Questu articulu hè a prima parte di una seria nantu à l'analisi di e minacce Sysmon. Tutte l'altri parti di a serie:
Parte 1. Introduzione à l'analisi di logs Sysmon (semu quì)
Part 2. Utilizendu Dati da Sysmon Events per Detect Threats
Part 3: Deep Sysmon Threat Analysis cù Grafici
Sè vo site implicatu in a sicurità di l'infurmazioni, probabilmente avete spessu à capisce l'attacchi in corso. Sì avete digià un ochju furmatu, pudete circà l'attività non standard in i logs "crudi" - per dì, un script PowerShell in esecuzione. o un script VBS chì finge di esse un schedariu di Word, basta scrolling through the last activity in the Windows event log. Ma hè veramente un grande mal di testa. Fortunatamente, Microsoft hà creatu Sysmon, chì face l'analisi di l'attaccu assai più faciule.
Vulete capisce l'idee basi daretu à e minacce affissate in u log Sysmon? Scaricate a nostra guida è capisci chì l'insiders ponu spionà subrepticamente l'altri impiegati. U prublema principali cù u travagliu cù u logu di l'avvenimenti di Windows hè a mancanza d'infurmazioni nantu à i prucessi parenti, i.e. hè impussibile di capisce a ghjerarchia di prucessi da ellu. L'entrate di log di Sysmon, invece, cuntenenu l'ID di prucessu di u genitore, u so nome, è a linea di cumanda chì hè stata eseguita. Grazie Microsoft.
In a prima parte di a nostra serie, vedemu ciò chì pudemu fà cù l'infurmazioni basi di Sysmon. In a seconda parte, sfrutteremu pienamente l'infurmazioni di u prucessu di i genitori per creà strutture di cunfurmità più cumplesse cunnisciute cum'è grafici di minaccia. In a terza parte, guardemu un algoritmu simplice chì scansa u gràficu di a minaccia per l'attività non standard per mezu di l'analisi di u "pesu" di u gràficu. È à a fine, cum'è ricumpensa, truverete un metudu probabilisticu pulitu (è comprensibile) per a deteczione di minacce.
Parte 1: Introduzione di Sysmon Log Analysis
Ciò chì aiuterà à capisce a cumplessità di u logu di l'eventi? Infine, SIEM. Normalizeghja l'avvenimenti è simplificà a so analisi sussegwenti. Ma ùn avemu micca da andà cusì luntanu, almenu prima. À u principiu, per capiscenu i principii di SIEM, serà abbastanza per pruvà a maravigliosa utilità gratuita Sysmon. È hè sorprendentemente faciule di travaglià cun ella. Continua cusì, Microsoft!
Chì sò e caratteristiche di Sysmon?
In corta, infurmazione utile è leghjite nantu à i prucessi (vede l'imagine sottu). Truverete una mansa di dettagli utili chì ùn sò micca in u logu di l'avvenimenti di Windows, ma i più impurtanti sò i seguenti campi:
- ID di prucessu (in decimali, micca esadecimale!)
- ID di prucessu parenti
- Linea di cummanda di prucessu
- Linea di cummanda di prucessu parenti
- File image hash
- Nomi d'Image di File
Sysmon hè stallatu cum'è un driver di u dispositivu è un serviziu à u stessu tempu - sapete più U so vantaghju chjave hè a capacità di analizà i logs da parechji fonti, correlazione di l'infurmazioni è output di i valori resultanti in un cartulare di u logu di l'eventi, situatu longu u percorsu Microsoft -> Windows -> Sysmon -> Operativu. In i mo propri investigazioni in i logs di Windows, aghju avutu sempre à cambià trà, per dì, u cartulare di i logs di PowerShell è u cartulare di Sicurezza, scorri à traversu i logs di l'avvenimenti in un tentativu eroicu di cartografia in qualchì modu i valori trà elli. Questu ùn hè mai un compitu faciule, è cum'è aghju capitu più tardi, era megliu d'aghjunghje immediatamente l'aspirina.
Sysmon, invece, face un saltu qualitativu in avanti fornendu informazioni utili (o, cum'è i venditori piacenu à dì, azzione) per aiutà à capisce i prucessi sottostanti. Per esempiu, aghju principiatu una sessione oculta , chì simula u muvimentu di un insider intelligente in a reta. Eccu ciò chì vi vede in u logu di l'avvenimenti di Windows:
Qualchese infurmazione nantu à u prucessu hè visibile in u logu di Windows, ma hè di pocu usu. Plus l'ID di prucessu in hex???
Per un prufessore IT prufessiunale cun una cunniscenza di i principii di u pirate, a linea di cummanda deve esse suspettuosa. Utilizà cmd.exe per poi eseguisce un altru cumandamentu cù output reindirizzatu à un schedariu cù un nome stranu - questu hè chjaramente simili à l'azzioni di u software per u cuntrollu è a gestione. : In questu modu, un pseudo shell hè creatu cù servizii WMI.
