Artikulu hau Sysmon mehatxuen analisiari buruzko serie baten lehen zatia da. Serieko gainerako atal guztiak:
1. zatia: Sysmon Log Analysisaren sarrera (hemen gaude)
2. zatia: Sysmon gertaeren datuak erabiltzea mehatxuak identifikatzeko
3. zatia. Sysmon mehatxuen azterketa sakona grafikoak erabiliz
Informazioaren segurtasunean lan egiten baduzu, ziurrenik etengabeko erasoak ulertu beharko dituzu. Dagoeneko begi trebatua baduzu, jarduera ez-estandarra bilatu dezakezu prozesatu gabeko erregistro "gordinak" - esate baterako, exekutatzen den PowerShell script bat.
Sysmon erregistroan bistaratzen diren mehatxuen atzean dauden oinarrizko ideiak ulertu nahi dituzu? Deskargatu gure gida
Gure seriearen lehen zatian, Sysmon-en oinarrizko informazioarekin zer egin dezakezun aztertuko dugu. XNUMX. zatian, prozesu nagusiaren informazioa aprobetxatuko dugu mehatxu grafiko gisa ezagutzen diren betetze-egitura konplexuagoak sortzeko. Hirugarren zatian, mehatxu-grafiko bat eskaneatzen duen algoritmo sinple bat aztertuko dugu, grafikoaren βpisuaβ aztertuz ezohiko jarduera bilatzeko. Eta amaieran, mehatxu probabilistiko detektatzeko metodo txukun (eta ulergarri) batekin sarituko zara.
1. zatia: Sysmon Log Analysisaren sarrera
Zerk lagun zaitzake gertaeren erregistroaren konplexutasuna ulertzen? Azken finean - SIEM. Gertaerak normalizatzen ditu eta ondorengo azterketa errazten du. Baina ez dugu hain urrutira joan behar, hasieran ez behintzat. Hasieran, SIEM-en printzipioak ulertzeko, nahikoa izango da Sysmon doako erabilgarritasun zoragarria probatzea. Eta harrigarriro erraza da berarekin lan egitea. Jarrai horrela, Microsoft!
Zer ezaugarri ditu Sysmonek?
Laburbilduz, prozesuei buruzko informazio erabilgarria eta irakurgarria (ikus beheko irudiak). Windows Gertaeren Erregistroan ez dauden xehetasun erabilgarriak aurkituko dituzu, baina garrantzitsuenak eremu hauek dira:
- Prozesuaren IDa (dezimalez, ez hexadezik!)
- Guraso-prozesuaren IDa
- Prozesuaren komando lerroa
- Prozesu nagusiaren komando-lerroa
- Fitxategiaren irudiaren hash
- Fitxategien irudien izenak
Sysmon gailu kontrolatzaile gisa eta zerbitzu gisa instalatzen da - xehetasun gehiago
Sysmon-ek jauzi kuantiko bat ematen du azpiko prozesuak ulertzen laguntzeko informazio baliagarria (edo saltzaileek esan nahi duten moduan, ekintzarako) emanez. Adibidez, saio sekretu bat hasi nuen
Windows-eko erregistroak prozesuari buruzko informazio batzuk erakusten ditu, baina ez du ezertarako balio. Gehi prozesatzeko IDak hamaseimalean???
Hackearen oinarriak ulertzen dituen IT profesional batentzat, komando lerroak susmagarria izan behar du. Cmd.exe erabiltzea gero beste komando bat exekutatzeko eta irteera izen arraroa duen fitxategi batera birbideratzeko, argi eta garbi, monitorizazio eta kontrol softwarearen ekintzen antzekoa da.
Ikus dezagun orain Sysmon sarrera baliokideari, zenbat informazio gehigarri ematen digun ohartuz:
Sysmon-en ezaugarriak pantaila-argazki batean: prozesuari buruzko informazio zehatza modu irakurgarrian
Komando-lerroa ez ezik, fitxategiaren izena ere ikusten duzu, aplikazio exekutagarriaren bidea, Windows-ek horri buruz dakiena ("Windows Command Processor"), identifikatzailea. gurasoak prozesua, komando lerroa gurasoa, cmd shell-a abiarazi zuen, baita prozesu gurasoaren benetako fitxategi-izena ere. Dena leku bakarrean, azkenean!
