Sysmon საფრთხის ანალიზის სახელმძღვანელო, ნაწილი 1

ეს სტატია არის Sysmon-ის საფრთხის ანალიზის სერიის პირველი ნაწილი. სერიის ყველა სხვა ნაწილი:

ნაწილი 1: შესავალი Sysmon ჟურნალის ანალიზში (ჩვენ აქ ვართ)
ნაწილი 2: Sysmon-ის მოვლენის მონაცემების გამოყენება საფრთხეების იდენტიფიცირებისთვის
ნაწილი 3. Sysmon საფრთხეების სიღრმისეული ანალიზი გრაფიკების გამოყენებით

თუ თქვენ მუშაობთ ინფორმაციულ უსაფრთხოებაზე, ალბათ ხშირად უნდა გაიგოთ მიმდინარე თავდასხმები. თუ უკვე გაქვთ გაწვრთნილი თვალი, შეგიძლიათ მოძებნოთ არასტანდარტული აქტივობა „ნედლეულ“ დაუმუშავებელ ჟურნალებში - ვთქვათ, გაშვებული PowerShell სკრიპტი. DownloadString ბრძანებით ან VBS სკრიპტი, რომელიც თითქოს Word ფაილია - უბრალოდ გადახედეთ უახლეს აქტივობას Windows-ის ღონისძიებების ჟურნალში. მაგრამ ეს მართლაც დიდი თავის ტკივილია. საბედნიეროდ, Microsoft-მა შექმნა Sysmon, რაც აადვილებს თავდასხმის ანალიზს.

გსურთ გაიგოთ Sysmon-ის ჟურნალში ნაჩვენები საფრთხეების ძირითადი იდეები? ჩამოტვირთეთ ჩვენი სახელმძღვანელო WMI მოვლენები, როგორც ჯაშუშობის საშუალება და ხვდები, როგორ შეუძლიათ ინსაიდერებს ფარულად დააკვირდნენ სხვა თანამშრომლებს. Windows-ის ღონისძიებების ჟურნალთან მუშაობის მთავარი პრობლემა არის ინფორმაციის ნაკლებობა მშობელი პროცესების შესახებ, ე.ი. მისგან პროცესების იერარქიის გაგება შეუძლებელია. Sysmon ჟურნალის ჩანაწერები, მეორეს მხრივ, შეიცავს მშობლის პროცესის ID-ს, მის სახელს და გასაშვებ ბრძანების ხაზს. გმადლობთ, Microsoft.

ჩვენი სერიის პირველ ნაწილში განვიხილავთ, თუ რისი გაკეთება შეგიძლიათ Sysmon-ის ძირითადი ინფორმაციით. მე-XNUMX ნაწილში ჩვენ სრულად გამოვიყენებთ მშობლის პროცესის ინფორმაციას, რათა შევქმნათ უფრო რთული შესაბამისობის სტრუქტურები, რომლებიც ცნობილია როგორც საფრთხის გრაფიკები. მესამე ნაწილში ჩვენ განვიხილავთ მარტივ ალგორითმს, რომელიც სკანირებს საფრთხის გრაფიკს, რათა მოძებნოს უჩვეულო აქტივობა გრაფიკის „წონის“ ანალიზით. და ბოლოს, თქვენ დაჯილდოვდებით საფრთხის აღმოჩენის ზუსტი (და გასაგები) ალბათობითი მეთოდით.

ნაწილი 1: შესავალი Sysmon ჟურნალის ანალიზში

რა დაგეხმარებათ გაიგოთ მოვლენების ჟურნალის სირთულეები? საბოლოო ჯამში - SIEM. ის ახდენს მოვლენების ნორმალიზებას და ამარტივებს მათ შემდგომ ანალიზს. მაგრამ ჩვენ არ გვჭირდება ასე შორს წასვლა, ყოველ შემთხვევაში, თავიდან. დასაწყისში, SIEM-ის პრინციპების გასაგებად, საკმარისი იქნება სცადოთ მშვენიერი უფასო Sysmon პროგრამა. და მასთან მუშაობა საოცრად მარტივია. ასე გააგრძელე, Microsoft!

