EventLogs ha sido durante mucho tiempo la fuente de referencia para los investigadores de incidentes en el campo forense del sistema operativo Windows.
Sin embargo, estos registros suelen ser insuficientes para detectar comportamientos sospechosos y requieren el uso de registros de auditoría adicionales o herramientas como Sysmon.
El seguimiento de eventos para Windows (ETW) es una característica poderosa, pero a menudo pasada por alto, que proporciona un enfoque más completo para el análisis forense de Windows. ETW es un sistema robusto diseñado para gestionar eventos generados por el kernel y los procesos.
Creado originalmente para la depuración de aplicaciones, ha evolucionado hasta convertirse en un componente importante para recopilar y administrar EventLogs.
Arquitectura ETW (Fuente – JPCert)
En los últimos años, los analistas de seguridad de JPCert han notado que ETW se ha convertido en una parte integral de la lógica de detección empleada por los productos EDR y el software antivirus.
La arquitectura ETW consta de cuatro componentes principales:
Proveedor: la aplicación y el controlador que envía el evento Consumidor: la aplicación que recibe el evento Sesión: retransmite el evento desde el proveedor a un búfer Controlador: crea, inicia y detiene la sesión
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
Potencial forense de ETW
ETW presenta la capacidad de registrar varias actividades del sistema operativo como eventos de forma predeterminada, lo que proporciona información más rica que el EventLog tradicional. Esta característica convierte a ETW en una herramienta invaluable para investigadores forenses y profesionales de seguridad.
Algunos proveedores de ETW son particularmente útiles para la investigación de incidentes y la detección de malware.
Microsoft-Windows-Threat-Intelligence Microsoft-Windows-DNS-Client Microsoft-Antimalware-AMFilter Microsoft-Windows-Shell-Core Microsoft-Windows-Kernel-Process Microsoft-Windows-Kernel-File
Algunos eventos ETW se guardan como archivos de forma predeterminada, pero muchos se leen desde un búfer en tiempo real. Esto significa que incluso si un atacante elimina los archivos ETL, es posible que quede información valiosa en estos buffers.
Parte superior del archivo ETL (Fuente – JPCert)
JPCert ha desarrollado un complemento de volatilidad llamado ETW Scanner que puede recuperar eventos ETW a partir de imágenes de memoria, brindando a los investigadores una poderosa herramienta para responder a incidentes.
Evento ETW (Fuente – JPCert)
Los eventos ETW recuperados pueden proporcionar información importante durante las investigaciones. Por ejemplo, la sesión LwtNetLog ETW, que está habilitada de forma predeterminada, recopila diversa información relacionada con la red.
Al analizar estos eventos, los investigadores pueden descubrir patrones de comunicación de malware, consultas de DNS y otras actividades de la red que a menudo se pasan por alto.
Relación entre los modos de flujo de ETW y los miembros de la estructura de ETW (Fuente – JPCert)
A medida que la ciencia forense de Windows continúa evolucionando, ETW emerge como un poderoso aliado para los profesionales de la seguridad. La capacidad de proporcionar registros detallados de la actividad del sistema, combinados con herramientas como los escáneres ETW, aporta una nueva dimensión a la investigación de incidentes y la detección de malware.
Además, al aprovechar ETW, los investigadores pueden obtener una visión más profunda de la actividad del sistema y potencialmente descubrir amenazas que los métodos de registro tradicionales pueden haber pasado por alto.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
