Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Nowy sposób na wyłączenie logów Security i oszukanie systemów bezpieczeństwa (w tym SIEM)

Kapitan Hack / Cybernews / Nowy sposób na wyłączenie logów Security i oszukanie systemów bezpieczeństwa (w tym SIEM)

Istnieje nowy sposób w jaki malware po zdobyciu wysokich uprawnień w systemie Windows może wymazać cała aktywność w logach Security, a wręcz wyłączyć jej możliwość rejestrowania przez system!

Chyba nie ma nic gorszego w bezpieczeństwie jak brak logów z systemu, w którym zadziało się coś „złego” i nie możemy przeprowadzić inwestygacji. O słabościach polegających na poleganiu jedynie na logach Microsoft pisaliśmy w artykule „Ukrywanie aktywności w logach Microsoft. Czyli jak można ogłupić SIEM’a i systemy bezpieczeństwa” Okazuje się, że istnieje nowa metoda umożliwiająca cyberprzestępcy na wyłączenie auditingu w systemie operacyjnym (rejestrowania aktywności w natywnych logach Microsoft). Zmieniając wartość wpisu „Start” w gałęzi w rejestrze systemowym Windows:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger\Eventlog-Security

na „0” lub usuwając z gałęzi dowolny inny klucz spowodujemy, że po restarcie komputera Windows przestanie tworzyć nowe wpisy w logu Security.

Autor: 2 min czytania

Możemy w podobny sposób wyłączyć inne logi np. Aplikacyjny, Systemowy.


Scenariusz

Do wykonania operacji zmiany wartości klucza użyliśmy poświadczeń SYSTEM na Windows 10. W niektórych wersjach Windows można wykonać operację na normalnych uprawnieniach zalogowanego użytkownika!

Zmianę dokonaliśmy z PowerShell za pomocą poniższej komendy.

Po tym kroku należy zrestartować komputer. Wynik po restarcie prezentuje poniższy zrzut ekranu.

Jak widać na powyższym ekranie próbując wejść w log Security otrzymujemy komunikat błędu 4201. Logi nie są generowane w systemie! Dzieje się tak ponieważ usługa Windows Event Log, odpowiedzialna za rejestrowanie logów w systemie przy starcie nie bierze pod uwagę tego konkretnego logu (w naszym przypadku logu Security).


Jak sobie radzić z problemem?

Dodanie reguł monitorujących zmiany w wartościach kluczy gałęzi rejestru „HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger” w SIEM z pewnością będzie dobrą praktyką. Drugi sposób to wdrożenie rozwiązania do bezpieczeństwa posiadającego możliwość rejestrowania zaawansowanych logów niezależnych od logów Microsoft. Ponadto warto zastosować porady z artykułu tutaj oraz tutaj.

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...
5 min czytania 27 paź 2025 08:00
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Najnowsze badania firmy Tenable ujawniają zestaw co najmniej siedmiu poważnych podatności w modelach AI GPT‑4o i GPT‑5, wykorzystywanych przez ChatGPT, które umożliwiają złośliwym podmiotom przejęcie k...
5 min czytania 6 lis 2025 08:00
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

W ostatnich miesiącach coraz mocniej zintensyfikowane działania cybernetyczne skierowane przez podmioty powiązane z Rosją na instytucje ukraińskie rzucają nowe światło na metody rozgrywania współczesnego konfliktu...
5 min czytania 31 paź 2025 08:00
Popularne
Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.