რა თვისებები აქვს Sysmon-ს?

მოკლედ - სასარგებლო და წასაკითხი ინფორმაცია პროცესების შესახებ (იხილეთ სურათები ქვემოთ). თქვენ იპოვით უამრავ სასარგებლო დეტალს, რომელიც არ არის Windows-ის მოვლენის ჟურნალში, მაგრამ ყველაზე მნიშვნელოვანია შემდეგი ველები:

• პროცესის ID (ათწილადში, არა თექვსმეტობით!)
• მშობელი პროცესის ID
• პროცესის ბრძანების ხაზი
• მშობელი პროცესის ბრძანების ხაზი
• ფაილის სურათის ჰეში
• ფაილის სურათების სახელები

Sysmon დაინსტალირებულია როგორც მოწყობილობის დრაივერი და როგორც სერვისი - მეტი დეტალი აქ. მისი მთავარი უპირატესობა არის ჟურნალების ანალიზის უნარი რამდენიმე წყაროები, ინფორმაციის კორელაცია და მიღებული მნიშვნელობების გამომავალი მოვლენების ჟურნალის ერთ საქაღალდეში, რომელიც მდებარეობს ბილიკის გასწვრივ Microsoft -> Windows -> Sysmon -> ოპერატიული. Windows-ის ლოგების შესახებ ჩემი საკუთარი გამოკვლევების დროს, მე გამუდმებით მიწევდა გადართვა, მაგალითად, PowerShell logs საქაღალდესა და უსაფრთხოების საქაღალდეს შორის, გადავფურცლე მოვლენის ჟურნალებს, რათა როგორმე დამეკავშირებინა მნიშვნელობები ამ ორს შორის. . ეს არასოდეს არ არის იოლი საქმე და როგორც მოგვიანებით მივხვდი, სჯობდა სასწრაფოდ ასპირინის მარაგი.

Sysmon იღებს კვანტურ ნახტომს წინ სასარგებლო (ან როგორც გამყიდველები ამბობენ, ქმედითუნარიანი) ინფორმაციის მიწოდებით, რათა დაეხმაროს ძირითადი პროცესების გაგებას. მაგალითად, დავიწყე საიდუმლო სესია wmiexec, ქსელში ჭკვიანი ინსაიდერის მოძრაობის სიმულაცია. აი, რას იხილავთ Windows-ის ღონისძიებების ჟურნალში:

Windows-ის ჟურნალი აჩვენებს გარკვეულ ინფორმაციას პროცესის შესახებ, მაგრამ ის ნაკლებად გამოსაყენებელია. პლუს პროცესის ID-ები თექვსმეტობით???

პროფესიონალი IT პროფესიონალისთვის, რომელსაც ესმის ჰაკერების საფუძვლები, ბრძანების ხაზი საეჭვო უნდა იყოს. cmd.exe-ის გამოყენება სხვა ბრძანების გასაშვებად და გამოსავლის გადამისამართებით ფაილზე უცნაური სახელით აშკარად ჰგავს მონიტორინგისა და კონტროლის პროგრამული უზრუნველყოფის მოქმედებებს. ბრძანება და კონტროლი (C2): ამ გზით, ფსევდო-შელი იქმნება WMI სერვისების გამოყენებით.
ახლა მოდით შევხედოთ Sysmon შესვლის ეკვივალენტს და აღვნიშნოთ, თუ რამდენ დამატებით ინფორმაციას გვაწვდის ის:

Sysmon-ს აქვს ერთი ეკრანის ანაბეჭდი: დეტალური ინფორმაცია პროცესის შესახებ წასაკითხი ფორმით

