Is e an artaigil seo a’ chiad phàirt de shreath air mion-sgrùdadh bagairt Sysmon. A h-uile pàirt eile den t-sreath:
Pàirt 1: Ro-ràdh do Sysmon Log Analysis (tha sinn an seo)
Pàirt 2: A’ cleachdadh Dàta Tachartas Sysmon gus Cunnartan aithneachadh
Pàirt 3. Mion-sgrùdadh air bagairtean Sysmon a 'cleachdadh ghrafaichean
Ma tha thu ag obair ann an tèarainteachd fiosrachaidh, is dòcha gu feum thu ionnsaighean leantainneach a thuigsinn. Ma tha sùil ionnsaichte agad mu thràth, faodaidh tu coimhead airson gnìomhachd neo-àbhaisteach anns na logaichean “amh” gun phròiseas - can, sgriobt PowerShell a’ ruith no sgriobt VBS a’ leigeil air gur e faidhle Word a th’ ann - dìreach a’ gluasad tron ghnìomhachd as ùire ann an loga tachartas Windows. Ach is e ceann goirt mòr a tha seo. Gu fortanach, chruthaich Microsoft Sysmon, a tha a 'dèanamh mion-sgrùdadh ionnsaigh mòran nas fhasa.
A bheil thu airson na beachdan bunaiteach air cùl nam bagairtean a tha air an taisbeanadh ann an log Sysmon a thuigsinn? Luchdaich sìos an stiùireadh againn agus tuigidh tu mar as urrainn do dhaoine taobh a-staigh coimhead gu h-obann air luchd-obrach eile. Is e am prìomh dhuilgheadas le bhith ag obair le log tachartas Windows an dìth fiosrachaidh mu phròiseasan phàrant, i.e. tha e do-dhèanta rangachd phròiseasan a thuigsinn bhuaithe. Air an làimh eile, tha inntrigidhean log Sysmon a’ toirt a-steach ID pròiseas pàrant, ainm, agus an loidhne-àithne a thèid a chuir air bhog. Tapadh leibh, Microsoft.
Anns a’ chiad phàirt den t-sreath againn, seallaidh sinn ri dè as urrainn dhut a dhèanamh le fiosrachadh bunaiteach bho Sysmon. Ann am Pàirt XNUMX, gabhaidh sinn làn chothrom air fiosrachadh mu phròiseas phàrant gus structaran gèillidh nas iom-fhillte a chruthachadh ris an canar grafaichean bagairt. Anns an treas pàirt, seallaidh sinn ri algorithm sìmplidh a bhios a’ sganadh graf bagairt gus gnìomhachd neo-àbhaisteach a lorg le bhith a’ dèanamh anailis air “cuideam” a’ ghraf. Agus aig a’ cheann thall, gheibh thu duais le dòigh lorg bagairt sgiobalta (agus so-thuigsinn).
Pàirt 1: Ro-ràdh do Sysmon Log Analysis
Dè a chuidicheas tu gus iom-fhillteachd log an tachartais a thuigsinn? Mu dheireadh thall - SIEM. Bidh e a’ gnàthachadh thachartasan agus a’ sìmpleachadh an anailis às deidh sin. Ach chan fheum sinn a dhol cho fada sin, co-dhiù chan ann an toiseach. Anns an toiseach, gus prionnsapalan SIEM a thuigsinn, bidh e gu leòr feuchainn air goireas iongantach Sysmon an-asgaidh. Agus tha i iongantach furasta obrachadh leatha. Cùm suas e, Microsoft!
Dè na feartan a th’ aig Sysmon?
Ann an ùine ghoirid - fiosrachadh feumail agus leughaidh mu na pròiseasan (faic dealbhan gu h-ìosal). Lorgaidh tu dòrlach de dh’ fhiosrachadh feumail nach eil ann an Log Tachartas Windows, ach is iad na raointean a leanas an fheadhainn as cudromaiche:
- ID pròiseas (ann an deicheach, chan e hex!)
