Artikel iki minangka bagΓ©an pisanan saka seri babagan analisis ancaman Sysmon. Kabeh bagean liyane saka seri:
Part 1: Pambuka kanggo Sysmon Log Analysis (we are here)
Part 2: Nggunakake Data Acara Sysmon kanggo Ngenali Ancaman
Part 3. Analisis jero saka ancaman Sysmon nggunakake grafik
Yen sampeyan kerja ing keamanan informasi, sampeyan bisa uga kudu ngerti serangan sing terus-terusan. Yen sampeyan wis duwe mata sing dilatih, sampeyan bisa nggoleki aktivitas non-standar ing log "mentah" sing durung diproses - umpamane, skrip PowerShell mlaku utawa skrip VBS sing nyamar dadi file Word - mung nggulung kegiatan paling anyar ing log acara Windows. Nanging iki sirah gedhe tenan. Untunge, Microsoft nggawe Sysmon, sing nggawe analisis serangan luwih gampang.
Pengin ngerti ide dhasar ing mburi ancaman sing ditampilake ing log Sysmon? Ngundhuh pandhuan kita lan sampeyan ngerti carane insiders bisa surreptitiously mirsani karyawan liyane. Masalah utama karo nggarap log acara Windows punika lack saka informasi bab pangolahan tiyang sepah, i.e. mokal kanggo mangerteni hirarki pangolahan saka iku. Entri log Sysmon, ing sisih liya, ngemot ID proses induk, jenenge, lan baris perintah sing bakal diluncurake. Matur nuwun, Microsoft.
Ing bagean pisanan saka seri kita, kita bakal ndeleng apa sing bisa sampeyan lakoni karo informasi dhasar saka Sysmon. Ing Bagean XNUMX, kita bakal entuk manfaat saka informasi proses induk kanggo nggawe struktur kepatuhan sing luwih rumit sing dikenal minangka grafik ancaman. Ing bagean katelu, kita bakal ndeleng algoritma prasaja sing mindai grafik ancaman kanggo nggoleki aktivitas sing ora biasa kanthi nganalisa "bobot" grafik kasebut. Lan ing pungkasan, sampeyan bakal diganjar kanthi cara deteksi ancaman probabilistik sing rapi (lan bisa dingerteni).
Part 1: Pambuka kanggo Sysmon Log Analysis
Apa sing bisa mbantu sampeyan ngerti kerumitan log acara? Pungkasane - SIEM. Iki normalake acara lan nyederhanakake analisis sabanjure. Nanging kita ora kudu pindhah adoh, paling ora pisanan. Ing wiwitan, kanggo ngerti prinsip SIEM, cukup kanggo nyoba sarana Sysmon gratis sing apik banget. Lan dheweke kaget gampang digarap. Terusake, Microsoft!
Apa fitur sing diduweni Sysmon?
Ing cendhak - informasi migunani lan bisa diwaca babagan pangolahan (ndeleng gambar ing ngisor iki). Sampeyan bakal nemokake akeh rincian migunani sing ora ana ing Log Acara Windows, nanging sing paling penting yaiku kolom ing ngisor iki:
- ID Proses (ing desimal, dudu hex!)
- ID proses wong tuwa
- Proses baris printah
- Baris printah saka proses induk
- Gambar file hash
- Jeneng gambar berkas
Sysmon diinstal minangka driver piranti lan minangka layanan - rincian liyane Kauntungan utama yaiku kemampuan kanggo nganalisa log saka sawetara sumber, korΓ©lasi informasi lan output nilai asil menyang siji folder log acara dumunung ing sadawane dalan Microsoft -> Windows -> Sysmon -> Operasional. Ing investigasi rambutku dhewe menyang log Windows, aku nemokake aku kudu terus-terusan ngalih ing antarane, ucapake, folder log PowerShell lan folder Keamanan, nggulung cepet ing log acara ing upaya gagah kanggo nggandhengake nilai-nilai ing antarane loro kasebut. . Iki ora dadi tugas sing gampang, lan kaya sing dakkarepake mengko, luwih becik tuku obat aspirin.
Sysmon njupuk lompatan kuantum maju kanthi nyedhiyakake informasi sing migunani (utawa kaya sing dikandhakake vendor, bisa ditindakake) kanggo mbantu ngerti proses dhasar. Contone, aku miwiti sesi rahasia , simulasi gerakan wong njero sing pinter ing jaringan. Iki sing bakal sampeyan deleng ing log acara Windows:
Log Windows nuduhake sawetara informasi babagan proses kasebut, nanging ora ana gunane. Plus ID proses ing heksadesimal ???
Kanggo profesional IT profesional kanthi pangerten babagan dhasar hacking, baris perintah kudu curiga. Nggunakake cmd.exe banjur nglakokake printah liyane lan pangalihan output menyang file kanthi jeneng aneh jelas padha karo tumindak ngawasi lan ngontrol piranti lunak : Kanthi cara iki, pseudo-shell digawe nggunakake layanan WMI.