თქვენ ხედავთ არა მხოლოდ ბრძანების ხაზს, არამედ ფაილის სახელს, შესრულებადი აპლიკაციის გზას, რა იცის Windows-მა ამის შესახებ ("Windows Command Processor"), იდენტიფიკატორი. მშობელი პროცესი, ბრძანების ხაზი მშობელი, რომელმაც გაუშვა cmd shell, ისევე როგორც ძირითადი პროცესის ფაილის რეალური სახელი. ყველაფერი ერთ ადგილას, ბოლოს და ბოლოს!
Sysmon ჟურნალიდან შეგვიძლია დავასკვნათ, რომ დიდი ალბათობით, ეს საეჭვო ბრძანების ხაზი, რომელიც ვნახეთ "ნედლეულ" ჟურნალებში, არ არის თანამშრომლის ნორმალური მუშაობის შედეგი. პირიქით, ის შეიქმნა C2-ის მსგავსი პროცესით - wmiexec, როგორც უკვე აღვნიშნე - და პირდაპირ წარმოიშვა WMI სერვისის პროცესით (WmiPrvSe). ახლა ჩვენ გვაქვს ინდიკატორი, რომ დისტანციური თავდამსხმელი ან ინსაიდერი ამოწმებს კორპორატიულ ინფრასტრუქტურას.

გაცნობა Get-Sysmonlogs

რა თქმა უნდა, კარგია, როდესაც Sysmon ათავსებს ჟურნალებს ერთ ადგილას. მაგრამ, ალბათ, კიდევ უკეთესი იქნება, თუ შეგვეძლება ცალკეული ჟურნალის ველებზე პროგრამულად წვდომა - მაგალითად, PowerShell ბრძანებების მეშვეობით. ამ შემთხვევაში, თქვენ შეგიძლიათ დაწეროთ პატარა PowerShell სკრიპტი, რომელიც ავტომატიზირებს პოტენციური საფრთხეების ძიებას!
მე არ ვიყავი პირველი, ვინც ასეთი იდეა გამიჩნდა. და კარგია, რომ ზოგიერთ ფორუმის პოსტში და GitHub-ში პროექტები უკვე ახსნილია, როგორ გამოვიყენოთ PowerShell Sysmon ჟურნალის გასაანალიზებლად. ჩემს შემთხვევაში, მე მინდოდა თავიდან აეცილებინა თითოეული Sysmon ველისთვის პარსინგის სკრიპტის ცალკეული სტრიქონების დაწერა. ამიტომ გამოვიყენე ზარმაცი კაცის პრინციპი და ვფიქრობ, შედეგად რაღაც საინტერესო გამომივიდა.
პირველი მნიშვნელოვანი მომენტია გუნდის შესაძლებლობები მიიღეთ- WinEvent წაიკითხეთ Sysmon ჟურნალები, გაფილტრეთ საჭირო მოვლენები და გამოიტანეთ შედეგი PS ცვლადში, როგორც აქ:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

თუ გსურთ თავად შეამოწმოთ ბრძანება, შინაარსის ჩვენებით $events მასივის პირველ ელემენტში, $events[0]. შეტყობინება, გამომავალი შეიძლება იყოს ტექსტის სტრიქონების სერია ძალიან მარტივი ფორმატით: სახელი Sysmon ველი, ორწერტილი და შემდეგ თავად მნიშვნელობა.

