En un proceso de auditoría dentro de un equipo de Blueteam, una de las tareas principales es la búsqueda de evidencias que muestren que es lo que ha pasado en el sistema que se está analizando, hay que ver si hay movimientos laterales, verticales, buscar evidencias de alteración de ficheros, encontrar scripts powershell maliciosos conocidos y quien los ejecutó, ver si se crearon nuevos procesos o nuevos servicios y ver quien los creó, etc…

Para encontrar toda esta información hay que ir a ver los registros de eventos del sistema, en ellos se guarda toda la actividad del sistema. Pero los eventos registrados son muchos y aunque windows los tiene bien clasificados para no perderse, aun así, son muchos, y siempre se nos puede pasar algo por delante y no verlo.

Para ayudarnos a hacer búsquedas en estos registros y presentarlos de una forma más amigable, tenemos a CHAINSAW.

Chainsaw es una herramienta (aquí su github) que nos ayuda a hacer búsquedas a través de palabras clave y mediante la compatibilidad con las reglas de detección Sigma.

 

Con los parámetros --rulesy --mapping, se puede especificar un directorio que contenga un conjunto de reglas de detección SIGMA y Chainsaw cargará, convertirá y ejecutará automáticamente estas reglas en los registros de eventos proporcionados. El archivo de mapeo le dice a chainsaw con qué ID de evento ejecutar las reglas de detección y qué campos son relevantes.

Chainsaw también puede identificar lo siguiente:

  1. Revisa las alertas de los antivirus (Windows Defender, F-Secure, Sophos y Kaspersky AV) para identificar malware o scripts maliciosos.
  2. Detecta si se eliminan datos de los registros de eventos o si el sistema deja de registrarlos (se para el servicio).
  3. Revisa si se crearon usuarios o se agregaron a grupos de usuarios sensibles.
  4. Detecta fuerza bruta de las cuentas de usuarios locales.
  5. Revisa inicios de sesión de RDP.