Edemede a bụ akụkụ mbụ nke usoro na nyocha iyi egwu Sysmon. Akụkụ ndị ọzọ niile nke usoro a:
Nkebi 1: Okwu Mmalite nke Nnyocha Ndekọ Sysmon (anyị nọ ebe a)
Nkebi nke 2: Iji Sysmon Event Data iji mata ihe egwu
Nkebi 3. Nyocha omimi nke egwu Sysmon na-eji eserese
Ọ bụrụ na ị na-arụ ọrụ na nchekwa ozi, ọ ga-abụrịrị na ị ga-aghọtarịrị ọgụ na-aga n'ihu. Ọ bụrụ na ị nwere anya a zụrụ azụ, ị nwere ike ịchọ ọrụ na-abụghị ọkọlọtọ na ndekọ "raw" anaghị arụ ọrụ - kwuo, edemede PowerShell na-agba ọsọ. ma ọ bụ script VBS na-eme ka ọ bụ faịlụ Okwu - naanị ịpịgharịa site na mmemme kachasị ọhụrụ na ndekọ mmemme Windows. Mana nke a bụ nnukwu isi ọwụwa. Luckily, Microsoft kere Sysmon, nke na-eme ka nyocha ọgụ dị mfe karị.
Ịchọrọ ịghọta echiche ndị bụ isi dị n'azụ egwu ndị a gosipụtara na log Sysmon? Download ntuziaka anyị na ị na-aghọta otú insiders nwere ike surreptitiously na-ekiri ndị ọzọ ọrụ. Isi nsogbu na ịrụ ọrụ na ndekọ ihe omume Windows bụ enweghị ozi gbasara usoro nne na nna, ya bụ. ọ gaghị ekwe omume ịghọta usoro nhazi nke usoro site na ya. Ndenye log log, n'aka nke ọzọ, nwere NJ usoro nne na nna, aha ya, na ahịrị iwu nke a ga-ewepụta. Daalụ Microsoft.
N'akụkụ mbụ nke usoro anyị, anyị ga-eleba anya n'ihe ị nwere ike iji ozi bụ isi sitere na Sysmon mee. N'ime akụkụ XNUMX, anyị ga-eji ohere nke ozi usoro nne na nna mepụta usoro nrube isi dị mgbagwoju anya nke a maara dị ka eserese iyi egwu. N'akụkụ nke atọ, anyị ga-eleba anya na algọridim dị mfe nke na-enyocha eserese egwu iji chọọ ọrụ pụrụ iche site na nyochaa "ịdị arọ" nke eserese ahụ. Na njedebe, a ga-akwụ gị ụgwọ site na usoro nchọpụta ihe egwu dị mma (ma nwee nghọta).
Nkebi 1: Okwu Mmalite nke Nnyocha Ndekọ Sysmon
Kedu ihe nwere ike inyere gị aka ịghọta mgbagwoju anya nke ndekọ ihe omume? N'ikpeazụ - SIEM. Ọ na-edozi ihe omume ma mee ka nyocha ha dị mfe. Mana anyị agaghị aga ebe ahụ, ọbụlagodi na mbụ. Na mbido, ịghọta ụkpụrụ nke SIEM, ọ ga-ezuru ịnwale ọmarịcha Sysmon uru. Ma ọ dị nnọọ mfe ịrụ ọrụ na ya. Jisie ya ike, Microsoft!
Kedu atụmatụ Symmon nwere?
Na nkenke - ozi bara uru na nke enwere ike ịgụ banyere usoro (lee foto n'okpuru). Ị ga-ahụ ụyọkọ nkọwa bara uru na-adịghị na Windows Event Log, mana nke kachasị mkpa bụ mpaghara ndị a:
- NJ usoro (na nkeji iri, ọ bụghị hex!)