Saiki ayo goleki entri sing padha karo Sysmon, ngerteni jumlah informasi tambahan sing diwenehake:
Fitur Sysmon ing siji gambar: informasi rinci babagan proses ing wangun sing bisa diwaca
Sampeyan ora mung ndeleng baris perintah, nanging uga jeneng file, path menyang aplikasi sing bisa dieksekusi, apa sing dingerteni Windows ("Prosesor Perintah Windows"), pengenal. wong tuwa proses, baris printah wong tuwa, sing ngluncurake cangkang cmd, uga jeneng file asli saka proses induk. Kabeh ing sak panggonan, pungkasanipun!
Saka log Sysmon, kita bisa nyimpulake yen kanthi kemungkinan dhuwur, baris perintah sing curiga sing kita deleng ing log "mentah" ora minangka asil kerja normal karyawan. Nanging, iki digawe dening proses kaya C2 - wmiexec, kaya sing wis dakcritakake sadurunge - lan langsung ditindakake dening proses layanan WMI (WmiPrvSe). Saiki kita duwe indikasi manawa panyerang remot utawa wong njero lagi nyoba infrastruktur perusahaan.
Ngenalke Get-Sysmonlogs
Mesthine apik banget nalika Sysmon nempatake log ing sak panggonan. Nanging bisa uga luwih apik yen kita bisa ngakses kolom log individu kanthi program - contone, liwat perintah PowerShell. Ing kasus iki, sampeyan bisa nulis skrip PowerShell cilik sing bakal ngotomatisasi panelusuran kanggo ancaman potensial!
Aku ora pisanan duwe gagasan kuwi. Lan apik yen ing sawetara postingan forum lan GitHub Wis diterangake carane nggunakake PowerShell kanggo parsing log Sysmon. Ing kasusku, aku pengin supaya ora nulis skrip parsing baris sing kapisah kanggo saben lapangan Sysmon. Dadi aku nggunakake prinsip wong kesed lan aku mikir yen ana sing menarik minangka asil.
Titik penting pisanan yaiku kemampuan tim maca log Sysmon, nyaring acara sing dibutuhake lan ngasilake asil menyang variabel PS, kaya ing kene:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Yen sampeyan pengin nyoba printah dhewe, kanthi nampilake isi ing unsur pisanan saka $event array, $events[0].Pesen, output bisa dadi seri saka strings teks karo format prasaja banget: jeneng saka kolom Sysmon, titik loro, lan banjur nilai dhewe.
Hore! Outputing Sysmon log menyang format JSON-siap
Apa sampeyan mikir bab sing padha karo aku? Kanthi gaweyan liyane, sampeyan bisa ngowahi output menyang string format JSON lan banjur mbukak langsung menyang obyek PS nggunakake printah kuat .
Aku bakal nuduhake kode PowerShell kanggo konversi - prasaja banget - ing bagean sabanjure. Saiki, ayo ndeleng apa sing bisa ditindakake dening prentah anyar sing diarani get-sysmonlogs, sing wis diinstal minangka modul PS.
Tinimbang nyilem jero menyang analisis log Sysmon liwat antarmuka log acara sing ora trep, kita bisa kanthi gampang nggoleki kegiatan tambahan langsung saka sesi PowerShell, uga nggunakake printah PS. (alias β β?β) kanggo nyepetake asil panelusuran:
Dhaptar cangkang cmd sing diluncurake liwat WMI. Analisis Ancaman babagan Murah karo Tim Get-Sysmonlogs Kita
Apik banget! Aku nggawe alat kanggo polling log Sysmon kaya-kaya database. Ing artikel kita babagan iki nyatet sing fungsi iki bakal dileksanakake dening sarana kelangan diterangake ing, sanajan resmi isih liwat antarmuka SQL-kaya nyata. Ya, EQL elegan, nanging kita bakal ndemek ing bagean katelu.
Sysmon lan analisis grafik
Ayo mundur lan mikir babagan apa sing wis digawe. Intine, saiki kita duwe database acara Windows sing bisa diakses liwat PowerShell. Kaya sing dakcritakake sadurunge, ana sambungan utawa hubungan antarane cathetan - liwat ParentProcessId - supaya hierarki proses lengkap bisa dipikolehi.
Yen sampeyan wis maca seri sampeyan ngerti sing peretas seneng nggawe serangan multi-tataran Komplek, kang saben proses muter peran cilik dhewe lan nyiapake springboard kanggo langkah sabanjure. Pancen angel banget kanggo nyekel barang kasebut mung saka log "mentah".
Nanging kanthi printah Get-Sysmonlogs lan struktur data tambahan sing bakal kita deleng ing teks kasebut (mesthi wae grafik), kita duwe cara praktis kanggo ndeteksi ancaman - sing mung mbutuhake telusuran vertex sing bener.
Kaya biasane karo proyek blog DYI, luwih akeh sampeyan ngupayakake nganalisa rincian ancaman kanthi skala cilik, luwih akeh sampeyan bakal ngerti kepiye kompleks deteksi ancaman ing tingkat perusahaan. Lan kesadaran iki arang banget titik penting.
Kita bakal nemoni komplikasi sing menarik pisanan ing bagean kapindho artikel kasebut, ing ngendi kita bakal miwiti nyambungake acara Sysmon menyang struktur sing luwih rumit.
Source: www.habr.com