Sysmon Threat Analysis Guide, Part 1

អត្ថបទនេះគឺជាផ្នែកដំបូងនៃស៊េរីស្តីពីការវិភាគការគំរាមកំហែង Sysmon ។ ផ្នែកផ្សេងទៀតទាំងអស់នៃស៊េរី៖

ផ្នែកទី 1: ការណែនាំអំពីការវិភាគកំណត់ហេតុ Sysmon (ពួក​យើង​នៅ​ទីនេះ)
ផ្នែកទី 2: ការប្រើប្រាស់ទិន្នន័យព្រឹត្តិការណ៍ Sysmon ដើម្បីកំណត់អត្តសញ្ញាណការគំរាមកំហែង
ផ្នែកទី 3. ការវិភាគស៊ីជម្រៅនៃការគំរាមកំហែង Sysmon ដោយប្រើក្រាហ្វ

ប្រសិនបើអ្នកធ្វើការផ្នែកសន្តិសុខព័ត៌មាន អ្នកប្រហែលជាត្រូវយល់អំពីការវាយប្រហារដែលកំពុងបន្ត។ ប្រសិនបើអ្នកមានភ្នែកដែលបានបណ្តុះបណ្តាលរួចហើយ អ្នកអាចរកមើលសកម្មភាពមិនស្តង់ដារនៅក្នុងកំណត់ហេតុដែលមិនទាន់កែច្នៃ "ឆៅ" - និយាយ ស្គ្រីប PowerShell កំពុងដំណើរការ ជាមួយនឹងពាក្យបញ្ជា DownloadString ឬស្គ្រីប VBS ធ្វើពុតជាឯកសារ Word - គ្រាន់តែរមូរតាមសកម្មភាពចុងក្រោយបំផុតនៅក្នុងកំណត់ហេតុព្រឹត្តិការណ៍វីនដូ។ ប៉ុន្តែនេះពិតជាឈឺក្បាលខ្លាំង។ ជាសំណាងល្អ Microsoft បានបង្កើត Sysmon ដែលធ្វើអោយការវិភាគការវាយប្រហារកាន់តែងាយស្រួល។

ចង់យល់ពីគំនិតជាមូលដ្ឋាននៅពីក្រោយការគំរាមកំហែងដែលបង្ហាញក្នុងកំណត់ហេតុ Sysmon ទេ? ទាញយកការណែនាំរបស់យើង។ ព្រឹត្តិការណ៍ WMI ជាមធ្យោបាយនៃចារកម្ម ហើយអ្នកដឹងពីរបៀបដែលអ្នកខាងក្នុងអាចសង្កេតមើលបុគ្គលិកផ្សេងទៀតដោយអចេតនា។ បញ្ហាចម្បងក្នុងការធ្វើការជាមួយកំណត់ហេតុព្រឹត្តិការណ៍ Windows គឺកង្វះព័ត៌មានអំពីដំណើរការមេ ពោលគឺឧ។ វាមិនអាចទៅរួចទេក្នុងការយល់ពីឋានានុក្រមនៃដំណើរការពីវា។ ម្យ៉ាងវិញទៀត ធាតុកំណត់ហេតុ Sysmon មានលេខសម្គាល់ដំណើរការមេ ឈ្មោះរបស់វា និងបន្ទាត់ពាក្យបញ្ជាដែលត្រូវចាប់ផ្តើម។ សូមអរគុណ Microsoft ។

នៅក្នុងផ្នែកដំបូងនៃស៊េរីរបស់យើង យើងនឹងពិនិត្យមើលអ្វីដែលអ្នកអាចធ្វើបានជាមួយនឹងព័ត៌មានមូលដ្ឋានពី Sysmon ។ នៅក្នុងផ្នែកទី XNUMX យើងនឹងទាញយកអត្ថប្រយោជន៍ពេញលេញនៃព័ត៌មានដំណើរការមេ ដើម្បីបង្កើតរចនាសម្ព័ន្ធអនុលោមភាពដ៏ស្មុគស្មាញបន្ថែមទៀតដែលគេស្គាល់ថាជាក្រាហ្វការគំរាមកំហែង។ នៅក្នុងផ្នែកទីបី យើងនឹងពិនិត្យមើលក្បួនដោះស្រាយសាមញ្ញមួយដែលស្កេនក្រាហ្វគំរាមកំហែងដើម្បីស្វែងរកសកម្មភាពមិនធម្មតាដោយការវិភាគ "ទម្ងន់" នៃក្រាហ្វ។ ហើយនៅចុងបញ្ចប់ អ្នកនឹងទទួលបានរង្វាន់ជាមួយនឹងវិធីសាស្ត្ររកឃើញការគំរាមកំហែងដែលអាចកើតមានយ៉ាងច្បាស់លាស់ (និងអាចយល់បាន)។