- NJ usoro nne na nna
- Hazie ahịrị iwu
- Usoro iwu nke usoro nne na nna
- Hash oyiyi faịlụ
- Aha onyonyo faịlụ
Awụnyere Sysmon ma dị ka onye ọkwọ ụgbọ ala yana dịka ọrụ - nkọwa ndị ọzọ Isi uru ya bụ ikike inyocha ndekọ site na ọtụtụ isi mmalite, njikọ nke ozi na mmepụta nke ụkpụrụ na-arụpụta na otu nchekwa ndekọ ihe omume dị n'akụkụ ụzọ ahụ Microsoft -> Windows -> Sysmon -> arụ ọrụ. N'ime nyocha nke iwelite ntutu m na ndekọ Windows, achọpụtara m na m na-agbanwegharị n'etiti, sịnụ, nchekwa nchekwa PowerShell na nchekwa nchekwa, na-atụgharị na ndekọ ihe omume ahụ na mbọ siri ike iji mekọrịta ụkpụrụ dị n'etiti abụọ ahụ. . Nke a abụghị ọrụ dị mfe, ma dịka m mechara chọpụta, ọ ka mma ịkwado ọgwụ aspirin ozugbo.
Sysmon na-aga n'ihu na-aga n'ihu site n'inye ozi bara uru (ma ọ bụ dị ka ndị na-ere ahịa na-achọ ikwu, nke nwere ike ime) iji nyere aka ịghọta usoro dị n'okpuru. Dị ka ihe atụ, amalitere m nnọkọ nzuzo , na-eme ka mmegharị nke smart insider n'ime netwọkụ ahụ. Nke a bụ ihe ị ga-ahụ na ndekọ mmemme Windows:
Ndekọ Windows na-egosi ụfọdụ ozi gbasara usoro a, mana ọ baghị uru. gbakwunyere nhazi ID na hexadecimal???
Maka ọkachamara IT ọkachamara nwere nghọta nke isi nke hacking, akara iwu kwesịrị enyo. Iji cmd.exe wee mee iwu ọzọ wee redirect nsonaazụ ya na faịlụ nwere aha pụrụ iche yiri omume nke nlekota na njikwa ngwanrọ. : N'ụzọ dị otú a, a na-emepụta pseudo-shell site na iji ọrụ WMI.
Ugbu a, ka anyị leba anya na ntinye akwụkwọ Sysmon, na-achọpụta ozi ndị ọzọ ọ na-enye anyị:
Njirimara Sysmon n'otu nseta ihuenyo: ozi zuru ezu gbasara usoro a n'ụdị enwere ike ịgụ
Ọ bụghị naanị na ị na-ahụ ahịrị iwu, kamakwa aha faịlụ, ụzọ nke ngwa ngwa, ihe Windows maara banyere ya ("Windows Command Processor"), onye nchọpụta. nne na nna usoro, iwu ahịrị nne na nna, nke malitere cmd shell, yana ezigbo aha faịlụ nke usoro nne na nna. Ihe niile n'otu ebe, n'ikpeazụ!
Site na ndekọ Sysmon anyị nwere ike ikwubi na n'ogo dị elu nke ihe gbasara nke puru omume, ahịrị iwu a na-enyo enyo nke anyị hụrụ na ndekọ "raw" abụghị ihe sitere na ọrụ nkịtị nke onye ọrụ. N'ụzọ megidere nke ahụ, ọ bụ usoro C2 - wmiexec, dịka m kwuru na mbụ - ma usoro ọrụ WMI (WmiPrvSe) kpalitere ya ozugbo. Ugbu a, anyị nwere ihe na-egosi na onye na-awakpo ma ọ bụ onye na-enyocha ihe na-anwale akụrụngwa ụlọ ọrụ.
Na-ewebata Get-Sysmonlogs
N'ezie ọ dị mma mgbe Sysmon na-etinye ndekọ n'otu ebe. Mana ọ ga-aka mma ma ọ bụrụ na anyị nwere ike ịnweta mpaghara ndekọ ndekọ aha na mmemme - dịka ọmụmaatụ, site na iwu PowerShell. N'okwu a, ị nwere ike ide obere edemede PowerShell nke ga-emezigharị ọchụchọ maka ihe iyi egwu!
Abụghị m onye mbụ nwere echiche dị otú ahụ. Ọ dịkwa mma na ụfọdụ posts forum na GitHub A kọwalarị ya otu esi eji PowerShell tugharia ndekọ Sysmon. N'ọnọdụ nke m, achọrọ m ịzenarị ide ahịrị dị iche iche nke edemede ntụgharị maka mpaghara Sysmon ọ bụla. N'ihi ya, m na-eji ụkpụrụ nwoke umengwụ na echere m na m nwetara ihe na-adọrọ mmasị n'ihi ya.
