Artikulu hau Sysmon mehatxuen analisiari buruzko serie baten lehen zatia da. Serieko gainerako atal guztiak:
1. zatia: Sysmon Log Analysisaren sarrera (hemen gaude)
2. zatia: Sysmon gertaeren datuak erabiltzea mehatxuak identifikatzeko
3. zatia. Sysmon mehatxuen azterketa sakona grafikoak erabiliz
Informazioaren segurtasunean lan egiten baduzu, ziurrenik etengabeko erasoak ulertu beharko dituzu. Dagoeneko begi trebatua baduzu, jarduera ez-estandarra bilatu dezakezu prozesatu gabeko erregistro "gordinak" - esate baterako, exekutatzen den PowerShell script bat. edo VBS script bat Word fitxategi bat dela itxuratzen duena; besterik gabe, Windows gertaeren erregistroko azken jardueran mugitzea. Baina hau benetan buruhauste handia da. Zorionez, Microsoft-ek Sysmon sortu zuen, eta horrek erasoen azterketa askoz errazten du.
Sysmon erregistroan bistaratzen diren mehatxuen atzean dauden oinarrizko ideiak ulertu nahi dituzu? Deskargatu gure gida eta konturatzen zara nola barrukoek ezkutuan beha ditzaketen beste langile batzuk. Windows gertaeren erregistroarekin lan egiteko arazo nagusia gurasoen prozesuei buruzko informazio falta da, hau da. ezinezkoa da prozesuen hierarkia bertatik ulertzea. Sysmon erregistroko sarrerek, berriz, prozesu nagusiaren IDa, bere izena eta abiarazi beharreko komando-lerroa dituzte. Eskerrik asko, Microsoft.
Gure seriearen lehen zatian, Sysmon-en oinarrizko informazioarekin zer egin dezakezun aztertuko dugu. XNUMX. zatian, prozesu nagusiaren informazioa aprobetxatuko dugu mehatxu grafiko gisa ezagutzen diren betetze-egitura konplexuagoak sortzeko. Hirugarren zatian, mehatxu-grafiko bat eskaneatzen duen algoritmo sinple bat aztertuko dugu, grafikoaren βpisuaβ aztertuz ezohiko jarduera bilatzeko. Eta amaieran, mehatxu probabilistiko detektatzeko metodo txukun (eta ulergarri) batekin sarituko zara.
1. zatia: Sysmon Log Analysisaren sarrera
Zerk lagun zaitzake gertaeren erregistroaren konplexutasuna ulertzen? Azken finean - SIEM. Gertaerak normalizatzen ditu eta ondorengo azterketa errazten du. Baina ez dugu hain urrutira joan behar, hasieran ez behintzat. Hasieran, SIEM-en printzipioak ulertzeko, nahikoa izango da Sysmon doako erabilgarritasun zoragarria probatzea. Eta harrigarriro erraza da berarekin lan egitea. Jarrai horrela, Microsoft!
Zer ezaugarri ditu Sysmonek?
Laburbilduz, prozesuei buruzko informazio erabilgarria eta irakurgarria (ikus beheko irudiak). Windows Gertaeren Erregistroan ez dauden xehetasun erabilgarriak aurkituko dituzu, baina garrantzitsuenak eremu hauek dira:
- Prozesuaren IDa (dezimalez, ez hexadezik!)
- Guraso-prozesuaren IDa
- Prozesuaren komando lerroa
- Prozesu nagusiaren komando-lerroa
- Fitxategiaren irudiaren hash
- Fitxategien irudien izenak
Sysmon gailu kontrolatzaile gisa eta zerbitzu gisa instalatzen da - xehetasun gehiago Bere abantaila nagusia erregistroak aztertzeko gaitasuna da batzuk iturriak, informazioaren korrelazioa eta ondoriozko balioen irteera ibilbidean kokatutako gertaeren erregistroko karpeta batera Microsoft -> Windows -> Sysmon -> Operatiboa. Windows-eko erregistroei buruzko nire ikerketetan, etengabe aldatu behar izan nuen, esate baterako, PowerShell erregistroen karpeta eta Segurtasun karpetaren artean, gertaeren erregistroak arakatuz bien arteko balioak nolabait erlazionatzeko saiakera ausart batean. . Hau ez da inoiz lan erraza, eta geroago konturatu nintzenez, hobe zen berehala aspirina hornitzea.
Sysmon-ek jauzi kuantiko bat ematen du azpiko prozesuak ulertzen laguntzeko informazio baliagarria (edo saltzaileek esan nahi duten moduan, ekintzarako) emanez. Adibidez, saio sekretu bat hasi nuen , sare barruko barneko adimendun baten mugimendua simulatuz. Hau da Windows gertaeren erregistroan ikusiko duzuna:
Windows-eko erregistroak prozesuari buruzko informazio batzuk erakusten ditu, baina ez du ezertarako balio. Gehi prozesatzeko IDak hamaseimalean???
Hackearen oinarriak ulertzen dituen IT profesional batentzat, komando lerroak susmagarria izan behar du. Cmd.exe erabiltzea gero beste komando bat exekutatzeko eta irteera izen arraroa duen fitxategi batera birbideratzeko, argi eta garbi, monitorizazio eta kontrol softwarearen ekintzen antzekoa da. : Modu honetan, sasi-shell bat sortzen da WMI zerbitzuak erabiliz.
