Ανακατασκευή μιας εγκληματικής ενέργειας μέσω του Windows Event Viewer

Abstract

Η άμεση κατανόηση της φύσης των απειλών είναι ίσως το σημαντικότερο κομμάτι στην έγκαιρη αντίδρασης απέναντι σε κακόβουλες ενέργειες. O Event Viewer είναι ένα πρόγραμμα του λειτουργικού συστήματος Microsoft Windows, το οποίο επιτρέπει στους διαχειριστές και τους χρήστες του συστήματος να προβάλλουν αρχεία καταγραφής συμβάντων. Αυτή η κεντρική υπηρεσία καταγραφής μπορεί να χρησιμοποιηθεί από εφαρμογές και λοιπά στοιχεία του λειτουργικού συστήματος για την αναφορά συμβάντων που έχουν συμβεί, όπως η αποτυχία εκκίνησης ενός στοιχείου ή η ολοκλήρωση μιας ενέργειας. Στόχος της παρούσας διπλωματικής εργασίας είναι η προσπάθεια οπτικής αναπαράστασης μιας κακόβουλης ενέργειας σε ένα τερματικό, βασισμένη στο αρχείο καταγραφής του Event Viewer. Συγκεκριμένα έγινε προσπάθεια να απεικονιστούν τα συμβάντα που δημιουργούνται στα αρχεία καταγραφής μετά την εκτέλεση κακόβουλης ενέργειας. Για της ανάγκες του σεναρίου υλοποιήθηκε επίθεση με εκτέλεση reverse_tcp σε ένα μηχάνημα με λειτουργικό σύστημα Windows XP, καθώς και μία επίθεση σε μηχάνημα με λειτουργικό σύστημα Windows 10. Μετά την εκτέλεση της κακόβουλης ενέργειας συλλέχθηκαν τα κυριότερα στοιχεία από τα αρχεία καταγραφής τα οποία αποτυπώθηκαν σε πίνακες και στη συνέχεια αποτυπώθηκαν σε γραφικές παραστάσεις, για τη διευκόλυνση της διερεύνησης. Η μελέτη των ιχνών που αφήνει το κάθε είδος επίθεσης στο σύστημα μπορεί να υποβοηθήσει σημαντικά τη διαδικασία εντοπισμού μιας κακόβουλης ενέργειας.

The aim of this thesis is to attempt a visual representation of a malicious action which is performed against a computer, based on the Event Viewer log. More specifically, an attempt was made to depict the events that are created in the logs after the execution of a malicious action.