ʻO kēia ʻatikala ka ʻāpana mua o kahi moʻo e pili ana i ka loiloi hoʻoweliweli Sysmon. ʻO nā ʻāpana ʻē aʻe a pau o ka moʻo:
Māhele 1: Hoʻomaka i ka Sysmon Log Analysis (Aia mākou ma ʻaneʻi)
Mahele 2: Ke hoʻohana nei i ka ʻikepili hanana Sysmon e ʻike i nā mea hoʻoweliweli
Mahele 3. Ka nānā ʻana i ka hoʻoweliweli ʻana o Sysmon me ka hoʻohana ʻana i nā kiʻi
Inā hana ʻoe i ka palekana ʻike, pono paha ʻoe e hoʻomaopopo pinepine i nā hoʻouka kaua. Inā loaʻa iā ʻoe kahi maka i hoʻomaʻamaʻa ʻia, hiki iā ʻoe ke ʻimi i ka hana maʻamau ʻole i nā lāʻau "raw" unprocessed logs - e ʻōlelo, e holo ana kahi palapala PowerShell a i ʻole he palapala VBS e hoʻohālike ana he faila Word - e ʻōwili wale ana i ka hana hou loa ma ka log hanana Windows. Akā, he poʻo nui maoli kēia. ʻO ka mea pōmaikaʻi, ua hana ʻo Microsoft iā Sysmon, kahi e maʻalahi ai ka hoʻouka kaua ʻana.
Makemake ʻoe e hoʻomaopopo i nā manaʻo kumu ma hope o nā hoʻoweliweli i hōʻike ʻia ma ka log Sysmon? Hoʻoiho i kā mākou alakaʻi a ʻike ʻoe pehea e hiki ai i ka poʻe insiders ke nānā malū i nā limahana ʻē aʻe. ʻO ka pilikia nui me ka hana ʻana me ka log event Windows ʻo ka nele o ka ʻike e pili ana i nā kaʻina hana makua, ʻo ia. ʻaʻole hiki ke hoʻomaopopo i ka hierarchy o nā kaʻina hana mai ia mea. Aia ma nā ʻaoʻao o Sysmon log ka ID kaʻina hana makua, kona inoa, a me ka laina kauoha e hoʻomaka. Mahalo iā ʻoe, Microsoft.
Ma ka ʻāpana mua o kā mākou pūʻulu, e nānā mākou i kāu mea e hana ai me ka ʻike kumu mai Sysmon. Ma ka Māhele XNUMX, e hoʻohana pono mākou i ka ʻike kaʻina hana makua e hana i nā hale hoʻokō paʻakikī i ʻike ʻia he kiʻi hoʻoweliweli. Ma ka hapakolu, e nānā mākou i kahi algorithm maʻalahi e nānā i ka pakuhi hoʻoweliweli e ʻimi i ka hana maʻamau ma o ka nānā ʻana i ka "kaumaha" o ka pakuhi. A i ka hopena, e uku ʻia ʻoe me kahi ala ʻike hoʻoweliweli kūpono (a hiki ke hoʻomaopopo ʻia).
Mahele 1: Hoʻomaka i ka Sysmon Log Analysis
He aha ka mea hiki ke kōkua iā ʻoe e hoʻomaopopo i ka paʻakikī o ka log hanana? ʻO ka hope loa - SIEM. Hoʻomaʻamaʻa ia i nā hanana a hoʻomaʻamaʻa i kā lākou loiloi hope. Akā ʻaʻole pono mākou e hele i kēlā mamao, ʻaʻole ma ka mua. I ka hoʻomaka ʻana, e hoʻomaopopo i nā loina o SIEM, e lawa ia e hoʻāʻo i ka mea hoʻohana maikaʻi ʻo Sysmon manuahi. A he mea maʻalahi loa ia e hana pū me ia. E hoʻomau, Microsoft!
He aha nā hiʻohiʻona i loaʻa iā Sysmon?
I ka pōkole - ʻike pono a hiki ke heluhelu ʻia e pili ana i nā kaʻina hana (e nānā i nā kiʻi ma lalo). E ʻike ʻoe i kahi pūʻulu o nā kikoʻī pono ʻaʻole i loko o ka Windows Event Log, akā ʻo ka mea koʻikoʻi ʻo ia nā māla aʻe:
- ID kaʻina hana (ma ka decimal, ʻaʻole hex!)
