARE\Microsoft\Windows Defender\Features\Controls

Если мы запустим следующую команду:

Здесь мы видим, что значений нет. Это означает, что весьма вероятно, чтовсе подписи удалены из AV.

Отключить сканирование скриптов

Существует параметр, указывающий, следует ли отключать сканирование скриптов во время сканирования вредоносных программ.

Чтобы отключить сканирование сценария, мы должны выполнить следующую команду:

Результат

В результате примера мы видим событие ID 5007. Чтобы определить, что сканирование скриптов было отключено. Мы должны просмотреть следующий раздел реестра: HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection

Если мы сейчас запустим следующую команду:

Мы видим, что сканирование скриптов отключено. Значение «0x1» в «DisableScriptScanning» является индикатором.

Отключить контролируемый доступ к папкам

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-вымогатели. Все приложения (любой исполняемый файл, включая файлы .exe, .scr, .dll и другие) оцениваются антивирусной программой Microsoft Defender, которая затем определяет, является ли приложение вредоносным или безопасным. Злоумышленник может отключить, чтобы снять всю дополнительную защиту.

Чтобы сделать это, мы должны запустить следующую команду:

Результат

В примере результата мы видим идентификатор события, который содержит следующий раздел реестра: HKLM\SOFTWARE\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access

Если мы сейчас запустим следующую команду:

Мы видим, что доступ к контролируемой папке отключен. Индикатор должен смотреть на «EnableControlledFolderAccess», который имеет значение «0x0»

.

Включить защиту сети Включить режим аудита

Защита сети помогает предотвратить использование пользователями каких-либо приложений для доступа к опасным доменам, на которых может размещаться фишинг.мошенничество, эксплойты и другой вредоносный контент в Интернете. Злоумышленник может включить Network Protection в режиме аудита, чтобы вредоносный контент не блокировался.

Чтобы включить защиту сети в режиме аудита, нам нужно выполнить следующую команду:

Результат

В результате примера мы видим идентификатор события, который содержит следующий раздел реестра: HKLM\SOFTWARE\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection

Если мы сейчас запустим следующую команду:

Мы видим, что защита сети отключена. Индикатор «EnableNetworkProtection» со значением «0x2»

.

Отключить службу Microsoft Active Protection

Служба Microsoft Active Protection — это интернет-сообщество, которое помогает вам выбирать, как реагировать на потенциальные угрозы. Эта функция обеспечивает проверку устройства в режиме реального времени с помощью службы Microsoft Active Protection Service (MAPS), прежде чем разрешать запуск или доступ к определенному содержимому. Если эта функция отключена, проверка не произойдет, что снизит состояние защиты устройства.

Чтобы отключить MAPS, нам нужно выполнить следующую команду:

Результат

В результате примера мы видим идентификатор события, который содержит следующий раздел реестра: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet

Если мы сейчас запустим следующую команду:

Мы видим, что приложение MAPS отключено. Значение «SpyNetReporting» с «0x0» является индикатором.

Никогда не отправляйте образцы

Злоумышленник может изменить запрет на отправку образцов в Защитник Windows.

Для этого нам нужно выполнить следующую команду:

Результат

В примере результата мы видим идентификатор события, который содержит следующий реестрключ: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet

Если мы сейчас запустим следующую команду:

Мы видим, что все образцы никогда не отправляются. Индикатор — «SubmitSamplesConsent» со значением «0x2»

.

Отключить защиту в реальном времени

Windows использует защиту в режиме реального времени для сканирования на наличие вредоносного и другого нежелательного ПО. Как только это будет отключено, он ничего не будет сканировать.

Чтобы сделать это, мы должны запустить следующую команду:

Результат

В результате примера мы получим событие с идентификатором 5001. Этот идентификатор события указывает на то, что защита в реальном времени отключена.

Если мы сейчас запустим следующую команду:

Мы видим, что была попытка отключить защиту в реальном времени. После тестирования на производственной системе. Вы можете увидеть это значение реестра. Однако это не означает, что защита в реальном времени отключена. Например, у вас может быть политика SCCM AntiMalware, которая переопределяет параметры. Лучше всего просмотреть событие с идентификатором 5001.

Читайте также:  Какие утилиты нужны для материнской платы

Отключить защиту IOAV

Эта функция Защитника Windows указывает, сканирует ли Защитник Windows все загруженные файлы и вложения.

Чтобы отключить это, нам нужно выполнить следующую команду:

Результат

В результате примера мы видим, что защита IOAV отключена. Идентификатор события 5004 указывает, что это действие было выполнено. Этот идентификатор события может быть немного шумным, поэтому, если вы хотите создать для него запрос. Возможно, вам придется отфильтровать «Загрузки IE и вложения Outlook Express» в поле «Функция».