Ikus dezagun orain Sysmon sarrera baliokideari, zenbat informazio gehigarri ematen digun ohartuz:
Sysmon-en ezaugarriak pantaila-argazki batean: prozesuari buruzko informazio zehatza modu irakurgarrian
Komando-lerroa ez ezik, fitxategiaren izena ere ikusten duzu, aplikazio exekutagarriaren bidea, Windows-ek horri buruz dakiena ("Windows Command Processor"), identifikatzailea. gurasoak prozesua, komando lerroa gurasoa, cmd shell-a abiarazi zuen, baita prozesu gurasoaren benetako fitxategi-izena ere. Dena leku bakarrean, azkenean!
Sysmon-en erregistrotik ondoriozta dezakegu probabilitate handiarekin erregistro "gordina"-etan ikusi genuen komando-lerro susmagarri hau ez dela langilearen lan arruntaren ondorioa. Aitzitik, C2 antzeko prozesu batek sortu zuen - wmiexec, lehen aipatu dudan bezala - eta zuzenean WMI zerbitzu-prozesuak (WmiPrvSe) sortu zuen. Orain urruneko erasotzaile edo barruko batek azpiegitura korporatiboa probatzen ari dela adierazten duen adierazlea dugu.
Get-Sysmonlogs aurkezten
Noski bikaina da Sysmon-ek erregistroak leku batean jartzen dituenean. Baina seguruenik are hobea izango litzateke erregistro-eremu indibidualak programatikoki atzitzea lortuko bagenu, adibidez, PowerShell komandoen bidez. Kasu honetan, mehatxu potentzialen bilaketa automatizatuko lukeen PowerShell script txiki bat idatz dezakezu!
Ez nintzen horrelako ideia bat izan zuen lehena. Eta ona da foroko mezu batzuetan eta GitHub Dagoeneko azaldu da PowerShell nola erabili Sysmon erregistroa aztertzeko. Nire kasuan, Sysmon eremu bakoitzerako analizatzeko script lerro bereiziak idatzi behar izatea saihestu nahi nuen. Beraz, gizon alferraren printzipioa erabili nuen eta ondorioz zerbait interesgarria atera zitzaidala uste dut.
Lehenengo puntu garrantzitsua taldearen gaitasuna da irakurri Sysmon erregistroak, iragazi beharrezko gertaerak eta atera emaitza PS aldagaira, hemen bezala:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Komandoa zuk zeuk probatu nahi baduzu, $events array-ko lehen elementuan, $events[0].Mezuan dagoen edukia bistaratuz, irteera oso formatu sinpleko testu-kate sorta bat izan daiteke: izenaren izena. Sysmon eremua, bi puntu bat eta gero balioa bera.
Aupa! Sysmon erregistroa JSONrako prest dagoen formatuan ateratzen
Niri gauza bera pentsatzen ari al zara? Ahalegin pixka bat gehiagorekin, irteera JSON formatuko kate batean bihur dezakezu eta, ondoren, zuzenean PS objektu batean karga dezakezu komando indartsu bat erabiliz. .
Bihurtzeko PowerShell kodea erakutsiko dut -oso erraza da- hurrengo zatian. Oraingoz, ikus dezagun PS modulu gisa instalatu nuen get-sysmonlogs izeneko nire komando berriak zer egin dezakeen.
Gertaeren erregistro-interfaze deseroso baten bidez Sysmon-en erregistro-analisian sakondu beharrean, PowerShell saio batetik zuzenean jarduera gehigarriak bilatu ditzakegu, baita PS komandoa ere. (izena β β?β) bilaketa-emaitzak laburtzeko:
WMI bidez abiarazitako cmd shellen zerrenda. Merkeen mehatxuen analisia gure Get-Sysmonlogs taldearekin
Zoragarria! Tresna bat sortu dut Sysmon erregistroa datu-base bat balitz bezala galdetzeko. buruzko gure artikuluan Funtzio hau bertan deskribatutako utilitate freskoaren bidez egingo dela adierazi zen, nahiz eta formalki oraindik SQL antzeko interfaze baten bidez. Bai, EQL dotorea, baina hirugarren zatian ukituko dugu.
Sysmon eta grafikoen analisia
Atzera egin dezagun eta pentsa dezagun sortu berri dugunaz. Funtsean, orain Windows gertaeren datu-base bat dugu PowerShell bidez eskuragarri. Lehen adierazi dudan bezala, erregistroen artean konexioak edo erlazioak daude - ParentProcessId-en bidez - prozesuen hierarkia osoa lor daiteke.
Seriea irakurri baduzu badakizu hacker-ek etapa anitzeko eraso konplexuak sortzea gustatzen zaiela, prozesu bakoitzak bere eginkizun txikia betetzen duela eta hurrengo urratserako abiapuntua prestatzen duela. Oso zaila da horrelako gauzak "gordina" erregistrotik harrapatzea.
Baina nire Get-Sysmonlogs komandoarekin eta testuan geroago ikusiko dugun datu-egitura gehigarri batekin (grafiko bat, noski), mehatxuak detektatzeko modu praktikoa dugu, erpin bilaketa egokia egitea besterik ez baita behar.
Gure DYI blog-proiektuekin beti bezala, zenbat eta gehiago lan egin eskala txikian mehatxuen xehetasunak aztertzen, orduan eta konturatuko zara zein konplexua den mehatxuen hautematea enpresa mailan. Eta kontzientzia hori izugarria da puntu garrantzitsua.
Artikuluaren bigarren zatian lehenengo konplikazio interesgarriak topatuko ditugu, non Sysmon gertaerak elkarren artean egitura askoz konplexuagoetan lotzen hasiko garen.
Iturria: www.habr.com