› › ›

使用 Fsutil 删除卷 USN 日志

编辑

使用 Fsutil 删除卷 USN 日志

编辑

识别使用 fsutil.exe 删除卷 USNJRNL 的行为。攻击者使用此技术消除后渗透活动中创建的文件证据。

规则类型: eql

规则索引:

winlogbeat-*
logs-endpoint.events.process-*
logs-windows.forwarded*
logs-windows.sysmon_operational-*
endgame-*
logs-system.security*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*
logs-crowdstrike.fdr*

严重程度: 低

风险评分: 21

每隔: 5m 执行

搜索索引时间范围: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

领域: 端点
操作系统: Windows
用例: 威胁检测
战术: 防御规避
数据源: Elastic Endgame
资源: 调查指南
数据源: Elastic Defend
数据源: 系统
数据源: Microsoft Defender for Endpoint
数据源: Sysmon
数据源: SentinelOne
数据源: Crowdstrike

版本: 311

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查使用 Fsutil 删除卷 USN 日志

更新序列号 (USN) 日志是 NTFS 文件系统中的一项功能，由 Microsoft Windows 操作系统使用，用于跟踪对磁盘卷上的文件和目录所做的更改。该日志记录文件创建、删除、修改和权限更改等更改的元数据。它被操作系统用于各种目的，包括备份和恢复、文件索引和文件复制。

此工件可以提供取证分析中的宝贵信息，例如执行的程序（预取文件操作）、可疑目录中的文件修改事件、已删除的文件等。攻击者可能会删除此工件以试图掩盖其踪迹，此规则识别使用fsutil.exe实用程序来实现此目的的行为。

建议使用 Elastic Defend 集成而不是 USN 日志，因为 Elastic Defend 集成在记录的文件操作中提供了更多可见性和上下文。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件的存在情况，它们是否位于预期位置，以及它们是否使用有效的数字签名进行签名。
识别执行该操作的用户帐户，以及该帐户是否应该执行此类操作。
联系帐户所有者并确认他们是否知道此活动。
调查过去 48 小时内与用户/主机相关的其他告警。
验证是否观察到任何其他反取证行为。
查看 Elastic Defend 中的文件操作日志，了解攻击者试图隐藏的可疑活动。

误报分析

此活动不太可能合法发生。如有必要，可以将良性真阳性 (B-TP) 添加为例外。

响应和补救

根据分类结果启动事件响应流程。
隔离涉事主机以防止进一步的后入侵行为。
调查受感染系统或攻击者使用的系统上的凭据泄露，以确保识别所有受感染的帐户。重置这些帐户的密码和其他可能受感染的凭据，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体再次感染。
使用事件响应数据，更新日志记录和审计策略，以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  (process.name : "fsutil.exe" or ?process.pe.original_file_name == "fsutil.exe") and
  process.args : "deletejournal" and process.args : "usn"

框架: MITRE ATT&CK^TM

战术
- 名称: 防御规避
- ID: TA0005
- 参考网址: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 指标移除
- ID: T1070
- 参考网址: https://attack.mitre.org/techniques/T1070/
子技术
- 名称: 文件删除
- ID: T1070.004
- 参考网址: https://attack.mitre.org/techniques/T1070/004/