Моніторинг Windows з Aurora EDR
Вступ
В цьому пості я розповім про Aurora EDR (Aurora Agent) - простий та цікавий хостовий агент для Windows від розробників Sigma. Щоб краще зрозуміти подальший матеріал, рекомендую одразу завантажити безкоштовну версію агента (Aurora Lite) та переглянути вміст його директорій.
Архітектура Aurora
З точки зору користувачів, Aurora EDR можна порівняти з комерційними EDR рішеннями - агент встановлюється на кінцеві точки, аналізує телеметрію ОС, блокує шкідливе ПЗ, і надсилає алерти мережею. Проте насправді відмінностей багато. Далі я коротко опишу як працює агент, проте можете також переглянути чудову презентацію від розробників.
1. Вхідні Дані
Aurora EDR працює в юзерспейсі і отримує телеметрію виключно через ETW. Іншими словами, агент має достатню видимість для поведінкового аналізу, проте не проводить статичний аналіз файлів взагалі (окрім як по назві файлу та хешу).
2. Інтеграція Sigma
Ядро Aurora EDR - це Sigma правила. Агент мапить назви полів ETW під Sigma формат, а далі проганяє кожну подію крізь 2500+ правил з GitHub. На кожне співпадіння ви отримуєте алерт. Ось так все просто.
3. Пошук за Індикаторами
Окрім Sigma правил, агент підтримує алертинг за атомарними індикаторами - доменам, IP адресами, хешами, чи назвами файлів. Можна обмежитись вбудованими індикаторами (їх близько 7000), а можна додавати власні. Зверніть увагу, що у безкоштовній версії сигнатури зберігаються у відкритому вигляді.
4. Aurora Dashboard
Якщо запустити агент від адміністратора командою aurora-agent-64.exe --dashboard, разом із самим агентом запрацює графічна консоль - Aurora Dashboard (http://localhost:17494). Через неї можна переглядати згенеровані алерти та налаштування агенту. Нижче наведено приклад алертів з мого ПК після 10 годин аптайму:
Хоча консоль дуже зручна для візуалізації алертів та відлагодження правил, безкоштовна версія не зберігає історію після ребуту та не підтримує агрегацію алертів з різних хостів. Тому це скорше інструмент для локального тестування, аніж повноцінна EDR консоль.
5. Блокування Загроз
Aurora EDR підтримує три дії щодо процесів, а саме kill, suspend, і dump. Поведінку вбудованих дій можна доповнювати прапорцями; можна також створювати власні дії. Більше про це в документації. Response задається або напряму в Sigma правилах, або через глобальні налаштування (Response Sets).
З плюсів такого підходу є те, що ви самі контролюєте на які правила підключати Response та не залежите від магії комерційних рішень. З мінусів, Response має бути обережним, адже Sigma правила часто дають хибні спрацювання.
6. Інтеграція з SIEM
Коли правила і Response дії готові, можна надсилати алерти в SIEM. Aurora EDR пропонує для цього три опції: В Application логи (за замовчуванням), у файл (можна JSON), чи напряму в SIEM через сислог (TCP/UDP). Алерти показують, чому саме спрацювало правило,.і містять достатньо контексту для аналізу. Навіть в скріншот не вмістилось.
Тестування Aurora
В цій секції я поділюсь власним результатами тестуванням безкоштовної версії Aurora EDR за стандартних налаштувань. Наперед зазначу, що кількість False Positive терпима, а якість детекту досить висока:
# Команда для встановлення агенту
aurora-agent-64.exe --install ` # Встановлюємо як сервіс
--activate-responses ` # Дозволяємо Response дії
--agent-name PowerManager # Приховуємо назву сервісу
| Перевірка | Результат |
|---|---|
| Використання Ресурсів | 300 MB RAM та 1% CPU, рідко секундні стрибки до 20% CPU |
| Стабільність Агенту | Не помітив жодних помилок. Response дії працювали стабільно |
| Рівень False Positive | 1 High та під 20 Medium хибних спрацювань за тиждень |
| Симуляція Lunar Spider | 7 High+ та багато Medium алертів |
| Симуляція RansomHub | 4 High+ та багато Medium алертів |
Використання Aurora
Якщо ви фанат Wazuh, Zeek, LuLu та схожих open-source рішень, то Aurora EDR вам точно сподобається - навіть якщо не для реального захисту, то принаймні для дослідження того, як агент працює зсередини. А можливо, він навіть надихне вас на впровадження Sigma правил або створення власного ETW парсера. Нижче поділюсь й іншими ідеями щодо використання Aurora EDR.
