מדריך לניתוח איומים של Sysmon, חלק 1

מאמר זה הוא החלק הראשון של סדרה על ניתוח איומי Sysmon. כל שאר חלקי הסדרה:

חלק 1: מבוא לניתוח יומן Sysmon (אנחנו כאן)
חלק 2: שימוש בנתוני אירועי Sysmon לזיהוי איומים
חלק 3. ניתוח מעמיק של איומי Sysmon באמצעות גרפים

אם אתה עובד באבטחת מידע, כנראה שלעתים קרובות אתה צריך להבין התקפות מתמשכות. אם כבר יש לך עין מאומנת, אתה יכול לחפש פעילות לא סטנדרטית ביומנים ה"גולמיים" הלא מעובדים - למשל, סקריפט PowerShell פועל עם הפקודה DownloadString או סקריפט VBS המתחזה לקובץ Word - פשוט גלילה בין הפעילות האחרונה ביומן האירועים של Windows. אבל זה כאב ראש ממש גדול. למרבה המזל, מיקרוסופט יצרה את Sysmon, מה שמקל בהרבה על ניתוח התקפות.

רוצה להבין את הרעיונות הבסיסיים מאחורי האיומים המוצגים ביומן Sysmon? הורד את המדריך שלנו אירועי WMI כאמצעי ריגול ואתה מבין איך מקורבים יכולים לצפות בחשאי על עובדים אחרים. הבעיה העיקרית בעבודה עם יומן האירועים של Windows היא היעדר מידע על תהליכי אב, כלומר. אי אפשר להבין ממנו את היררכיית התהליכים. ערכי יומן Sysmon, לעומת זאת, מכילים את מזהה תהליך האב, שמו ושורת הפקודה שיש להפעיל. תודה לך, מיקרוסופט.

בחלק הראשון של הסדרה שלנו, נראה מה אתה יכול לעשות עם מידע בסיסי מ-Sysmon. בחלק XNUMX, ננצל את מלוא המידע על תהליך האב כדי ליצור מבני ציות מורכבים יותר הידועים כגרפי איומים. בחלק השלישי, נסתכל על אלגוריתם פשוט שסורק גרף איומים כדי לחפש פעילות חריגה על ידי ניתוח ה"משקל" של הגרף. ובסופו של דבר, תתוגמל בשיטת זיהוי איומים הסתברותית מסודרת (ומובנת).

חלק 1: מבוא לניתוח יומן Sysmon

מה יכול לעזור לך להבין את המורכבות של יומן האירועים? בסופו של דבר - SIEM. זה מנרמל אירועים ומפשט את הניתוח שלאחר מכן. אבל אנחנו לא צריכים ללכת כל כך רחוק, לפחות לא בהתחלה. בהתחלה, כדי להבין את העקרונות של SIEM, זה יספיק לנסות את כלי השירות החינמי הנפלא Sysmon. וקל להפתיע לעבוד איתה. תמשיך כך, מיקרוסופט!

אילו תכונות יש ל-Sysmon?

בקיצור - מידע שימושי וקריא על התהליכים (ראו תמונות למטה). תמצא חבורה של פרטים שימושיים שאינם נמצאים ביומן האירועים של Windows, אך החשובים ביותר הם השדות הבאים:

• מזהה תהליך (בעשרוני, לא בהקסיד!)
• מזהה תהליך הורה
• עיבוד שורת הפקודה
• שורת הפקודה של תהליך האב
• Hash של תמונת קובץ
• שמות של תמונות קבצים

Sysmon מותקן הן כמנהל התקן והן כשירות - פרטים נוספים כאן. היתרון העיקרי שלו הוא היכולת לנתח יומנים מספר מקורות, קורלציה של מידע ופלט של ערכים המתקבלים לתיקיית יומן אירועים אחת הממוקמת לאורך הנתיב Microsoft -> Windows -> Sysmon -> תפעולי. בחקירות מסמרות שיער שלי על יומני Windows, מצאתי את עצמי כל הזמן צריך לעבור בין, נניח, תיקיית יומני PowerShell לבין תיקיית האבטחה, לדפדף ביומני האירועים בניסיון אמיץ לקשר איכשהו את הערכים בין השניים . זו אף פעם לא משימה קלה, וכפי שהבנתי מאוחר יותר, עדיף להצטייד מיד באספירין.

Sysmon לוקחת קפיצת מדרגה קדימה על ידי מתן מידע שימושי (או כפי שהספקים אוהבים לומר, שימושי) כדי לסייע בהבנת התהליכים הבסיסיים. למשל, התחלתי מפגש סודי wmiexec, המדמה תנועה של איש פנים חכם בתוך הרשת. זה מה שתראה ביומן האירועים של Windows:

יומן Windows מציג קצת מידע על התהליך, אך הוא מועיל מעט. בנוסף מזהי תהליך בהקסדצימלי???