Sysmon-en erregistrotik ondoriozta dezakegu probabilitate handiarekin erregistro "gordina"-etan ikusi genuen komando-lerro susmagarri hau ez dela langilearen lan arruntaren ondorioa. Aitzitik, C2 antzeko prozesu batek sortu zuen - wmiexec, lehen aipatu dudan bezala - eta zuzenean WMI zerbitzu-prozesuak (WmiPrvSe) sortu zuen. Orain urruneko erasotzaile edo barruko batek azpiegitura korporatiboa probatzen ari dela adierazten duen adierazlea dugu.
Get-Sysmonlogs aurkezten
Noski bikaina da Sysmon-ek erregistroak leku batean jartzen dituenean. Baina seguruenik are hobea izango litzateke erregistro-eremu indibidualak programatikoki atzitzea lortuko bagenu, adibidez, PowerShell komandoen bidez. Kasu honetan, mehatxu potentzialen bilaketa automatizatuko lukeen PowerShell script txiki bat idatz dezakezu!
Ez nintzen horrelako ideia bat izan zuen lehena. Eta ona da foroko mezu batzuetan eta GitHub
Lehenengo puntu garrantzitsua taldearen gaitasuna da
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Komandoa zuk zeuk probatu nahi baduzu, $events array-ko lehen elementuan, $events[0].Mezuan dagoen edukia bistaratuz, irteera oso formatu sinpleko testu-kate sorta bat izan daiteke: izenaren izena. Sysmon eremua, bi puntu bat eta gero balioa bera.
Aupa! Sysmon erregistroa JSONrako prest dagoen formatuan ateratzen
Niri gauza bera pentsatzen ari al zara? Ahalegin pixka bat gehiagorekin, irteera JSON formatuko kate batean bihur dezakezu eta, ondoren, zuzenean PS objektu batean karga dezakezu komando indartsu bat erabiliz.
Bihurtzeko PowerShell kodea erakutsiko dut -oso erraza da- hurrengo zatian. Oraingoz, ikus dezagun PS modulu gisa instalatu nuen get-sysmonlogs izeneko nire komando berriak zer egin dezakeen.
Gertaeren erregistro-interfaze deseroso baten bidez Sysmon-en erregistro-analisian sakondu beharrean, PowerShell saio batetik zuzenean jarduera gehigarriak bilatu ditzakegu, baita PS komandoa ere.
WMI bidez abiarazitako cmd shellen zerrenda. Merkeen mehatxuen analisia gure Get-Sysmonlogs taldearekin
Zoragarria! Tresna bat sortu dut Sysmon erregistroa datu-base bat balitz bezala galdetzeko. buruzko gure artikuluan
Sysmon eta grafikoen analisia
Atzera egin dezagun eta pentsa dezagun sortu berri dugunaz. Funtsean, orain Windows gertaeren datu-base bat dugu PowerShell bidez eskuragarri. Lehen adierazi dudan bezala, erregistroen artean konexioak edo erlazioak daude - ParentProcessId-en bidez - prozesuen hierarkia osoa lor daiteke.
Seriea irakurri baduzu
Baina nire Get-Sysmonlogs komandoarekin eta testuan geroago ikusiko dugun datu-egitura gehigarri batekin (grafiko bat, noski), mehatxuak detektatzeko modu praktikoa dugu, erpin bilaketa egokia egitea besterik ez baita behar.
Gure DYI blog-proiektuekin beti bezala, zenbat eta gehiago lan egin eskala txikian mehatxuen xehetasunak aztertzen, orduan eta konturatuko zara zein konplexua den mehatxuen hautematea enpresa mailan. Eta kontzientzia hori izugarria da puntu garrantzitsua.
Artikuluaren bigarren zatian lehenengo konplikazio interesgarriak topatuko ditugu, non Sysmon gertaerak elkarren artean egitura askoz konplexuagoetan lotzen hasiko garen.
Iturria: www.habr.com