Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Nowy sposób na wyłączenie logów Security i oszukanie systemów bezpieczeństwa (w tym SIEM)

Kapitan Hack / Cybernews / Nowy sposób na wyłączenie logów Security i oszukanie systemów bezpieczeństwa (w tym SIEM)

Istnieje nowy sposób w jaki malware po zdobyciu wysokich uprawnień w systemie Windows może wymazać cała aktywność w logach Security, a wręcz wyłączyć jej możliwość rejestrowania przez system!

Chyba nie ma nic gorszego w bezpieczeństwie jak brak logów z systemu, w którym zadziało się coś „złego” i nie możemy przeprowadzić inwestygacji. O słabościach polegających na poleganiu jedynie na logach Microsoft pisaliśmy w artykule „Ukrywanie aktywności w logach Microsoft. Czyli jak można ogłupić SIEM’a i systemy bezpieczeństwa” Okazuje się, że istnieje nowa metoda umożliwiająca cyberprzestępcy na wyłączenie auditingu w systemie operacyjnym (rejestrowania aktywności w natywnych logach Microsoft). Zmieniając wartość wpisu „Start” w gałęzi w rejestrze systemowym Windows:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger\Eventlog-Security

na „0” lub usuwając z gałęzi dowolny inny klucz spowodujemy, że po restarcie komputera Windows przestanie tworzyć nowe wpisy w logu Security.

Autor: 2 min czytania

Możemy w podobny sposób wyłączyć inne logi np. Aplikacyjny, Systemowy.


Scenariusz

Do wykonania operacji zmiany wartości klucza użyliśmy poświadczeń SYSTEM na Windows 10. W niektórych wersjach Windows można wykonać operację na normalnych uprawnieniach zalogowanego użytkownika!

Zmianę dokonaliśmy z PowerShell za pomocą poniższej komendy.

Po tym kroku należy zrestartować komputer. Wynik po restarcie prezentuje poniższy zrzut ekranu.

Jak widać na powyższym ekranie próbując wejść w log Security otrzymujemy komunikat błędu 4201. Logi nie są generowane w systemie! Dzieje się tak ponieważ usługa Windows Event Log, odpowiedzialna za rejestrowanie logów w systemie przy starcie nie bierze pod uwagę tego konkretnego logu (w naszym przypadku logu Security).


Jak sobie radzić z problemem?

Dodanie reguł monitorujących zmiany w wartościach kluczy gałęzi rejestru „HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger” w SIEM z pewnością będzie dobrą praktyką. Drugi sposób to wdrożenie rozwiązania do bezpieczeństwa posiadającego możliwość rejestrowania zaawansowanych logów niezależnych od logów Microsoft. Ponadto warto zastosować porady z artykułu tutaj oraz tutaj.

Popularne

7-Zip podatny na NTFS Heap Overflow

7-Zip podatny na NTFS Heap Overflow

Jaroslav Lobačevski z GitHub Security Lab opublikował analizę nowej podatności odnalezionej w 7-Zip, oznaczonej jako GHSL-2026-140. Luka dotyczy parsera NTFS i prowadzi do uszkodzenia pamięci procesu, co w...
6 min czytania 28 maj 2026 07:52
Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki

Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki

Eksperci z Huntress ujawnili nową podatność, umożliwiającą wyciek poświadczeń NTLMv2 za pośrednictwem mechanizmu Windows Search. Problem dotyczy obsługi schematu URI wykorzystywanego przez Eksplorator Windows d...
7 min czytania 8 cze 2026 06:59
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że spr...
8 min czytania 18 maj 2026 07:58
19-letnia luka w jądrze Linuksa naraża systemy na dostęp root

19-letnia luka w jądrze Linuksa naraża systemy na dostęp root

Właśnie opublikowano kod exploita Proof-of-Concept (PoC) dla luki CIFSwitch, która umożliwia użytkownikom o niskich uprawnieniach uzyskanie dostępu root w podatnych systemach Linux. Luka w zabezpieczeniach jądra...
3 min czytania 3 cze 2026 08:00
Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI

Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI

Popularność sztucznej inteligencji rośnie w niespotykanym tempie. Narzędzia takie jak ChatGPT czy Claude stały się codziennym wsparciem dla programistów, analityków, studentów i firm. Miliony użytkown...
7 min czytania 29 maj 2026 07:01
Popularne
7-Zip podatny na NTFS Heap Overflow
Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
19-letnia luka w jądrze Linuksa naraża systemy na dostęp root
Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.