Kab lus no yog thawj feem ntawm ib qho ntawm Sysmon hem tsom xam. Tag nrho lwm qhov ntawm lub series:
Part 1: Taw qhia rau Sysmon Log Analysis (peb nyob ntawm no)
Ntu 2: Siv Sysmon Event Data los txheeb xyuas cov kev hem
Ntu 3. Kev tsom xam qhov tob ntawm Sysmon hem siv cov duab
Yog tias koj ua haujlwm hauv kev ruaj ntseg cov ntaub ntawv, tej zaum koj yuav tau nkag siab txog kev tawm tsam tsis tu ncua. Yog tias koj twb muaj lub qhov muag kawm tiav lawm, koj tuaj yeem nrhiav cov haujlwm uas tsis yog tus qauv hauv "raws" cov ntaub ntawv uas tsis tau ua tiav - hais, PowerShell tsab ntawv khiav los yog VBS tsab ntawv ua piv txwv ua cov ntaub ntawv Lo Lus - tsuas yog scrolling los ntawm cov haujlwm tshiab kawg hauv Windows qhov xwm txheej cav. Tab sis qhov no yog mob taub hau loj heev. Luckily, Microsoft tsim Sysmon, uas ua rau kev soj ntsuam kev tawm tsam yooj yim dua.
Koj puas xav nkag siab cov tswv yim yooj yim tom qab kev hem thawj tshwm sim hauv Sysmon cav? Download tau peb phau ntawv qhia thiab koj paub tias cov neeg sab hauv tuaj yeem saib xyuas lwm tus neeg ua haujlwm li cas. Qhov teeb meem tseem ceeb ntawm kev ua haujlwm nrog Windows qhov xwm txheej yog qhov tsis muaj ntaub ntawv hais txog niam txiv cov txheej txheem, piv txwv li. Nws yog tsis yooj yim sua kom to taub lub hierarchy ntawm cov txheej txheem los ntawm nws. Sysmon log nkag, ntawm qhov tod tes, muaj cov txheej txheem niam txiv ID, nws lub npe, thiab kab hais kom ua. Ua tsaug, Microsoft.
Hauv thawj ntu ntawm peb cov koob, peb yuav saib seb koj tuaj yeem ua li cas nrog cov ntaub ntawv yooj yim los ntawm Sysmon. Hauv Ntu XNUMX, peb yuav ua kom zoo dua ntawm cov ntaub ntawv niam txiv cov txheej txheem los tsim cov qauv kev ua raws li kev ua raws li kev ua hem thawj. Hauv qhov thib peb, peb yuav saib ib qho yooj yim algorithm uas luam theej duab hem thawj los tshawb nrhiav qhov txawv txav los ntawm kev txheeb xyuas "qhov hnyav" ntawm daim duab. Thiab thaum kawg, koj yuav tau txais txiaj ntsig nrog qhov zoo nkauj (thiab nkag siab) txoj kev hem thawj qhov kev hem thawj.
Part 1: Taw qhia rau Sysmon Log Analysis
Dab tsi tuaj yeem pab koj nkag siab qhov nyuaj ntawm cov txheej xwm cav? Thaum kawg - SIEM. Nws normalizes cov xwm txheej thiab simplifies lawv cov kev txheeb xyuas tom ntej. Tab sis peb tsis tas yuav mus deb, tsawg kawg tsis yog thawj zaug. Thaum pib, kom nkag siab txog cov ntsiab lus ntawm SIEM, nws yuav txaus los sim qhov zoo tshaj plaws dawb Sysmon utility. Thiab nws kuj ceeb tias yooj yim ua hauj lwm nrog. Cia nws mus, Microsoft!
Sysmon muaj cov yam ntxwv dab tsi?
Hauv luv luv - cov ntaub ntawv tseem ceeb thiab nyeem tau txog cov txheej txheem (saib cov duab hauv qab). Koj yuav pom ib pawg ntawm cov ntsiab lus tseem ceeb uas tsis nyob hauv Windows Event Log, tab sis qhov tseem ceeb tshaj plaws yog cov hauv qab no:
- Tus txheej txheem ID (hauv kaum, tsis yog hex!)