- ID kaʻina hana makua
- Kaʻina kauoha laina
- Laina kauoha o ka hana makua
- Hash kiʻi waihona
- Nā inoa kiʻi waihona
Hoʻokomo ʻia ʻo Sysmon ma ke ʻano he mea hoʻokele hāmeʻa a ma ke ʻano he lawelawe - nā kikoʻī hou aku ʻO kāna pōmaikaʻi nui ʻo ia ka hiki ke kālailai i nā lāʻau mai lehulehu nā kumu, ka hoʻopili ʻana o ka ʻike a me ka hoʻopuka ʻana i nā waiwai i loaʻa i kahi waihona log hanana ma ke ala Microsoft -> Windows -> Sysmon -> Hana. I kaʻu mau noiʻi hoʻokiʻekiʻe lauoho i nā lāʻau Windows, ʻike wau iaʻu iho e hoʻololi mau i waena, e ʻōlelo, ka PowerShell log folder a me ka folder Security, e ʻimi ana i nā hanana hanana i kahi hoʻāʻo wiwo ʻole e hoʻoponopono i nā waiwai ma waena o nā mea ʻelua. . ʻAʻole kēia he hana maʻalahi, a i koʻu ʻike ʻana ma hope aku, ʻoi aku ka maikaʻi o ka hoʻopaʻa koke ʻana i ka aspirin.
Lawe ʻo Sysmon i kahi lele nui ma o ka hāʻawi ʻana i ka ʻike pono (a i ʻole e like me ka mea kūʻai aku e ʻōlelo ai, hiki ke hana) e kōkua i ka hoʻomaopopo ʻana i nā kaʻina hana. Eia kekahi laʻana, ua hoʻomaka wau i kahi hālāwai huna , e hoʻohālike ana i ka neʻe ʻana o kahi kanaka akamai i loko o ka pūnaewele. ʻO kēia ka mea āu e ʻike ai ma ka log event Windows:
Hōʻike ka Windows log i kekahi ʻike e pili ana i ke kaʻina hana, akā he mea liʻiliʻi ia. Hoʻohui i nā ID kaʻina hana ma ka hexadecimal???
No ka ʻoihana IT ʻoihana me ka ʻike i nā kumu o ka hacking, pono e kānalua ka laina kauoha. Ke hoʻohana nei i ka cmd.exe e holo i kahi kauoha ʻē aʻe a hoʻihoʻi i ka hopena i kahi faila me kahi inoa ʻē aʻe e like me nā hana o ka nānā ʻana a me ka hoʻokele polokalamu. : Ma kēia ala, hana ʻia kahi pseudo-shell me ka hoʻohana ʻana i nā lawelawe WMI.
I kēia manawa, e nānā kākou i ka Sysmon entry like, me ka ʻike ʻana i ka nui o ka ʻike hou aʻe e hāʻawi mai iā mākou:
Nā hiʻohiʻona Sysmon i hoʻokahi kiʻi kiʻi: ʻike kikoʻī e pili ana i ke kaʻina hana ma kahi ʻano heluhelu
ʻAʻole wale ʻoe e ʻike i ka laina kauoha, akā ʻo ka inoa faila, ke ala i ka noi hoʻokō, ka mea a Windows e ʻike ai e pili ana iā ia ("Windows Command Processor"), ka mea ʻike. makua kaʻina hana, laina kauoha makua, ka mea i hoʻokuʻu i ka cmd shell, a me ka inoa faila maoli o ke kaʻina hana makua. ʻO nā mea a pau ma kahi hoʻokahi, hope loa!
Mai ka Sysmon log hiki iā mākou ke hoʻoholo me ke kūlana kiʻekiʻe o kēia laina kauoha kānalua a mākou i ʻike ai ma nā lāʻau "raw" ʻaʻole ia ka hopena o ka hana maʻamau o ka limahana. ʻO ka mea ʻē aʻe, ua hana ʻia e kahi kaʻina C2-like - wmiexec, e like me kaʻu i ʻōlelo ai ma mua - a ua hoʻopuka pololei ʻia e ke kaʻina lawelawe WMI (WmiPrvSe). I kēia manawa ua loaʻa iā mākou kahi hōʻailona e hoʻāʻo nei kahi mea hoʻouka mamao a i ʻole ka mea hoʻopukapuka i ka ʻoihana ʻoihana.
Ke hoʻolauna nei iā Get-Sysmonlogs
ʻOiaʻiʻo he mea maikaʻi ke kau ʻo Sysmon i nā lāʻau ma kahi hoʻokahi. Akā ʻoi aku ka maikaʻi inā hiki iā mākou ke komo i nā māla log pākahi me ka programmatically - no ka laʻana, ma o nā kauoha PowerShell. I kēia hihia, hiki iā ʻoe ke kākau i kahi palapala PowerShell liʻiliʻi e hoʻokaʻawale i ka ʻimi no nā mea hoʻoweliweli!
ʻAʻole wau ka mea mua i loaʻa i kēlā manaʻo. A maikaʻi ia ma kekahi mau pou forum a me GitHub Ua wehewehe ʻia pehea e hoʻohana ai i ka PowerShell e hoʻopau i ka log Sysmon. I koʻu hihia, makemake wau e pale i ka kākau ʻana i nā laina ʻokoʻa o ka parsing script no kēlā me kēia kahua Sysmon. No laila ua hoʻohana au i ka loina kanaka palaualelo a manaʻo wau ua loaʻa iaʻu kahi mea hoihoi i ka hopena.