Isi ihe mbụ dị mkpa bụ ikike nke otu gụọ Sysmon logs, nyochaa ihe omume ndị dị mkpa wee wepụta nsonaazụ ya na mgbanwe PS, dị ka ebe a:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Ọ bụrụ na ịchọrọ ịnwale iwu ahụ n'onwe gị, site n'igosipụta ọdịnaya na ihe mbụ nke $ Events array, $ Events[0] Ozi, mmepụta nwere ike ịbụ usoro nke eriri ederede na usoro dị mfe: aha nke Field Symmon, a colon, na mgbe ahụ uru n'onwe ya.
Hooray! Mwepụta Sysmon banye n'ụdị njikere JSON
Ị na-eche otu ihe ahụ dị ka m? Na obere mgbalị, ị nwere ike ịtụgharị mmepụta ka ọ bụrụ eriri nke JSON ma tinye ya ozugbo n'ime ihe PS site na iji iwu dị ike. .
Aga m egosi koodu PowerShell maka ntụgharị - ọ dị nnọọ mfe - na akụkụ na-esote. Maka ugbu a, ka anyị hụ ihe iwu ọhụrụ m a na-akpọ get-sysmonlogs, nke m wụnyere dị ka modul PS, nwere ike ime.
Kama ịbanye n'ime nyocha Sysmon log site na interface log ihe omume na-adịghị mma, anyị nwere ike ịchọ ọrụ agbakwunyere ozugbo site na nnọkọ PowerShell, yana iji iwu PS. (alias – “?”) iji belata nsonaazụ ọchụchọ:
Ndepụta nke shei cmd ewepụtara site na WMI. Nyochaa egwu na ọnụ ala ya na ndị otu Get-Sysmonlogs nke anyị
Ijuanya! M mepụtara ngwá ọrụ iji nyochaa ndekọ Sysmon dị ka a ga-asị na ọ bụ nchekwa data. N'isiokwu anyị banyere ekwuru na a ga-arụ ọrụ a site na ngwa dị mma akọwara n'ime ya, ọ bụ ezie na ọ ka na-esite na ezigbo interface SQL. Ee, EQL mara mma, ma anyị ga-emetụ ya aka na akụkụ nke atọ.
Nnyocha ọmụmụ na eserese
Ka anyị laghachi azụ chee echiche banyere ihe anyị ka kere. N'ezie, anyị nwere nchekwa data mmemme Windows nke enwetara site na PowerShell. Dịka m kwuru na mbụ, enwere njikọ ma ọ bụ mmekọrịta dị n'etiti ndekọ - site na ParentProcessId - yabụ enwere ike nweta usoro nhazi zuru oke.
Ọ bụrụ na ị na-agụ usoro ị maara na ndị na-agba ọsọ na-ahụ n'anya ịmepụta ọgụ dị mgbagwoju anya multi-stage, nke usoro ọ bụla na-arụ obere ọrụ nke ya ma na-akwadebe mmiri maka nzọụkwụ ọzọ. O siri ezigbo ike ijide ihe ndị dị otú ahụ naanị site na ndekọ " raw".
Mana site na iwu Get-Sysmonlogs m yana usoro data agbakwunyere anyị ga-eleba anya ma emechaa na ederede (eserese, n'ezie), anyị nwere ụzọ bara uru isi chọpụta ihe iyi egwu - nke chọrọ naanị ịme nyocha vertex ziri ezi.
Dị ka mgbe niile na ọrụ blọọgụ DYI anyị, ka ị na-arụ ọrụ na nyocha nkọwa nke egwu na obere ọnụ ọgụgụ, ka ị ga-aghọtakwu etu nchọpụta ihe iyi egwu siri dị na ọkwa ụlọ ọrụ. Na nke a mmata bụ nke ukwuu isi ihe dị mkpa.
Anyị ga-ezute nsogbu ndị mbụ na-adọrọ mmasị na akụkụ nke abụọ nke akụkọ ahụ, ebe anyị ga-amalite ijikọ ihe omume Sysmon n'ime ihe dị mgbagwoju anya.
isi: www.habr.com