- Parent process ID
- Txheej txheem hais kom ua kab
- Cov kab hais kom ua ntawm cov txheej txheem niam txiv
- Cov ntaub ntawv duab hash
- Cov ntaub ntawv duab npe
Sysmon tau nruab ob qho tib si ua tus tsav tsheb thiab ua ib qho kev pabcuam - cov ntsiab lus ntxiv Nws qhov txiaj ntsig tseem ceeb yog muaj peev xwm txheeb xyuas cov cav los ntawm ob peb qhov chaw, correlation ntawm cov ntaub ntawv thiab tso zis ntawm cov txiaj ntsig tshwm sim rau ib qho xwm txheej log folder nyob rau hauv txoj kev Microsoft -> Windows -> Sysmon -> Kev Ua Haujlwm. Hauv kuv tus kheej cov plaub hau kev tshawb nrhiav rau hauv Windows cav, kuv pom kuv tus kheej tas li yuav tsum tau hloov ntawm, hais tias, PowerShell logs folder thiab Security folder, flicking los ntawm cov kev tshwm sim cav nyob rau hauv ib tug siab tawv sim ua cas correlates qhov tseem ceeb ntawm ob. . Qhov no tsis yog ib txoj haujlwm yooj yim, thiab raws li kuv tau pom tom qab ntawd, nws yog qhov zoo dua los khaws cov tshuaj aspirin tam sim ntawd.
Sysmon siv lub quantum leap rau pem hauv ntej los ntawm kev muab cov ntaub ntawv tseem ceeb (lossis raws li cov neeg muag khoom nyiam hais, ua tau) cov ntaub ntawv los pab kom nkag siab txog cov txheej txheem hauv qab. Piv txwv li, kuv pib qhov kev sib tham zais cia , simulating lub zog ntawm tus ntse sab hauv hauv lub network. Nov yog qhov koj yuav pom hauv Windows qhov xwm txheej log:
Lub Windows log qhia qee cov ntaub ntawv hais txog cov txheej txheem, tab sis nws yog siv me ntsis. Ntxiv cov txheej txheem IDs hauv hexadecimal ???
Rau ib tus kws tshaj lij IT nrog kev nkag siab txog cov hauv paus ntawm kev nyiag nkas, cov kab hais kom ua yuav tsum xav tsis thoob. Siv cmd.exe ces khiav lwm cov lus txib thiab redirect cov zis rau ib cov ntaub ntawv nrog ib tug coj txawv txawv lub npe yog kom meej meej zoo li cov kev ua ntawm kev soj ntsuam thiab tswj software. : Nyob rau hauv txoj kev no, pseudo-plhaub yog tsim siv WMI cov kev pabcuam.
Tam sim no cia peb saib ntawm Sysmon nkag sib npaug, ceeb toom ntau npaum li cas cov ntaub ntawv ntxiv nws muab rau peb:
Sysmon nta hauv ib lub screenshot: cov ncauj lus kom ntxaws txog cov txheej txheem hauv daim ntawv nyeem tau
Koj tsis tsuas yog pom cov kab hais kom ua, tab sis kuj tseem muaj npe cov ntaub ntawv, txoj hauv kev mus rau daim ntawv thov kev ua tiav, Windows paub dab tsi txog nws ("Windows Command Processor"), tus cim niam txiv txheej txheem, kab hais kom ua niam txiv, uas tau pib lub plhaub cmd, nrog rau lub npe tiag tiag ntawm cov txheej txheem niam txiv. Txhua yam hauv ib qhov chaw, thaum kawg!
Los ntawm Sysmon cav peb tuaj yeem txiav txim siab tias muaj qhov ua tau zoo ntawm cov kab lus tsis txaus ntseeg no uas peb pom hauv cov ntawv "raws" tsis yog qhov tshwm sim ntawm cov neeg ua haujlwm ib txwm ua haujlwm. Qhov tsis sib xws, nws tau tsim los ntawm C2-zoo li txheej txheem - wmiexec, raws li kuv tau hais ua ntej - thiab tau ncaj qha los ntawm WMI cov txheej txheem kev pabcuam (WmiPrvSe). Tam sim no peb muaj qhov taw qhia tias tus neeg tawm tsam tej thaj chaw deb lossis cov neeg sab hauv tab tom sim cov koom haum koom nrog.
Taw qhia Get-Sysmonlogs
Tau kawg nws zoo heev thaum Sysmon tso cov cav rau hauv ib qho chaw. Tab sis tej zaum nws yuav zoo dua yog tias peb tuaj yeem nkag mus rau ib tus neeg cov ntawv teev lus programmatically - piv txwv li, los ntawm PowerShell cov lus txib. Hauv qhov no, koj tuaj yeem sau ib tsab ntawv PowerShell me me uas yuav ua rau kev tshawb nrhiav kev hem thawj!
Kuv tsis yog thawj tus uas muaj lub tswv yim zoo li no. Thiab nws yog qhov zoo uas hauv qee lub rooj sib tham thiab GitHub Nws twb tau piav qhia yuav ua li cas siv PowerShell los txheeb xyuas Sysmon cav. Hauv kuv qhov xwm txheej, kuv xav zam kom tsis txhob sau cov kab sib cais ntawm cov ntawv sau rau txhua qhov Sysmon. Yog li kuv siv tus txiv neej tub nkeeg txoj cai thiab kuv xav tias kuv tuaj nrog ib yam dab tsi nthuav vim li ntawd.