ʻO ka mea nui mua ka hiki o ka hui heluhelu i nā lāʻau Sysmon, kānana i nā hanana kūpono a hoʻopuka i ka hopena i ka hoʻololi PS, e like me kēia:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Inā makemake ʻoe e hoʻāʻo iā ʻoe iho i ke kauoha, ma ka hōʻike ʻana i ka ʻike ma ka mea mua o ka hui $ events, $ events[0].Memo, hiki ke hoʻopuka ʻia ke ʻano o nā kaula kikokikona me kahi ʻano maʻalahi loa: ka inoa o ka ʻO ke kahua ʻo Sysmon, kahi kolonā, a laila ka waiwai ponoʻī.
Hooray! Ke hoʻopuka nei i ka log Sysmon i loko o ke ʻano mākaukau JSON
Ua like anei kou manao me a'u? Me ka hoʻoikaika iki aʻe, hiki iā ʻoe ke hoʻololi i ka hoʻopuka i kahi string format JSON a laila hoʻouka pololei i kahi mea PS me ka hoʻohana ʻana i kahi kauoha ikaika. .
E hōʻike wau i ke code PowerShell no ka hoʻololi ʻana - he maʻalahi loa ia - ma ka ʻāpana aʻe. I kēia manawa, e ʻike kākou i kaʻu kauoha hou i kapa ʻia get-sysmonlogs, aʻu i hoʻokomo ai ma ke ʻano he module PS, hiki ke hana.
Ma kahi o ka luʻu hohonu ʻana i ka loiloi log Sysmon ma o kahi interface log event inconvenient, hiki iā mākou ke ʻimi pono i ka hana hoʻonui pololei mai kahi hālāwai PowerShell, a me ka hoʻohana ʻana i ke kauoha PS. (alias – “?”) no ka pōkole i nā hualoaʻa:
Ka papa inoa o nā pūpū cmd i hoʻokuʻu ʻia ma WMI. ʻIke Hoʻoweliweli i ka mea ʻuʻuku me kā mākou hui Get-Sysmonlogs ponoʻī
Kupanaha! Ua hana au i mea hana e koho ai i ka log Sysmon me he mea la he waihona. Ma kā mākou ʻatikala e pili ana ua ʻike ʻia e hoʻokō ʻia kēia hana e ka mea hoʻohana maikaʻi i wehewehe ʻia i loko, ʻoiai ʻo ia ka hana ma o kahi kikowaena SQL-like maoli. ʻAe, EQL nani, akā, e hoʻopaʻa mākou iā ia ma ka hapa ʻekolu.
ʻO Sysmon a me ka nānā ʻana i ka pakuhi
E hoʻi kāua a noʻonoʻo i ka mea a mākou i hana ai. ʻO ka mea nui, loaʻa iā mākou kahi waihona hanana hanana Windows ma o PowerShell. E like me kaʻu i ʻike mua ai, aia nā pilina a i ʻole nā pilina ma waena o nā moʻolelo - ma o ka ParentProcessId - no laila hiki ke loaʻa kahi hierarchy piha o nā kaʻina hana.
Inā 'oe i heluhelu i ka mo'o ʻike ʻoe i ka poʻe hackers makemake e hana i nā hoʻouka kaua paʻakikī, kahi e pāʻani ai kēlā me kēia kaʻina hana i kāna kuleana liʻiliʻi a hoʻomākaukau i kahi puna no ka pae aʻe. He paʻakikī loa ka hopu ʻana i ia mau mea mai ka log "raw".
Akā me kaʻu kauoha Get-Sysmonlogs a me kahi hoʻolālā ʻikepili hou aʻe a mākou e nānā ai ma hope o ka kikokikona (kahi pakuhi, ʻoiaʻiʻo), loaʻa iā mākou kahi ala kūpono e ʻike ai i nā mea hoʻoweliweli - pono e hana i ka huli vertex kūpono.
E like me kā mākou papahana blog DYI, ʻoi aku ka nui o kāu hana ʻana i ka nānā ʻana i nā kikoʻī o nā mea hoʻoweliweli ma kahi liʻiliʻi, ʻoi aku ka nui o kou ʻike ʻana i ka paʻakikī o ka ʻike hoʻoweliweli ma ka pae ʻoihana. A ʻoi loa kēia ʻike mea nui.
E hālāwai mākou i nā hoʻopiʻi hoihoi mua ma ka ʻāpana ʻelua o ka ʻatikala, kahi e hoʻomaka ai mākou e hoʻopili i nā hanana Sysmon me kēlā me kēia i loko o nā hale paʻakikī.
Source: www.habr.com