Eventos Importantes en Logs que Debes Conocer

1. Introducción: Logs, Volumen y Lo Que Importa

Debemos saber qué logs obtener. Recolectar registros es esencial para saber lo que está pasando. Hay que equilibrar la importancia de la información con el absurdo volumen de registro que implica grabarla.

Hay que empezar conociendo los eventos clave.

2. Inicios de Sesión (Logins)

Inicios de Sesión de Windows

Son eventos muy frecuentes.

• EID 4624: Inicio de sesión exitoso.
• EID 4625: Inicio de sesión fallido.

Datos que debemos mirar en estos logs:

1. Nombre de Cuenta y Dominio de Cuenta: Indica quién inició sesión. Si la cuenta es local (no de Dominio), el Dominio de Cuenta será el nombre del PC.
2. Tipo de Inicio de Sesión (Logon Type):
   • Tipo 2: Sesión interactiva (alguien en el teclado).
   • Tipo 10: Conexión RDP (Escritorio remoto). Si hay movimiento lateral, este tipo es importante de auditar.
   • Tipo 3: Inicio de sesión de red (como conectarse a un recurso compartido de archivos).
3. Información de Red: Si es un login remoto, incluye el nombre de la estación de trabajo y la dirección IP de origen. Esto es clave para detectar movimiento lateral, buscando logins que no provienen de la IP 127.0.0.1.

Ruido: Las cuentas que terminan en un signo de dólar ($) son cuentas de máquina (de computadora) y generalmente no son de interés para la seguridad.

Inicios de Sesión Especiales (RunAs)

• EID 4648: Indica que alguien usó el comando "Ejecutar como" (RunAs) para iniciar un proceso con las credenciales de otra cuenta.
• El log muestra al sujeto (quién lo hizo) y la cuenta cuyas credenciales fueron usadas (a quién se hizo pasar).
• Si un atacante comprometió un usuario y luego obtuvo una contraseña de administrador de dominio, podría usar el RunAs en un portátil normal, dejando este evento 4648.
• Hay que revisar si tiene sentido que las credenciales de un usuario X se utilicen en el laptop de un usuario Y.

Inicios de Sesión de Linux

Los logins en Linux son complicados de procesar automáticamente porque son inconsistentes y se extienden a través de múltiples líneas.

• Generalmente hacen referencia a "pam" (Pluggable Authentication Module).
• Un login SSH exitoso puede dividirse en unos 5 mensajes de log.
• Fallos de Login: No existe un EID único (como el 4625 de Windows) para los fallos. Se deben buscar múltiples patrones, ya que los fallos por nombre de usuario no válido o contraseña incorrecta pueden ser registrados de forma diferente (ej. por sshd o lightdm).

3. Registros de Creación de Procesos (Muy Importante)

La creación de procesos es uno de los logs más importantes que se pueden recolectar. Esto es una mina de oro de información para detectar malware.

• El Gran Problema: Hay muchísimos. La creación de procesos sucede todo el tiempo. La solución es el filtrado muy cuidadoso y la eliminación de ruido.

Windows

• EID 4688: Log de creación de procesos incorporado en el canal de Seguridad de Windows. Es una solución fantástica porque está integrado y no requiere agentes adicionales.
• Sysmon (EID 1): Es la opción más detallada. Requiere la instalación de un driver y servicio, pero ofrece más contexto, como el hash, la descripción del programa, el nombre del producto y la información de la firma. Es casi como un EDR improvisado (makeshift EDR).

Información requerida para la detección de amenazas:

1. Ruta y nombre del ejecutable. Esto es vital para diferenciar un calc.exe bueno de uno malo instalado en una carpeta aleatoria.
2. Argumentos utilizados. El simple hecho de que se ejecute cscript.exe no es suficiente; se necesita ver los argumentos para saber si se usó un script de malware o uno legítimo.
3. Metadatos (si es posible): Hash, si está firmado (o si carece de firma) y el proceso padre (parent process).

Ejemplo de Evento Sospechoso: Un usuario promedio ejecutando whoami /priv. Este comando es utilizado por atacantes para enumerar privilegios, lo cual no es normal para un usuario común. Si ven privilegios de debug listados, el atacante podría intentar ejecutar mimikatz después.