ផ្នែកទី 1: ការណែនាំអំពីការវិភាគកំណត់ហេតុ Sysmon

តើអ្វីអាចជួយអ្នកឱ្យយល់ពីភាពស្មុគស្មាញនៃកំណត់ហេតុព្រឹត្តិការណ៍? ទីបំផុត - SIEM ។ វាធ្វើឱ្យព្រឹត្តិការណ៍ធម្មតា និងសម្រួលការវិភាគជាបន្តបន្ទាប់របស់ពួកគេ។ ប៉ុន្តែយើងមិនចាំបាច់ទៅឆ្ងាយនោះទេ យ៉ាងហោចណាស់ក៏មិនមែនដំបូងដែរ។ នៅដើមដំបូង ដើម្បីយល់ពីគោលការណ៍របស់ SIEM វានឹងគ្រប់គ្រាន់ដើម្បីសាកល្បងឧបករណ៍ប្រើប្រាស់ Sysmon ឥតគិតថ្លៃដ៏អស្ចារ្យ។ ហើយគួរឱ្យភ្ញាក់ផ្អើលនាងងាយស្រួលក្នុងការធ្វើការជាមួយ។ រក្សាវាឡើង Microsoft!

តើ Sysmon មានមុខងារអ្វីខ្លះ?

និយាយឱ្យខ្លី - ព័ត៌មានមានប្រយោជន៍ និងអាចអានបានអំពីដំណើរការ (សូមមើលរូបភាពខាងក្រោម)។ អ្នក​នឹង​ឃើញ​ព័ត៌មាន​លម្អិត​ដែល​មាន​ប្រយោជន៍​ជាច្រើន​ដែល​មិន​មាន​នៅ​ក្នុង​កំណត់ហេតុ​ព្រឹត្តិការណ៍​របស់ Windows ប៉ុន្តែ​អ្វី​ដែល​សំខាន់​បំផុត​គឺ​វាល​ខាងក្រោម​នេះ៖

• លេខសម្គាល់ដំណើរការ (ជាទសភាគ មិនមែន hex!)
• លេខសម្គាល់ដំណើរការមាតាបិតា
• ដំណើរការបន្ទាត់ពាក្យបញ្ជា
• បន្ទាត់ពាក្យបញ្ជានៃដំណើរការមេ
• សញ្ញារូបភាពឯកសារ
• ឈ្មោះរូបភាពឯកសារ

Sysmon ត្រូវបានដំឡើងទាំងជាកម្មវិធីបញ្ជាឧបករណ៍ និងជាសេវាកម្ម - ព័ត៌មានលម្អិតបន្ថែម នៅទីនេះ។ អត្ថប្រយោជន៍សំខាន់របស់វាគឺសមត្ថភាពក្នុងការវិភាគកំណត់ហេតុពី ជាច្រើន ប្រភព ការជាប់ទាក់ទងគ្នានៃព័ត៌មាន និងលទ្ធផលនៃតម្លៃលទ្ធផលទៅកាន់ថតកំណត់ហេតុព្រឹត្តិការណ៍មួយដែលមានទីតាំងនៅតាមផ្លូវ Microsoft -> Windows -> Sysmon -> ប្រតិបត្តិការ. នៅក្នុងការស៊ើបអង្កេតលើការលើកសក់របស់ខ្ញុំទៅលើកំណត់ហេតុរបស់ Windows ខ្ញុំបានរកឃើញថាខ្លួនខ្ញុំតែងតែត្រូវប្តូររវាងថតឯកសារ PowerShell និងថតសុវត្ថិភាព ដោយរំកិលមើលកំណត់ហេតុព្រឹត្តិការណ៍នៅក្នុងការប៉ុនប៉ងយ៉ាងក្លាហានដើម្បីទាក់ទងគ្នានូវតម្លៃរវាងទាំងពីរ។ . នេះមិនមែនជាកិច្ចការងាយស្រួលនោះទេ ហើយដូចដែលខ្ញុំបានដឹងនៅពេលក្រោយ វាជាការប្រសើរក្នុងការស្តុកទុកថ្នាំអាស្ពីរីនភ្លាមៗ។