Thawj qhov tseem ceeb yog lub peev xwm ntawm pab pawg nyeem Sysmon cav, lim cov xwm txheej tsim nyog thiab tso tawm qhov tshwm sim rau PS hloov pauv, zoo li ntawm no:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Yog tias koj xav sim cov lus txib koj tus kheej, los ntawm kev nthuav tawm cov ntsiab lus hauv thawj lub ntsiab lus ntawm $events array, $events[0].Message, cov zis tawm tuaj yeem yog cov kab ntawv sib txuas nrog cov qauv yooj yim heev: lub npe ntawm tus Sysmon teb, ib txoj hnyuv, thiab ces tus nqi nws tus kheej.
Hooray! Outputting Sysmon nkag rau hauv JSON-npaj hom
Koj puas xav ib yam li kuv? Nrog kev siv zog me ntsis, koj tuaj yeem hloov cov zis rau hauv JSON formatted hlua thiab tom qab ntawd thauj nws ncaj qha rau hauv PS khoom siv cov lus txib muaj zog .
Kuv mam li qhia tus lej PowerShell rau kev hloov dua siab tshiab - nws yooj yim heev - hauv ntu tom ntej. Txog tam sim no, cia saib dab tsi kuv cov lus txib tshiab hu ua get-sysmonlogs, uas kuv tau teeb tsa ua PS module, tuaj yeem ua tau.
Hloov chaw dhia dej tob rau hauv Sysmon cav tsom xam los ntawm qhov kev tshwm sim tsis yooj yim log interface, peb tuaj yeem siv zog tshawb nrhiav cov haujlwm ntxiv ncaj qha los ntawm PowerShell kev sib kho, nrog rau siv PS hais kom ua. (alias β β?β) kom luv cov ntsiab lus tshawb fawb:
Cov npe ntawm cmd shells launched ntawm WMI. Kev Ntsuam Xyuas Kev Nyuaj Siab ntawm Pheej Yig Nrog Peb Pab Pawg Tau Txais-Sysmonlogs
Zoo kawg! Kuv tsim ib lub cuab yeej los soj ntsuam lub Sysmon cav zoo li nws yog ib lub database. Hauv peb tsab xov xwm txog Nws tau raug sau tseg tias qhov kev ua haujlwm no yuav ua los ntawm cov khoom siv txias tau piav qhia hauv nws, txawm hais tias tseem raug cai los ntawm qhov tseeb SQL-zoo li interface. Yog, EQL elegant, tab sis peb yuav kov nws nyob rau hauv peb feem.
Sysmon thiab graph tsom xam
Cia peb rov qab los xav txog qhov peb nyuam qhuav tsim. Qhov tseem ceeb, tam sim no peb muaj Windows qhov xwm txheej database nkag tau los ntawm PowerShell. Raws li kuv tau sau ua ntej, muaj kev sib txuas lossis kev sib raug zoo ntawm cov ntaub ntawv - dhau ntawm ParentProcessId - yog li kev ua tiav qib siab ntawm cov txheej txheem tuaj yeem tau txais.
Yog tias koj tau nyeem series koj paub tias hackers nyiam tsim ntau theem kev tawm tsam, nyob rau hauv uas txhua tus txheej txheem plays nws tus kheej lub luag hauj lwm me me thiab npaj lub springboard rau cov kauj ruam tom ntej. Nws yog qhov nyuaj heev los ntes cov khoom no tsuas yog los ntawm "raws" cav.
Tab sis nrog kuv Get-Sysmonlogs cov lus txib thiab cov qauv ntaub ntawv ntxiv peb yuav saib tom qab hauv cov ntawv nyeem (daim duab, tau kawg), peb muaj txoj hauv kev los txheeb xyuas cov kev hem thawj - uas tsuas yog yuav tsum tau ua qhov kev tshawb nrhiav vertex.
Raws li ib txwm muaj nrog peb cov haujlwm DYI blog, qhov ntau koj ua haujlwm ntawm kev txheeb xyuas cov ntsiab lus ntawm kev hem thawj ntawm me me, qhov ntau koj yuav paub tias qhov kev hem thawj nyuaj npaum li cas nyob rau theem kev lag luam. Thiab qhov kev paub no yog heev qhov tseem ceeb.
Peb yuav ntsib thawj qhov teeb meem nthuav dav hauv ntu thib ob ntawm tsab xov xwm, qhov twg peb yuav pib txuas Sysmon cov xwm txheej nrog ib leeg rau hauv ntau ntau cov qauv.
Tau qhov twg los: www.hab.com