Linux

• Auditd (Subsystema de Auditoría de Linux): Es la capacidad de auditoría incorporada en Linux.
  • Es extremadamente detallado, registrando llamadas al sistema (syscall), comandos y el usuario asociado.
  • El problema es que es excesivamente verboso y difícil de interpretar. El log de un simple comando whoami se rompe en múltiples líneas, registrando el directorio de trabajo actual (CWD), el comando ejecutado (EXECVE) y la ruta del binario.
• Snoopy Logger: Una alternativa más simple para registrar la línea de comandos.
  • Registra el tiempo, el usuario, el directorio de trabajo actual y el comando que se ejecutó.
  • Si se detecta a alguien ejecutando un script como LinEnum (usado para buscar vulnerabilidades de escalada de privilegios), esto debería generar una alarma inmediata.

4. Otros Eventos Importantes del Host

Logs de Firewall de Windows (WFAS)

El Firewall de Windows con Seguridad Avanzada (WFAS) proporciona logs valiosos que vinculan la actividad de red a un proceso, algo que el firewall de red no puede hacer.

• EID 5156: Conexión permitida.
• EID 5157: Conexión bloqueada.
• EID 5154: Indica un programa que está escuchando (listening). Esto es útil para detectar vulnerabilidades del lado del servicio o backdoors.
• Advertencia de Volumen: El 5156 (conexión permitida) generará un volumen total que puede inundar el SIEM. Si se recogen, se debe filtrar intensamente para eliminar lo que se sabe que está permitido.
• Recomendación de Registro: Se debe registrar en el canal de Seguridad porque incluye la información del proceso, a diferencia del archivo de texto (pfirewall.log).

Para habilitar el registro de eventos de firewall podemos ejecutar:

AuditPol /set /subcategory:"Filtering Platform Connection" /success:enable

Para los eventos 5156 y 

AuditPol /set /subcategory:"Filtering Platform Connection" /failure:enable

para los eventos 5157

Auditoría de Acceso a Objetos de Windows

Esto permite monitorear archivos o claves de registro específicas.

• EID 4663: Intento de acceso a un objeto (ej. lectura o escritura de un archivo).
• EID 4657: Se modificó un valor del registro.
• Uso Táctico: La auditoría solo se activa si se configura explícitamente para el objeto de interés. Es una metodología de detección táctica; no se debe auditar todo el disco C: ya que eso arruinaría el sistema.
• Ejemplo: Auditar la clave de registro CurrentVersion\Run para detectar persistencia de malware. Una detección inmediata de persistencia se lograría al ver el evento 4657 cuando el malware escribe la clave.

# Habilitar auditoría de acceso a objetos (para EID 4663)
AuditPol /set /subcategory:"File System" /success:enable /failure:enable
# Habilitar auditoría de acceso al registro (para EID 4657)
AuditPol /set /subcategory:"Registry" /success:enable /failure:enable

Persistencia: Servicios y Tareas Programadas

Los atacantes buscan quedarse en el sistema (persistence).

• Creación de Servicios (Windows): Los atacantes a menudo crean un nuevo servicio para la persistencia.
  • EID 7045: Se registra cuando se instala un nuevo servicio en el canal System. Si su organización solo recolecta el canal de Seguridad, no verá esto.
  • EID 4697: (Windows 10/2016+) Se registra en el canal de Seguridad si la política de auditoría está activada.
  • Hay que buscar anomalías en el Nombre del Servicio o el Nombre del Archivo del Servicio (como nombres aleatorios que intentan esquivar la detección).
• Nuevas Tareas Programadas (Windows): Se usan para persistencia o movimiento lateral.
  • EID 4698: Se registra en el canal de Seguridad. Muestra quién creó la tarea, cuándo se ejecutará y el comando que ejecutará (ej. calc.exe).
  • Se puede usar para reinstalar un virus diariamente (persistencia).
  • También para movimiento lateral: usando el comando AT con \\nombredehost para programar una tarea en una máquina remota.

Eventos Plug and Play USB

• EID 6416: Se genera en el canal de Seguridad cuando se inserta un dispositivo Plug and Play (PNP).
  • El log proporciona la Identificación del Vendedor (VID) y la Identificación del Producto (PID).
  • Estos números (0x090C, 0x1000 en el ejemplo) funcionan como un OUI de MAC, permitiendo buscar el tipo de producto insertado (ej. "USB Disk product created by Silicon Motion").