Ситуационная осведомленность

Злоумышленник может отключить поставщика ETW для Защитника Windows, чтобы ничего не регистрировалось в Microsoft-Windows-Windows-Защитник/Оперативный больше.

Чтобы сделать это, мы должны запустить следующую команду:

Результат

В результате примера мы видим, что поставщик ETW для Защитника Windows отключен.

Настройка Azure Sentinel

Прежде чем мы захотим использовать Azure Sentinel, нам нужно сначала создать рабочую область Log Analytics. Azure Sentinel использует Log Analytics в качестве серверной части для хранения журналов и другой информации.

Чтобы создать рабочую область Log Analytics:

  • Перейти на портал Azure
  • Выполните поиск «Рабочая область Log Analytics» в строке поиска и нажмите клавишу ввода
  • .

  • Нажмите «Создать»
  • Заполните остальную информацию и закончите

После этого мы можем настроить Azure Sentinel.

Чтобы настроить Azure Sentinel:

  • Перейти на портал Azure
  • Найдите «Azure Sentinel» в строке поиска и нажмите клавишу ВВОД
  • Нажмите «Создать Azure Sentinel»
  • Выберите созданную ранее рабочую область Log Analytics
  • Нажмите «Добавить»

Теперь мы успешно создали рабочую область Azure Sentinel.

Развертывание агента MMA

Microsoft Monitoring Agent собирает и сообщает различные данные, включая показатели производительности, журналы событий и информацию о трассировке. Это позволяет нам получать журналы с компьютера и отправлять их в Log Analytics. Это необходимо для сбора журналов антивируса Защитника Windows.

  1. Первое, что нам нужно сделать, это загрузить MMA Agent.
  • Перейти на портал Azure
  • Нажмите «Рабочее пространство Log Analytics»
  • .

  • Нажмите на созданную рабочую область Log Analytics
  • .

  • Перейдите в «Управление агентами»

Как мы видим, подключено 0 машин.

2. Теперь нам нужно создатьобщую папку, чтобы компьютеры могли получить к ней доступ.

  • Загрузить агент MMA
  • Создать папку на сервере
  • Щелкните правой кнопкой мыши папку и выберите «Общий доступ»
  • Предоставить «Компьютерам домена» доступ на чтение
  • Сохраните пакет агента MMA в созданной общей папке.

Теперь нам нужно открыть блокнот и скопировать и вставить следующую команду:

ПРИМЕЧАНИЕ. Замените WORKSPACE_ID и WORKSPACE_KEY своими. C:\MMA-Agent\MMASetup-AMD64.exe — это наша общая папка, содержащая агент MMA.

Сохраните его как файл .cmd и поместите файл в созданную общую папку, содержащую также агент MMA, в нашем случае это C:\MMA-Agent

.

3. В этой части нам нужно создать групповую политику и активировать агент MMA.

  • Создайте Объект групповой политики и дайте ему понятное имя
  • В Редакторе управления групповыми политиками выберите Конфигурация компьютера , затем Настройки , а затем Параметры Windows .
  • Щелкните правой кнопкой мыши Папки , выберите Создать и выберите путь, по которому вы хотите, чтобы агент MMA сохранялся на конечных точках. В этом примере мы собираемся выбрать следующий Путь : C:\Program Files

  • Щелкните правой кнопкой мыши Файлы , выберите Создать и нажмите Файл
  • Действие : Обновить
  • Источник : \\APD-DC1\MMA-Agent\MMASetup-AMD64.exe
  • Путь : C:\Program Files\MMASetup-AMD64.exe

  • Еще раз щелкните правой кнопкой мыши Файлы , выберите Создать и еще раз щелкните Файл
  • .

  • Действие: Заменить
  • Источник: \APD-DC1\MMA-Agent\MMASetup.cmd
  • Цель: C:\Program Files\MMASetup.cmd
  • Нажмите Общие , установите флажок Применить один раз и не применять повторно флажок.

Если вы все сделали правильно, у вас должно получиться что-то вроде этого:

  • Вернитесь к началу Редактора управления групповыми политиками
  • В Редакторе управления групповыми политиками выберите Конфигурация компьютера , затем Политики , а затем Параметры Windows .
  • Нажмите Сценарии (запуск/выключение)
  • Нажмите Запуск
  • Нажмите Добавить
  • Имя сценария: C:\Program Files\MMASetup.cmd

Это обеспечит выполнение на машинах файла .cmd , содержащего команду для развертывания агента MMA на машине.

4. Свяжите объект групповой политики с подразделениями, содержащими рабочие станции и рядовые серверы

.

5. Здесь мы видим, что теперь подключены две машины. Как обсуждалось ранее, обработка объекта групповой политики может занять некоторое время.

