Sysmon 脅威分析ガイド、パート 1

この記事は、Sysmon の脅威分析に関するシリーズの最初の部分です。 シリーズの他のすべての部分:

パート 1: Sysmon ログ分析の概要 （私たちはここにいる）
パート 2: Sysmon イベント データを使用して脅威を特定する
パート 3. グラフを使用した Sysmon の脅威の詳細な分析

情報セキュリティの分野で働いている場合は、進行中の攻撃を理解する必要があることが多いでしょう。 すでに訓練された目を持っている場合は、「生の」未処理のログで非標準のアクティビティ (たとえば、実行されている PowerShell スクリプトなど) を探すことができます。 DownloadString コマンドを使用する または、Word ファイルを装った VBS スクリプト - Windows イベント ログ内の最新のアクティビティをスクロールするだけです。 しかし、これは本当に大きな頭の痛い問題です。 幸いなことに、Microsoft は攻撃分析をはるかに容易にする Sysmon を作成しました。

Sysmon ログに表示される脅威の背後にある基本的な考え方を理解したいですか? ガイドをダウンロード スパイ手段としての WMI イベント そして、内部関係者がどのようにして他の従業員を密かに観察できるかがわかります。 Windows イベント ログを操作する場合の主な問題は、親プロセスに関する情報が欠如していることです。 そこからプロセスの階層を理解することは不可能です。 一方、Sysmon ログ エントリには、親プロセス ID、その名前、および起動されるコマンド ラインが含まれています。 ありがとう、マイクロソフト。

シリーズの最初の部分では、Sysmon からの基本情報を使用して何ができるかを見ていきます。 パート XNUMX では、親プロセス情報を最大限に活用して、脅威グラフと呼ばれるより複雑なコンプライアンス構造を作成します。 XNUMX 番目のパートでは、脅威グラフをスキャンし、グラフの「重み」を分析することで異常なアクティビティを検索する単純なアルゴリズムを見ていきます。 そして最終的には、きちんとした (そしてわかりやすい) 確率論的な脅威検出方法が得られます。

パート 1: Sysmon ログ分析の概要

イベント ログの複雑さを理解するのに何が役立ちますか? 最終的には SIEM です。 イベントを正規化し、その後の分析を簡素化します。 しかし、少なくとも最初はそこまでする必要はありません。 最初は、SIEM の原理を理解するには、素晴らしい無料の Sysmon ユーティリティを試すだけで十分です。 そして、彼女は驚くほど仕事がしやすいのです。 頑張れマイクロソフト！

Sysmonにはどのような機能がありますか?

つまり、プロセスに関する有用で読みやすい情報です (下の図を参照)。 Windows イベント ログには含まれていない有用な詳細が多数見つかりますが、最も重要なのは次のフィールドです。

• プロセス ID (XNUMX 進数ではなく XNUMX 進数!)
• 親プロセスID
• プロセスのコマンドライン
• 親プロセスのコマンドライン
• ファイルイメージのハッシュ
• ファイルイメージ名

Sysmon はデバイス ドライバーとサービスの両方としてインストールされます - 詳細 ここに。 その主な利点は、次のログを分析できることです。 いくつかの ソース、情報の関連付け、およびパスに沿って配置された XNUMX つのイベント ログ フォルダーへの結果の値の出力 Microsoft -> Windows -> Sysmon -> 運用可能。 私自身、身の毛がよだつような Windows ログの調査を行ったところ、PowerShell ログ フォルダーとセキュリティ フォルダーの間で常に切り替えなければならず、イベント ログをめくって、この XNUMX つの間の値を何らかの方法で関連付けようと勇敢に試みていることがわかりました。 。 これは決して簡単な作業ではありません。後で気づいたのですが、アスピリンをすぐに買いだめしておいたほうが良いのです。

Sysmon は、基礎となるプロセスを理解するのに役立つ有用な (ベンダーが言うように、実用的な) 情報を提供することで、飛躍的な進歩を遂げています。 たとえば、秘密のセッションを開始しました wmiexec、ネットワーク内の賢い内部関係者の動きをシミュレートします。 Windows イベント ログには次のように表示されます。

Windows ログにはプロセスに関する情報が表示されますが、ほとんど役に立ちません。 さらにプロセス ID を XNUMX 進数で表示します。

ハッキングの基本を理解している専門の IT プロフェッショナルにとって、コマンド ラインは疑わしいはずです。 cmd.exe を使用して別のコマンドを実行し、出力を奇妙な名前のファイルにリダイレクトすることは、明らかに監視および制御ソフトウェアの動作と似ています。 コマンドアンドコントロール (C2): このようにして、WMI サービスを使用して擬似シェルが作成されます。
ここで、同等の Sysmon エントリを見て、どの程度の追加情報が得られるかに注目してみましょう。