- ID pròiseas pàrant
- Loidhne-àithne pròiseas
- Loidhne-àithne a’ phròiseas phàrant
- hash dealbh faidhle
- Ainmean dealbhan faidhle
Tha Sysmon air a chuir a-steach an dà chuid mar dhràibhear inneal agus mar sheirbheis - barrachd fiosrachaidh Is e a phrìomh bhuannachd an comas sgrùdadh a dhèanamh air logaichean bho grunnan stòran, co-dhàimh fiosrachaidh agus toradh nan luachan a thig às gu aon phasgan log tachartais a tha suidhichte air an t-slighe Microsoft -> Windows -> Sysmon -> Gnìomhach. Anns na sgrùdaidhean togail fuilt agam fhìn air logaichean Windows, lorg mi gu robh feum agam an-còmhnaidh gluasad eadar, can, am pasgan logaichean PowerShell agus am pasgan Tèarainteachd, a ’frasadh tro logaichean an tachartais ann an oidhirp làidir gus na luachan eadar an dà rud a cho-cheangal. . Chan e obair furasta a tha seo a-riamh, agus mar a thuig mi nas fhaide air adhart, bha e na b’ fheàrr stoc a chuir air aspirin sa bhad.
Bidh Sysmon a’ toirt leum cuantamach air adhart le bhith a’ toirt seachad fiosrachadh feumail (no mar a tha luchd-reic ag iarraidh a ràdh, gnìomh) gus cuideachadh le bhith a’ tuigsinn phròiseasan bunaiteach. Mar eisimpleir, thòisich mi air seisean dìomhair , ag atharrais air gluasad neach-dìon snasail taobh a-staigh an lìonra. Seo na chì thu ann an loga tachartas Windows:
Tha log Windows a’ sealltainn beagan fiosrachaidh mun phròiseas, ach chan eil e gu feum sam bith. A bharrachd air IDan pròiseas ann an hexadecimal ???
Airson proifeasanta IT proifeasanta le tuigse air bunaitean hacaidh, bu chòir an loidhne-àithne a bhith amharasach. Tha e soilleir gu bheil cleachdadh cmd.exe gus àithne eile a ruith agus an toradh ath-stiùireadh gu faidhle le ainm neònach coltach ri gnìomhan bathar-bog sgrùdaidh is smachd : San dòigh seo, thèid slige meallta a chruthachadh a’ cleachdadh seirbheisean WMI.
A-nis leig dhuinn sùil a thoirt air an inntrigeadh Sysmon co-ionann, a’ mothachadh na tha de dh’ fhiosrachadh a bharrachd a bheir e dhuinn:
Tha Sysmon a’ nochdadh ann an aon dealbh-sgrìn: fiosrachadh mionaideach mun phròiseas ann an cruth a ghabhas leughadh
Chan e a-mhàin gum faic thu an loidhne-àithne, ach cuideachd ainm an fhaidhle, an t-slighe chun tagradh so-ghnìomhaichte, na tha fios aig Windows mu dheidhinn (“Windows Command Processor”), an aithnichear phàrant pròiseas, loidhne-àithne pàrant, a chuir an slige cmd air bhog, a bharrachd air fìor ainm faidhle a’ phròiseas phàrant. A h-uile dad ann an aon àite, mu dheireadh!
Bho log Sysmon faodaidh sinn a cho-dhùnadh le ìre àrd de choltas nach eil an loidhne-àithne amharasach seo a chunnaic sinn anns na logaichean “amh” mar thoradh air obair àbhaisteach an neach-obrach. Air an làimh eile, chaidh a chruthachadh le pròiseas coltach ri C2 - wmiexec, mar a thuirt mi na bu thràithe - agus chaidh a shìolachadh gu dìreach le pròiseas seirbheis WMI (WmiPrvSe). A-nis tha comharra againn gu bheil neach-ionnsaigh iomallach no neach-dìon a’ dèanamh deuchainn air a’ bhun-structar corporra.
A’ toirt a-steach Get-Sysmonlogs
Gu dearbh tha e math nuair a chuireas Sysmon na logaichean ann an aon àite. Ach is dòcha gum biodh e eadhon na b’ fheàrr nam b ’urrainn dhuinn faighinn gu raointean log fa leth gu prògramach - mar eisimpleir, tro òrdughan PowerShell. Anns a 'chùis seo, dh' fhaodadh tu sgriobt PowerShell beag a sgrìobhadh a dhèanadh fèin-ghluasad air rannsachadh airson bagairtean a dh'fhaodadh a bhith ann!
Cha b 'e mise a' chiad fhear a fhuair a leithid de bheachd. Agus tha e math sin ann an cuid de phuist fòram agus GitHub Chaidh a mhìneachadh mar-thà mar a chleachdas tu PowerShell gus log Sysmon a pharsadh. Anns a ’chùis agam, bha mi airson a bhith a’ seachnadh a bhith a ’sgrìobhadh loidhnichean eadar-dhealaichte de sgriobt parsaidh airson gach raon Sysmon. Mar sin chleachd mi prionnsapal an duine leisg agus tha mi a’ smaoineachadh gun tàinig mi suas le rudeigin inntinneach mar thoradh air an sin.