Creación de Usuarios y Gestión de Grupos

Técnica común de persistencia: crear un nuevo usuario para garantizar el acceso continuo.

• EID 4720: Se crea una nueva cuenta de usuario.
• EID 4732: Un miembro es agregado a un grupo local (ej. Administradores locales en una máquina).
• EID 4728: Un miembro es agregado a un grupo global de seguridad (ej. Administradores de Dominio). Esto es un evento crítico que requiere atención inmediata, ya que alguien agregó a alguien a la lista de administradores de dominio.

Windows Defender y PowerShell

• Windows Defender (EID 1006/1116): Indica que se detectó malware en el sistema. Estos se encuentran en el canal de log Operacional de Windows Defender. El evento proporciona el nombre del virus y la ruta donde se encuentra el archivo ofensivo.
• PowerShell (EID 4104): Log de bloque de scripts (Script block logging). Los atacantes adoran PowerShell porque a menudo estos logs no están habilitados.
  • Requisito fundamental: Debe tener instalada la versión 5 de PowerShell (las versiones 2, 3 y 4 no son suficientes).
  • El 4104 registra el texto real que se ejecuta, incluso si el comando original fue ofuscado.
  • Logging de Transcripción (Transcript logging): Este es un tercer tipo de log que registra literalmente lo que se tecleó y la salida de la sesión de PowerShell, y se guarda en un archivo de texto (no en el log de eventos de Windows). La recomendación es guardar estos archivos en un recurso compartido de Windows con acceso de solo escritura.

5. Autenticación Kerberos

Kerberos es el protocolo principal de autenticación en Windows.

El Proceso Básico

El Controlador de Dominio (KDC) tiene dos roles: Servidor de Autenticación (AS) y Servicio de Concesión de Tickets (TGS).

1. El cliente se autentica ante el AS usando su contraseña (o hash de la contraseña) y recibe un Ticket de Concesión de Tickets (TGT). El TGT es un ticket que permite obtener otros tickets.
2. Cuando el cliente necesita acceder a un servicio (ej. un recurso compartido de archivos), usa el TGT para solicitar un Service Ticket (ST) al TGS.
3. El cliente lleva ese ST al servicio de destino, que verifica que fue firmado por el Dominio, y concede el login.

Eventos de Kerberos (En el Controlador de Dominio)

• EID 4768: Se solicitó un Ticket de Concesión de Tickets (TGT).
  • Ocurre al inicio de sesión.
  • Un código de resultado de 0 significa éxito.
  • Muestra el usuario, el dominio y la dirección IP del cliente. Esto permite vincular a una persona a una IP y una máquina en un momento dado.
  • El campo Pre-Authentication Type indica si fue una contraseña normal (Tipo 2) o una tarjeta inteligente (Tipo 15).
• EID 4769/4770: Se solicitó o renovó un Service Ticket (ST).
  • Muestra a qué servicio intentaban acceder (ej. FILESHARE01).
  • Buscar anomalías en las solicitudes de service tickets puede ayudar a identificar ataques como Kerberoasting.
• EID 4624 (En el Host de Destino): La culminación de Kerberos, que ocurre en el servicio (host) al que se accede con el Service Ticket.

Diferenciación de Protocolos de Login

Dentro del evento 4624 (en el host de destino), el campo Authentication Package indica el protocolo:

• Kerberos: Autenticación normal.
• NTLM: Generalmente anormal, a menudo utilizado para ataques como pass the hash y movimiento lateral.
• Negotiate: Usará Kerberos si es posible, o retrocederá a NTLM. Si usó Kerberos con Negotiate, la Key Length será 0.

Hay que buscar logins que usan NTLM en su red, ya que puede ser un signo de actividad maliciosa.

Para poder monitorizar los eventos, previamente deben de estar habilitados en el sistema. Para ver el estado podemos usar el siguiente comando desde powershell con permisos de administrados:

auditpol /get /category:*

6. Conclusión

Conocer estos eventos es vital. Aunque existen muchas otras cosas a auditar, estos son algunos de los mas destacados que permiten detectar persistencia, creación de cuentas, logs de firewall, y eventos de proceso, cubriendo muchísimos ataques.