Читайте также:  Что такое импакт утилиты мод

Собирать антивирусные журналы Защитника Windows

Теперь мы собираемся собирать журналы антивируса Защитника Windows в нашей рабочей области Azure Sentinel.

  • Перейдите в рабочую область Log Analytics
  • Нажмите «Конфигурация агентов»
  • Нажмите «Добавить журнал событий Windows»
  • Выберите: «Microsoft-Windows-Защитник Windows/Оперативный»

Запрос антивирусных журналов Защитника Windows

Теперь мы можем запрашивать антивирусные журналы Защитника Windows для машины.

Поиск запросов

Все эти поисковые запросы приведены в качестве примера, поэтому может потребоваться точная настройка.

  1. Этот запрос определяет, была ли папка исключена из антивируса Защитника Windows.

Запрос

Результат

В результате примера мы видим, что папка «C:\Windows\Temp» была исключена.

2. Этот запрос определяет, является ли расширениебыл исключен из антивируса Защитника Windows.

Запрос

Результат

В результате выборки мы видим, что расширение «.ps1» было исключено.

3. Этот запрос определяет, пытается ли кто-то внести изменения в антивирус Защитника Windows, пока он блокируется защитой от несанкционированного доступа. Этот идентификатор события регистрируется только в том случае, если на компьютере включена защита от несанкционированного доступа.

Запрос

Результат

В результате выборки мы видим, что было две попытки. Один из них пытался отключить защиту в реальном времени, но он был заблокирован защитой от несанкционированного доступа.

Создание настраиваемых оповещений

Вместо использования запросов в качестве поискового запроса. Мы также можем использовать их для создания настраиваемых предупреждений и уведомления после их срабатывания. Этот запрос может потребовать тонкой настройки, но он приведен в качестве примера.

Второе, что нам нужно сделать, это заполнить некоторую информацию о правиле, тактике и т. д.

Теперь в Azure Sentinel мы видим, что получили одно оповещение.

И последнее, но не менее важное. Мы можем начать расследование предупреждения. Он отобразит график с соответствующими объектами.

Защита от несанкционированного доступа

Защита от несанкционированного доступа предотвращает нежелательные изменения настроек безопасности на устройствах. С помощью этой защиты клиенты могут нейтрализовать вредоносное ПО и угрозы, которые пытаются отключить функции безопасности защиты .

Если бы мы запустили ту же команду, которую использовали злоумышленники, а именно:

Результат

Мы бы заблокировали несколько нежелательных изменений, которые мы видим в событии с идентификатором 5013.

Чтобы быть более точным на том, что было бы заблокировано, если бы мы выполнили вышеуказанную команду:

  • ВмешательствоЗащита заблокировала изменение антивирусной программы Microsoft Defender.
    Значение: HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection = (Current)
  • Защита от подделки заблокировала изменение антивирусной программы Microsoft Defender.
    Значение: HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning = (Current)
  • Защита от подделки заблокировала изменение антивирусной программы Microsoft Defender.
    Значение: HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring = (Current)

Просмотрите свои исключения

Чтобы получить обзор всех ваших исключений. Мы должны запустить следующую команду от имени администратора:

Результат

В результате примера мы видим, что папка «C:\Windows\Temp» и расширение «.ps1» были исключены.

SCCM

Многие корпоративные организации используют SCCM для управления настройками Защитника Windows, включая пути исключений. Все ключи реестра имеют те же значения, что и машины, для которых настроены исключения без SCCM, но единственное отличие состоит в том. После того, как в SCCM настроено исключение, скажем, для определенной папки. Информация будет храниться в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions\paths вместо HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths

  • Папки исключений: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions\paths
  • Процессы исключения: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions\processes
  • Расширения исключений: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions\extensions
  • Шпионская сеть:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\spynet
  • Защита в реальном времени: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Защитник Windows\защита в реальном времени

Сводка

Сначала мы начали с уничтожения антивируса Защитника Windows точно так же, как это делают злоумышленники. После этого мы начали настраивать Azure Sentinel и развертывать агент MMA на нашем компьютере, чтобы отправить все журналы Microsoft-Windows-Windows-Defender/Operational в нашу рабочую область.

По мере того как мы можем иметь уведомление. Создание исключений, удаление всех подписей или отключение средств защиты по умолчанию не вызывает никаких предупреждений. Однако это не означает, что мы не должны отслеживать такого рода деятельность. Во многих случаях программ-вымогателей это произойдет. Начните с мониторинга журналов AV Защитника Windows. Следите за каждым исключением, которое будет настроено на компьютере, или любыми попытками отключить дополнительную защиту, такую ​​как защита в реальном времени, защита сети, контролируемый доступ к папкам и т. д.

Поделиться с друзьями
Комп ремонт