Avà fighjemu un ochju à l'equivalente di una entrata Sysmon, nutendu quantu infurmazione extra ci dà:
Funzioni di Sysmon in una screenshot: infurmazione dettagliata nantu à u prucessu in una forma leggibile
Ùn vede micca solu a linea di cummanda, ma ancu u nome di u schedariu, u percorsu à l'applicazione eseguibile, ciò chì Windows sapi di questu ("Windows Command Processor"), l'identificatore. parenti prucessu, linea di cumanda parente, chì hà lanciatu u cmd shell, è ancu u veru nome di file di u prucessu parent. Tuttu in un locu, infine!
Da u logu di Sysmon, pudemu cuncludi chì, cù un altu gradu di probabilità, sta linea di cumanda sospetta, chì avemu vistu in i logs "crudi", ùn hè micca u risultatu di u travagliu normale di l'impiigatu. Piuttostu, hè stata generata da un prucessu simile à C2 - wmiexec, cum'è l'aghju dettu prima - è hè stata generata direttamente da u prucessu WMI di u serviziu (WmiPrvSe). Avà avemu un indicatore chì un attaccu remotu o insider hè pruvatu l'infrastruttura corporativa per un dente.
Presentazione di Get-Sysmonlogs
Di sicuru, hè grande quandu Sysmon hà logs in un locu. Ma prubabilmente seria ancu megliu se pudemu accede à i campi di log individuali in modu programmaticu - per esempiu, attraversu i cumandamenti PowerShell. In questu casu, saria pussibule di scrive un picculu script PowerShell chì automatizà a ricerca di e minacce potenziali!
Ùn era micca u primu à avè sta idea. È hè bonu chì in certi posti di u foru è GitHub hè digià statu spiegatu cumu utilizà PowerShell per analizà u log di Sysmon. In u mo casu, aghju vulsutu evità d'avè da scrive linee separate di script parsing per ogni campu Sysmon. Allora aghju utilizatu u principiu di l'omu pigro è pensu chì aghju vinutu cun qualcosa interessante in u risultatu.
U primu puntu impurtante hè a capacità di u cumandamentu leghje i logs Sysmon, filtra l'avvenimenti necessarii è mostra u risultatu in una variabile PS, cum'è questu:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Se vulete pruvà u cumandamentu stessu, affissendu u cuntenutu in u primu elementu di l'array $events, $events[0].Message, pudete pruduce una seria di catene di testu cù un formatu assai simplice: u nome di u Sysmon. campu, un colon, è dopu u valore stessu.
Eura! Uscita di log di Sysmon in formatu JSON-ready
Pensate a listessa cosa chì mè ? Cù un pocu più sforzu, pudete cunvertisce l'output in una stringa in formate JSON è poi caricate direttamente in un oggettu PS cù u cumandamentu putente. .
Mostraraghju u codice PowerShell per a cunversione - hè assai simplice - in a prossima parte. Per avà, fighjemu un ochju à ciò chì u mo novu cumandamentu chjamatu get-sysmonlogs, chì aghju stallatu cum'è un modulu PS, pò fà.
Invece di scavà più in profondità in l'analisi di log di Sysmon attraversu l'interfaccia di logu di l'avvenimenti imbarazzante, pudemu cercà senza sforzu l'attività incrementale direttamente da una sessione PowerShell, è ancu aduprà u cumandamentu PS. (alias - "?") per accurtà i risultati di ricerca:
Lista di cunchiglia cmd lanciata via WMI. Analisi di e minacce economiche cù a nostra squadra Get-Sysmonlogs
Meravigliosa! Aghju creatu un strumentu di votazione di log Sysmon cum'è s'ellu era una basa di dati. In u nostru articulu nantu hè statu nutatu chì sta funzione serà realizatu da l'utilità cool descritta in questu, ancu s'ellu hè formalmente attraversu una vera interfaccia simile à SQL. Iè, ECL graziosu, ma tuccaremu in a terza parte.
Analisi di Sysmon è graficu
Astrattimu è pensemu à ciò chì avemu appena creatu. Essenzialmente, avemu avà una Database di Eventi Windows accessibile via PowerShell. Comu aghju nutatu prima, ci sò cunnessione o relazioni trà i registri - attraversu ParentProcessId - cusì pudete ottene una gerarchia cumpleta di prucessi.
Sè avete lettu a serie tandu sapete chì i pirate amanu à creà attacchi cumplessi multi-stadi in quale ogni prucessu ghjoca u so rolu chjucu è prepara un trampolinu per u prossimu passu. Tali cose sò assai difficiuli di catturà solu da u logu "cru".
Ma cù u mo cumandamentu Get-Sysmonlogs è una struttura di dati addiziale chì avemu da guardà più tardi in u testu (un graficu, sicuru), avemu un modu praticu per detectà i minacce - tuttu ciò chì hè necessariu hè di fà una ricerca vertica propria. .
Cum'è sempre in i nostri prughjetti di blog DYI, più travagliate per analizà i dettagli di e minacce in una piccula scala, più vi capisce quantu hè difficiule di detectà i minacce à u livellu di l'urganizazione. È sta realizazione hè estremamente puntu impurtante.
Truvaremu i primi cumplessità interessanti in a seconda parte di l'articulu, induve avemu da cumincià à cunnette l'avvenimenti Sysmon à l'altri in strutture assai più cumplesse.
Source: www.habr.com