Ідея 2: Тестування Sigma
Aurora EDR - ідеальний інструмент для тестування Sigma правил під Windows, а також для демонстрації, як працює поведінковий аналіз в комерційних EDR. Також раджу спробувати Aurora EDR і червоним командам, наприклад, для перевірки “шумності” улюблених технік (агент працює в офлайн-режимі).
Ідея 3: Оптимізація SIEM
Часто виникають ситуації, коли заради одного правила в SIEM женуть гігабайти логів. Можливо, з Aurora EDR вдасться вирішити цю проблему на 99%, так як Sigma правила працюють локально на хості, а в SIEM, замість купи логів, йде лише один утворений алерт. Можна сказати, що Aurora EDR - це як Falco для Windows.
Ідея 4: Використання в DFIR
Уявіть, що ви очистили хост від малварі, але все ж хочеться переконатись, що за ніч не відбудеться нічого підозрілого. Чому б поставити Aurora EDR, і зранку перевірити згенеровані алерти? Також рекомендую Thor - ще один чудовий інструмент від авторів Sigma, який може доповнити Aurora EDR під час DFIR.
Ідея 5: Доповнення EDR
Не всі комерційні EDR надають аналітикам достатньо контексту. Часто трапляються ситуації, коли єдиним корисним полем в алерті є назва файлу на кшталт Setup.exe. Робити DFIR на кожен такий алерт занадто довго, збирати Sysmon з кожного пристроя занадто дорого, а ось Aurora EDR може стати хорошим компромісом, якщо:
- Розставити Aurora EDR на хости в доповнення до існуючого EDR
- Збирати алерти з агенту в SIEM, чи навіть локально в EVTX
- У разі потреби, переглянути утворені алерти Aurora EDR
- А далі вирішувати чи дійсно потрібен повноцінний DFIR
Недоліки Aurora
Оскільки саме ви відповідаєте за налаштування агента, без вайтлістів і оптимізації Aurora EDR може генерувати понад 10 хибних спрацювань на день. Для SOCів з сотнями хостів це може стати проблемою, тому я б рекомендував реагувати лише на алерти рівня High і вище. На щастя, вбудованих High та Critical правил зазвичай достатньо для виявлення атаки.
Недолік 2: Затримки в Response
Будь-який Response виконується з затримкою в 2-3 секунди після запуску процесу. Тобто тривалі дії типу ексфільтрації агент встигне зупинити, але “миттєві” команди типу whoami вже ні. Зрештою, подібні недоліки мають і комерційні EDR.
Недолік 3: Проблеми з Sigma
Хоча агент дійсно підвантажує 2500+ вбудованих Sigma правил, деякі з них не працюватимуть. Це тому що одні правила вимагають наявності Sysmon, а інші потребують налаштування GPO, як от для аудиту подій 5140 чи 4662. Також, у мене чомусь не алертило на події 4104.
Недолік 4: Складність Підтримки
Ключовою причиною чому я б не наважився впроваджувати безкоштовну версію Aurora EDR в організацію - це складність підтримки та оновлення агента (у платній версії цих обмежень немає). А самe:
- Безкоштовна версія працює один рік, після чого потрібно оновити файл ліцензії
- Агент не має health-checkів, тому моніторити стан агентів з SIEM досить проблематично
- Як і в Falco, віддалено оновити власні індикатори чи Sigma правила не вийде
У Підсумку
Якщо ви цікавитесь тестуванням правил, побудовою home lab, або дослідженням Sigma та ETW, Aurora EDR стане ідеальним інструментом. У контексті SOC та DFIR, навіть для безкоштовної версії можна знайти застосування (як от в описаних вище сценаріях).
Проте, для деплойменту у великому масштабі я б рекомендував звернути увагу на платну версію, або, якщо ви не готові налаштовувати агент під себе, розглянути альтернативні комерційні EDR.