Sysmon ឈានជើងទៅមុខដោយផ្តល់នូវព័ត៌មានមានប្រយោជន៍ (ឬដូចអ្នកលក់ចូលចិត្តនិយាយ អាចធ្វើសកម្មភាពបាន) ដើម្បីជួយយល់ពីដំណើរការមូលដ្ឋាន។ ជាឧទាហរណ៍ ខ្ញុំបានចាប់ផ្តើមវគ្គសម្ងាត់មួយ។ wmiexecក្លែងធ្វើចលនារបស់អ្នកខាងក្នុងឆ្លាតវៃនៅក្នុងបណ្តាញ។ នេះជាអ្វីដែលអ្នកនឹងឃើញនៅក្នុងកំណត់ហេតុព្រឹត្តិការណ៍ Windows៖

កំណត់ហេតុរបស់ Windows បង្ហាញព័ត៌មានមួយចំនួនអំពីដំណើរការ ប៉ុន្តែវាមានការប្រើប្រាស់តិចតួច។ បូកលេខសម្គាល់ដំណើរការជាលេខគោលដប់ប្រាំមួយ???

សម្រាប់អ្នកជំនាញផ្នែកព័ត៌មានវិទ្យាដែលមានការយល់ដឹងអំពីមូលដ្ឋានគ្រឹះនៃការលួចចូល បន្ទាត់ពាក្យបញ្ជាគួរតែគួរឱ្យសង្ស័យ។ ការប្រើ cmd.exe ដើម្បីរត់ពាក្យបញ្ជាផ្សេងទៀត ហើយបញ្ជូនបន្តលទ្ធផលទៅឯកសារដែលមានឈ្មោះចម្លែកគឺស្រដៀងទៅនឹងសកម្មភាពនៃការត្រួតពិនិត្យ និងគ្រប់គ្រងកម្មវិធី។ ពាក្យបញ្ជា និងការគ្រប់គ្រង (C2)៖ នៅក្នុងវិធីនេះ សែល pseudo-shell ត្រូវបានបង្កើតដោយប្រើសេវាកម្ម WMI ។
ឥឡូវនេះសូមក្រឡេកមើលសមមូលធាតុ Sysmon ដោយកត់សំគាល់ថាតើព័ត៌មានបន្ថែមវាផ្តល់ឱ្យយើងប៉ុន្មាន៖

លក្ខណៈពិសេស Sysmon នៅក្នុងរូបថតអេក្រង់មួយ៖ ព័ត៌មានលម្អិតអំពីដំណើរការក្នុងទម្រង់ដែលអាចអានបាន។

អ្នកមិនត្រឹមតែឃើញបន្ទាត់ពាក្យបញ្ជាប៉ុណ្ណោះទេ ថែមទាំងឈ្មោះឯកសារ ផ្លូវទៅកាន់កម្មវិធីដែលអាចប្រតិបត្តិបាន អ្វីដែល Windows ដឹងអំពីវា ("Windows Command Processor") ការកំណត់អត្តសញ្ញាណ មាតាបិតា ដំណើរការ, បន្ទាត់ពាក្យបញ្ជា parentពុកម្តាយដែលបើកដំណើរការ cmd shell ក៏ដូចជាឈ្មោះឯកសារពិតនៃដំណើរការមេ។ គ្រប់យ៉ាងនៅកន្លែងតែមួយ ទីបំផុត!
ពីកំណត់ហេតុ Sysmon យើងអាចសន្និដ្ឋានថាជាមួយនឹងកម្រិតខ្ពស់នៃប្រូបាប៊ីលីតេនៃបន្ទាត់ពាក្យបញ្ជាគួរឱ្យសង្ស័យដែលយើងបានឃើញនៅក្នុងកំណត់ហេតុ "ឆៅ" មិនមែនជាលទ្ធផលនៃការងារធម្មតារបស់និយោជិតនោះទេ។ ផ្ទុយទៅវិញ វាត្រូវបានបង្កើតឡើងដោយដំណើរការ C2-like - wmiexec ដូចដែលខ្ញុំបានរៀបរាប់ពីមុន ហើយត្រូវបានបង្កើតដោយផ្ទាល់ដោយដំណើរការសេវាកម្ម WMI (WmiPrvSe)។ ឥឡូវនេះ យើងមានសូចនាករមួយដែលថាអ្នកវាយប្រហារពីចម្ងាយ ឬអ្នកខាងក្នុងកំពុងសាកល្បងហេដ្ឋារចនាសម្ព័ន្ធសាជីវកម្ម។