Sysmon の機能を XNUMX つのスクリーンショットで表示: プロセスに関する詳細情報を読みやすい形式で表示

コマンド ラインだけでなく、ファイル名、実行可能アプリケーションへのパス、Windows が認識している内容 (「Windows コマンド プロセッサ」)、識別子も表示されます。 親の プロセス、コマンドライン 親、cmd シェルを起動したもの、および親プロセスの実際のファイル名。 すべてが XNUMX か所についに！
Sysmon ログから、「生」ログで確認されたこの不審なコマンド ラインは、従業員の通常の作業の結果ではない可能性が高いと結論付けることができます。 それどころか、これは C2 に似たプロセス (前述したように wmiexec) によって生成され、WMI サービス プロセス (WmiPrvSe) によって直接生成されました。 これで、リモートの攻撃者または内部関係者が企業インフラストラクチャをテストしていることを示す兆候が得られました。

Get-Sysmonlogs の紹介

もちろん、Sysmon がログを XNUMX か所にまとめるのは素晴らしいことです。 ただし、PowerShell コマンドなどを使用して、プログラムで個々のログ フィールドにアクセスできれば、おそらくさらに良くなるでしょう。 この場合、潜在的な脅威の検索を自動化する小さな PowerShell スクリプトを作成できます。
そのような考えを持ったのは私が最初ではありませんでした。 フォーラムの投稿や GitHub では、 プロジェクト PowerShell を使用して Sysmon ログを解析する方法はすでに説明しました。 私の場合、Sysmon フィールドごとに個別の解析スクリプト行を記述する必要を避けたかったのです。 そこで怠け者の原則を利用した結果、何か面白いものを思いついたと思います。
まず大事なのはチーム力 Get WinEvent Sysmon ログを読み取り、必要なイベントをフィルタリングして、結果を PS 変数に出力します。次のようにします。

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

コマンドを自分でテストしたい場合は、$events 配列の最初の要素である $events[0].Message の内容を表示することで、非常に単純な形式の一連のテキスト文字列を出力できます。 Sysmon フィールド、コロン、その後に値そのもの。

万歳！ Sysmon ログを JSON 対応形式で出力する

あなたも私と同じことを考えていますか？ もう少し努力すれば、出力を JSON 形式の文字列に変換し、強力なコマンドを使用して PS オブジェクトに直接読み込むことができます。 ConvertFrom-Json .
次のパートでは、変換用の PowerShell コードを示します (非常に簡単です)。 ここでは、PS モジュールとしてインストールした get-sysmonlogs という新しいコマンドで何ができるかを見てみましょう。
不便なイベント ログ インターフェイスを通じて Sysmon ログ分析を深く掘り下げる代わりに、PowerShell セッションから直接増分アクティビティを簡単に検索したり、PS コマンドを使用したりできます。 コラボレー (エイリアス – 「?」) 検索結果を短縮するには:

WMI 経由で起動される cmd シェルのリスト。 独自の Get-Sysmonlogs チームによる安価な脅威分析

素晴らしい！ Sysmon ログをデータベースのようにポーリングするツールを作成しました。 私たちの記事では、 EQL この関数は、形式的には依然として実際の SQL のようなインターフェイスを介して記述されているクールなユーティリティによって実行されることに注意してください。 はい、EQL エレガント, ですが、それについては第XNUMX回で触れます。

Sysmonとグラフ分析

一歩下がって、今作成したものについて考えてみましょう。 基本的に、PowerShell を通じて Windows イベント データベースにアクセスできるようになりました。 前に述べたように、ParentProcessId を介してレコード間に接続または関係があるため、プロセスの完全な階層を取得できます。

シリーズを読んだことのある方なら 「とらえどころのないマルウェアの冒険」 ハッカーが複雑な多段階攻撃を好むことはご存知でしょう。各プロセスがそれぞれ小さな役割を果たし、次のステップへの出発点を準備します。 「生の」ログだけからそのようなものを捕捉することは非常に困難です。
しかし、Get-Sysmonlogs コマンドと、本文の後半で説明する追加のデータ構造 (もちろんグラフ) を使用すると、脅威を検出する実用的な方法が得られます。必要なのは、正しい頂点検索を実行することだけです。
DYI ブログ プロジェクトでは常にそうであるように、小規模で脅威の詳細を分析すればするほど、エンタープライズ レベルでの脅威の検出がいかに複雑であるかが理解できるようになります。 そして、この意識は非常に高く、 大事なポイント.

この記事の後半では、最初の興味深い複雑な問題に遭遇します。そこでは、Sysmon イベントを相互に接続して、より複雑な構造を作り始めます。

出所： habr.com