ჰოო! Sysmon შესვლის გამოტანა JSON-ready ფორმატში

შენც იგივეს ფიქრობ რაც მე? ცოტა მეტი ძალისხმევით შეგიძლიათ გადაიყვანოთ გამომავალი JSON ფორმატირებულ სტრიქონად და შემდეგ ჩატვირთოთ იგი პირდაპირ PS ობიექტში ძლიერი ბრძანების გამოყენებით. ConvertFrom-Json .
მე გაჩვენებთ PowerShell-ის კოდს კონვერტაციისთვის - ეს ძალიან მარტივია - შემდეგ ნაწილში. ახლა ვნახოთ, რა შეუძლია გააკეთოს ჩემს ახალ ბრძანებას სახელად get-sysmonlogs, რომელიც მე დავაინსტალირე როგორც PS მოდული.
იმის ნაცვლად, რომ ღრმად ჩავუღრმავდეთ Sysmon ჟურნალის ანალიზს არასასიამოვნო მოვლენის ჟურნალის ინტერფეისის საშუალებით, ჩვენ შეგვიძლია უპრობლემოდ მოვძებნოთ დამატებითი აქტივობა პირდაპირ PowerShell სესიიდან, ასევე გამოვიყენოთ PS ბრძანება. სადაც (ასევე – “?”) ძიების შედეგების შესამცირებლად:

WMI-ით გაშვებული cmd ჭურვების სია. საფრთხეების ანალიზი იაფად ჩვენი Get-Sysmonlogs გუნდით

საოცარი! მე შევქმენი ინსტრუმენტი Sysmon-ის ჟურნალის გამოკითხვისთვის, თითქოს ეს იყოს მონაცემთა ბაზა. ჩვენს სტატიაში შესახებ IQ აღინიშნა, რომ ამ ფუნქციას შეასრულებს მასში აღწერილი მაგარი პროგრამა, თუმცა ფორმალურად მაინც რეალური SQL მსგავსი ინტერფეისით. დიახ, EQL ელეგანტური, მაგრამ მას მესამე ნაწილში შევეხებით.

Sysmon და გრაფიკის ანალიზი

მოდით, უკან დავიხიოთ და ვიფიქროთ იმაზე, რაც ახლახან შევქმენით. არსებითად, ჩვენ ახლა გვაქვს Windows ღონისძიებების მონაცემთა ბაზა, რომელიც ხელმისაწვდომია PowerShell-ის საშუალებით. როგორც ადრე აღვნიშნე, არსებობს კავშირები ან ურთიერთობები ჩანაწერებს შორის - ParentProcessId-ის მეშვეობით - ასე რომ, პროცესების სრული იერარქიის მიღება შესაძლებელია.

თუ სერიალი გაქვს წაკითხული "აუცილებელი მავნე პროგრამის თავგადასავალი" თქვენ იცით, რომ ჰაკერებს უყვართ რთული მრავალსაფეხურიანი შეტევების შექმნა, რომელშიც თითოეული პროცესი თავის პატარა როლს ასრულებს და ამზადებს პლაცდარმს შემდეგი ნაბიჯისთვის. ძალიან რთულია ასეთი ნივთების დაჭერა უბრალოდ „ნედლი“ ჟურნალიდან.
მაგრამ ჩემი Get-Sysmonlogs ბრძანებით და დამატებითი მონაცემთა სტრუქტურით, რომელსაც მოგვიანებით განვიხილავთ ტექსტში (გრაფიკი, რა თქმა უნდა), ჩვენ გვაქვს პრაქტიკული გზა საფრთხის აღმოსაჩენად - რაც მხოლოდ სწორი წვეროების ძიებას მოითხოვს.
როგორც ყოველთვის ჩვენი DYI ბლოგის პროექტებთან დაკავშირებით, რაც უფრო მეტს იმუშავებთ საფრთხეების დეტალების მცირე მასშტაბის ანალიზზე, მით უფრო მეტად მიხვდებით, რამდენად რთულია საფრთხის გამოვლენა საწარმოს დონეზე. და ეს ცნობიერება უკიდურესადაა მნიშვნელოვანი წერტილი.

პირველ საინტერესო გართულებებს შევხვდებით სტატიის მეორე ნაწილში, სადაც დავიწყებთ Sysmon მოვლენების ერთმანეთთან დაკავშირებას ბევრად უფრო რთულ სტრუქტურებში.

წყარო: www.habr.com