עבור מקצוען IT מקצועי עם הבנה ביסודות הפריצה, שורת הפקודה צריכה להיות חשודה. השימוש ב-cmd.exe כדי להפעיל פקודה נוספת ולהפנות את הפלט לקובץ עם שם מוזר דומה בבירור לפעולות של תוכנת ניטור ובקרה פיקוד ושליטה (C2): בדרך זו נוצרת פסאודו-קליפה באמצעות שירותי WMI.
עכשיו בואו נסתכל על המקבילה לערך Sysmon, ונשים לב כמה מידע נוסף הוא נותן לנו:

Sysmon תכונות בצילום מסך אחד: מידע מפורט על התהליך בצורה קריא

אתה לא רק רואה את שורת הפקודה, אלא גם את שם הקובץ, הנתיב ליישום ההפעלה, מה ש-Windows יודע עליו ("מעבד הפקודה של Windows"), המזהה שֶׁל הַהוֹרִים תהליך, שורת פקודה הורה, שהשיקה את מעטפת cmd, כמו גם את שם הקובץ האמיתי של תהליך האב. הכל במקום אחד, סוף סוף!
מיומן Sysmon ניתן להסיק שעם סבירות גבוהה שורת פקודה חשודה זו שראינו ביומנים ה"גולמיים" אינה תוצאה של עבודה רגילה של העובד. להיפך, הוא נוצר על ידי תהליך דמוי C2 - wmiexec, כפי שציינתי קודם - והוא נוצר ישירות על ידי תהליך השירות של WMI (WmiPrvSe). כעת יש לנו אינדיקציה לכך שתוקף מרוחק או פנימי בודק את התשתית הארגונית.

הכירו את Get-Sysmonlogs

כמובן שזה נהדר כאשר Sysmon שם את היומנים במקום אחד. אבל זה כנראה יהיה אפילו טוב יותר אם נוכל לגשת לשדות יומן בודדים באופן תוכנתי - למשל, באמצעות פקודות PowerShell. במקרה זה, תוכל לכתוב סקריפט PowerShell קטן שיהפוך את החיפוש אחר איומים פוטנציאליים לאוטומטיים!
לא הייתי הראשון שחשב על רעיון כזה. וטוב שבחלק מהפוסטים בפורום וב-GitHub פרויקטים כבר הוסבר כיצד להשתמש ב-PowerShell כדי לנתח את יומן Sysmon. במקרה שלי, רציתי להימנע מהצורך לכתוב שורות נפרדות של סקריפט ניתוח עבור כל שדה של Sysmon. אז השתמשתי בעקרון האיש העצלן ואני חושב שהגעתי למשהו מעניין כתוצאה מכך.
הנקודה החשובה הראשונה היא היכולת של הקבוצה Get-WinEvent קרא את יומני Sysmon, סנן את האירועים הדרושים ופלט את התוצאה למשתנה PS, כמו כאן:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

אם אתה רוצה לבדוק את הפקודה בעצמך, על ידי הצגת התוכן ברכיב הראשון של מערך $events, $events[0]. הודעה, הפלט יכול להיות סדרה של מחרוזות טקסט בפורמט פשוט מאוד: שם ה- שדה Sysmon, נקודתיים ואז הערך עצמו.

הידד! פלט יומן Sysmon לפורמט מוכן ל-JSON

אתה חושב כמוני? עם קצת יותר מאמץ, אתה יכול להמיר את הפלט למחרוזת בפורמט JSON ולאחר מכן לטעון אותו ישירות לאובייקט PS באמצעות פקודה חזקה ConvertFrom-Json .
אני אראה את קוד PowerShell להמרה - זה מאוד פשוט - בחלק הבא. לעת עתה, בוא נראה מה הפקודה החדשה שלי שנקראת get-sysmonlogs, שהתקנתי כמודול PS, יכולה לעשות.
במקום לצלול עמוק לתוך ניתוח יומן Sysmon באמצעות ממשק יומן אירועים לא נוח, אנו יכולים לחפש ללא מאמץ פעילות מצטברת ישירות מפגישת PowerShell, כמו גם להשתמש בפקודה PS איפה (כינוי - "?") כדי לקצר את תוצאות החיפוש:

רשימה של קונכיות cmd שהושקו באמצעות WMI. ניתוח איומים בזול עם צוות Get-Sysmonlogs משלנו

נִפלָא! יצרתי כלי לסקר את יומן Sysmon כאילו הוא מסד נתונים. במאמר שלנו על מְנַת הַמִשׂכָּל צוין כי פונקציה זו תתבצע על ידי כלי השירות המגניב המתואר בה, אם כי רשמית עדיין באמצעות ממשק דמוי SQL אמיתי. כן, EQL אֵלֶגַנטִי, אבל ניגע בו בחלק השלישי.

Sysmon וניתוח גרפים

בואו נזוז אחורה ונחשוב על מה שיצרנו זה עתה. בעיקרו של דבר, יש לנו כעת מסד נתונים של אירועי Windows הנגיש באמצעות PowerShell. כפי שציינתי קודם, ישנם קשרים או קשרים בין רשומות - דרך ParentProcessId - כך שניתן לקבל היררכיה מלאה של תהליכים.

אם קראת את הסדרה "הרפתקאות התוכנה הזדונית החמקמקה" אתה יודע שהאקרים אוהבים ליצור התקפות מורכבות רב-שלביות, שבהן כל תהליך משחק את התפקיד הקטן שלו ומכין קרש קפיצה לשלב הבא. קשה מאוד לתפוס דברים כאלה פשוט מהיומן ה"גולמי".
אבל עם פקודת Get-Sysmonlogs שלי ומבנה נתונים נוסף שנסתכל עליו בהמשך הטקסט (גרף, כמובן), יש לנו דרך מעשית לזהות איומים - מה שפשוט דורש חיפוש קודקוד נכון.
כמו תמיד בפרויקטים שלנו בבלוג DYI, ככל שתעבדו יותר על ניתוח הפרטים של איומים בקנה מידה קטן, כך תבינו עד כמה מורכב זיהוי האיומים ברמת הארגון. והמודעות הזו היא מאוד נקודה חשובה.

את הסיבוכים המעניינים הראשונים נפגוש בחלק השני של המאמר, בו נתחיל לחבר בין אירועי Sysmon זה לזה למבנים מורכבים הרבה יותר.

מקור: www.habr.com