Nieuws
image

NSA speurt naar vijanden met Windows event log monitoring

zaterdag 25 januari 2014, 06:07 door Redactie, 10 reacties

Volgens de NSA wordt het steeds lastiger om kwaadaardige activiteiten op netwerken te vinden, wat het belang aangeeft om van zoveel nuttige bronnen als mogelijk logbestanden te verzamelen en te monitoren. Dat stelt de inlichtingendienst in een nieuw document voor systeembeheerders.

Het document heet 'Spotting the Adversary with Windows Event Log Monitoring' en geeft een introductie in het verzamelen van belangrijke Windows werkstation event logbestanden en het opslaan ervan in een centrale locatie. Dit moet zowel het doorzoeken als het monitoren van het netwerk eenvoudiger maken.

Activiteiten

In het document worden vooral tools gebruikt die al in Windows aanwezig zijn. Het besturingssysteem beschikt over allerlei mogelijkheden om activiteiten die zich op het besturingssysteem voordoen te monitoren en te loggen. De hoeveelheid events die echter worden opgeslagen maakt het voor systeembeheerders niet eenvoudig om belangrijke gebeurtenissen te identificeren, aldus de NSA.

Daarom worden in het document verschillende aanbevelingen gegeven voor gebeurtenissen die regelmatig moeten worden verzameld en bekeken, zoals gecrashte applicaties en problemen met het systeem, services, de kernel of de Windows Firewall. Maar ook zaken die met het beheer te maken hebben, zoals logbestanden die worden verwijderd, installatie van software en services en het inloggen via de Remote Desktop kunnen op kwaadaardige activiteiten duiden.

Reacties (10)
25-01-2014, 10:05 door Anoniem
Redactie, is het mogelijk om de datum en/of bron van een dergelijk document in het bericht op te nemen? Nu is het onduidelijk of het document van WikiLeaks, Edward Snowden, of een andere bron komt. En ik heb niet altijd tijd om in het document zelf te kijken.

Het blijkt dat dit document van half december 2013 is, dus waarschijnlijk komt het direct van de NSA zelf. Dat zegt wel wat over de huidige activiteiten van de NSA. Ze willen blijkbaar nog steeds een "politie wereld" creeren, ondanks alle kritiek, en de nieuwe voornemens van o.a. Obama. Die waren dus blijkbaar nog niet doorgedrongen tot "the agency". Of, beter gezegd, ze wilden er nog nog niets mee doen, en ze voelen zich zeker niet geremd...
M.a.w. dit gaat echt niet stoppen omdat iemand als Obama dat zegt te willen.
25-01-2014, 10:32 door [Account Verwijderd]
[Verwijderd]
25-01-2014, 10:32 door [Account Verwijderd] - Bijgewerkt: 25-01-2014, 10:33
[Verwijderd]
25-01-2014, 13:04 door Anoniem
Inlichtingendiensen,luisteren niet naar de president wat hij echt wil,ze volgen alleen adviezen op,en geven ze aan de president.
Dan kan hij met zijn staf,indien er ergens een conflict is een oplossing vinden,samen met de andere geheime diensten.
25-01-2014, 18:22 door Anoniem
Even verder denken ipv bekritiseren:

Hoe geweldig zou het zijn als de NSA een/enkele ongepubliceerde exploit(s) op verschillende PDF readers zouden bezitten (wat mij overigens vrij aannemelijk lijkt) en deze exploit(s) in zouden zetten in een PDF over "De correcte implementatie van SIEM (Security Incident & Event Monitoring)", met als payload het (ism Microsoft) verborgen en encrypt doorsturen van de lokale eventlogs op Windows 7+/2008r2+ exact zoals beschreven in het document.

Even tussen ons: Het is een geweldige handleiding voor de meeste systeem-/security professionals in het bedrijfsleven, en zodra ze het openen monitort de NSA het bedrijf..

Biedt iemand zich aan om de PDF te analyseren op eventuele mogelijke exploitcode?? -Ik persoonlijk zou niet weten hoe...

M!KE
26-01-2014, 06:27 door [Account Verwijderd]
[Verwijderd]
26-01-2014, 06:27 door [Account Verwijderd] - Bijgewerkt: 26-01-2014, 06:29
[Verwijderd]
26-01-2014, 18:25 door Anoniem
Door Anoniem:
Even tussen ons: Het is een geweldige handleiding voor de meeste systeem-/security professionals in het bedrijfsleven, en zodra ze het openen monitort de NSA het bedrijf..
Ze zijn wel iets slimmer dan dat. Uit de snowden documenten blijkt dat ze erg voorzichtig omgaan met exploits. Als iemand technisch wat beter is breken ze liever in dan ontdekking te riskeren. Als ze hier een infectie in zouden plaatsen wordt die erg snel ontdekt en dat is een pr nachtmerrie, zeker op dit moment.


Biedt iemand zich aan om de PDF te analyseren op eventuele mogelijke exploitcode?? -Ik persoonlijk zou niet weten hoe...

M!KE

Ik heb de pdf geanalyseerd en zie niets verdachts, er zit bijv geen javascript oid in.
Maar hoe weet je nou of ik niet voor ze werk ;-P
26-01-2014, 18:29 door Anoniem
Door Peter V.: Wat ik ook heel vreemd vond MIKE is dat de NSA dit zo maar bekend maakt?

Sinds wanneer geeft een inlichtingendienst info weg hoe het zijn vijanden zoekt en zegt te vinden? Ik bedoel maar...

De NSA is er in principe om mensen te beschermen op dit vlak. Ondanks de vele dubieuze programmas zullen ze ook nog steeds hun echter werk doen. Zelf hebben ze bovendien wel betere manieren om je te infiltreren zonder in de windows event log op te vallen.
27-01-2014, 13:57 door Anoniem
Als je bang bent dat deze PDF malware bevat, dan kan je 'm ook bekijken met een online viewer, zoals:

http://view.samurajdata.se/

En eventueel kan je ook ergens een pdf converteren naar een ander formaat, of iemand print de pdf en scant 'ie opnieuw, zodat eventuele malware verdwenen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search