Is e a’ chiad phuing chudromach comas na sgioba leugh logaichean Sysmon, sìolaich na tachartasan riatanach agus cuir a-mach an toradh chun chaochladair PS, mar an seo:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Ma tha thu airson an àithne a dhearbhadh thu fhèin, le bhith a’ sealltainn an t-susbaint sa chiad eileamaid den raon $events, $events[0].Teachdaireachd, faodaidh an toradh a bhith na shreath de shreathan teacsa le cruth gu math sìmplidh: ainm an Raon Sysmon, coloin, agus an uairsin an luach fhèin.
Hooray! Log a-mach Sysmon a-steach gu cruth deiseil JSON
A bheil thu a’ smaoineachadh an aon rud riumsa? Le beagan a bharrachd oidhirp, faodaidh tu an toradh a thionndadh gu sreang cruth JSON agus an uairsin a luchdachadh gu dìreach a-steach do nì PS a’ cleachdadh àithne cumhachdach .
Seallaidh mi an còd PowerShell airson an tionndadh - tha e gu math sìmplidh - anns an ath phàirt. Airson a-nis, chì sinn dè as urrainn don àithne ùr agam ris an canar get-sysmonlogs, a chuir mi a-steach mar mhodal PS, a dhèanamh.
An àite a bhith a ’dàibheadh gu domhainn a-steach do mhion-sgrùdadh log Sysmon tro eadar-aghaidh log tachartais mì-ghoireasach, is urrainn dhuinn gun oidhirp a bhith a’ lorg gnìomhachd mean air mhean gu dìreach bho sheisean PowerShell, a bharrachd air an àithne PS a chleachdadh (alias - “?") Gus na toraidhean rannsachaidh a ghiorrachadh:
Liosta de shligean cmd air an cur air bhog tro WMI. Mion-sgrùdadh Cunnart air an t-saor leis an Sgioba Get-Sysmonlogs againn fhìn
Iongantach! Chruthaich mi inneal airson sgrùdadh a dhèanamh air log Sysmon mar gum b’ e stòr-dàta a bh’ ann. Anns an artaigil againn mu dheidhinn chaidh a thoirt fa-near gun tèid an gnìomh seo a choileanadh leis a’ ghoireas fionnar a tha air a mhìneachadh ann, ged a tha e gu foirmeil fhathast tro eadar-aghaidh fìor coltach ri SQL. Tha, EQL eireachdail, ach beanaidh sinn ris san treas cuid.
Sysmon agus mion-sgrùdadh graf
Gabhamaid ceum air ais agus smaoinich sinn air na chruthaich sinn. Gu bunaiteach, tha stòr-dàta tachartas Windows againn a-nis ruigsinneach tro PowerShell. Mar a thuirt mi na bu thràithe, tha ceanglaichean no dàimhean eadar clàran - tron ParentProcessId - gus am faighear rangachd iomlan de phròiseasan.
Ma tha thu air an t-sreath a leughadh tha fios agad gu bheil luchd-hackers dèidheil air ionnsaighean ioma-ìre iom-fhillte a chruthachadh, anns am bi gach pròiseas a’ cluich a dhreuchd bheag fhèin agus ag ullachadh clàr-tòiseachaidh airson an ath cheum. Tha e air leth duilich rudan mar seo a ghlacadh dìreach bhon log “amh”.
Ach leis an àithne Get-Sysmonlogs agam agus structar dàta a bharrachd air am bi sinn a’ coimhead nas fhaide air adhart san teacsa (graf, gu dearbh), tha dòigh phractaigeach againn airson bagairtean a lorg - a dh’ fheumas dìreach an sgrùdadh vertex ceart a dhèanamh.
Mar as àbhaist le ar pròiseactan blog DYI, mar as motha a dh’ obraicheas tu air mion-sgrùdadh mion-fhiosrachadh air bagairtean air sgèile bheag, is ann as motha a thuigeas tu cho iom-fhillte ‘s a tha lorg bagairtean aig ìre iomairt. Agus tha an mothachadh seo uamhasach puing chudromach.
Coinnichidh sinn ris a 'chiad dhuilgheadasan inntinneach anns an dàrna pàirt den artaigil, far an tòisich sinn a' ceangal thachartasan Sysmon ri chèile gu structaran mòran nas iom-fhillte.
Source: www.habr.com