ការណែនាំអំពី Get-Sysmonlogs

ជាការពិតណាស់វាល្អណាស់នៅពេលដែល Sysmon ដាក់កំណត់ហេតុនៅកន្លែងតែមួយ។ ប៉ុន្តែវាប្រហែលជាប្រសើរជាងប្រសិនបើយើងអាចចូលប្រើវាលកំណត់ហេតុនីមួយៗតាមកម្មវិធី - ឧទាហរណ៍តាមរយៈពាក្យបញ្ជា PowerShell ។ ក្នុងករណីនេះ អ្នកអាចសរសេរស្គ្រីប PowerShell តូចមួយដែលនឹងធ្វើឱ្យការស្វែងរកដោយស្វ័យប្រវត្តិសម្រាប់ការគំរាមកំហែងដែលអាចកើតមាន!
ខ្ញុំមិនមែនជាមនុស្សដំបូងដែលមានគំនិតបែបនេះទេ។ ហើយវាជាការល្អដែលនៅក្នុងវេទិកាវេទិកាមួយចំនួន និង GitHub គម្រោង វាត្រូវបានពន្យល់រួចហើយអំពីរបៀបប្រើ PowerShell ដើម្បីញែកកំណត់ហេតុ Sysmon ។ ក្នុង​ករណី​របស់​ខ្ញុំ ខ្ញុំ​ចង់​ជៀសវាង​ការ​សរសេរ​បន្ទាត់​ដាច់​ដោយ​ឡែក​នៃ​ការ​ញែក​ស្គ្រីប​សម្រាប់​វាល Sysmon នីមួយៗ។ ដូច្នេះ ខ្ញុំ​បាន​ប្រើ​គោលការណ៍​បុរស​ខ្ជិល ហើយ​ខ្ញុំ​គិត​ថា​ខ្ញុំ​បាន​រក​ឃើញ​អ្វី​ដែល​គួរ​ឱ្យ​ចាប់​អារម្មណ៍​ជា​លទ្ធផល។
ចំណុចសំខាន់ទីមួយគឺសមត្ថភាពរបស់ក្រុម Get-WinEvent អានកំណត់ហេតុ Sysmon ត្រងព្រឹត្តិការណ៍ចាំបាច់ និងលទ្ធផលលទ្ធផលទៅអថេរ PS ដូចនៅទីនេះ៖

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

ប្រសិនបើអ្នកចង់សាកល្បងពាក្យបញ្ជាដោយខ្លួនឯង ដោយបង្ហាញមាតិកានៅក្នុងធាតុដំបូងនៃអារេ $events, $events[0]។ សារ លទ្ធផលអាចជាស៊េរីនៃខ្សែអក្សរដែលមានទម្រង់សាមញ្ញបំផុត៖ ឈ្មោះរបស់ Sysmon field, a colon, ហើយបន្ទាប់មកតម្លៃខ្លួនវា។

ហ៊ឺយ! ការបញ្ចេញ Sysmon ចូលទៅក្នុងទម្រង់ JSON ដែលត្រៀមរួចជាស្រេច

តើអ្នកគិតដូចខ្ញុំទេ? ជាមួយនឹងការខិតខំប្រឹងប្រែងបន្តិចបន្ថែមទៀត អ្នកអាចបំប្លែងលទ្ធផលទៅជាខ្សែអក្សរដែលបានធ្វើទ្រង់ទ្រាយ JSON ហើយបន្ទាប់មកផ្ទុកវាដោយផ្ទាល់ទៅក្នុងវត្ថុ PS ដោយប្រើពាក្យបញ្ជាដ៏មានឥទ្ធិពល។ បម្លែងពី-Json .
ខ្ញុំនឹងបង្ហាញកូដ PowerShell សម្រាប់ការបំប្លែង - វាសាមញ្ញណាស់ - នៅផ្នែកបន្ទាប់។ សម្រាប់ពេលនេះ សូមមើលអ្វីដែលពាក្យបញ្ជាថ្មីរបស់ខ្ញុំហៅថា get-sysmonlogs ដែលខ្ញុំបានដំឡើងជាម៉ូឌុល PS អាចធ្វើបាន។
ជំនួសឱ្យការចូលជ្រៅទៅក្នុងការវិភាគកំណត់ហេតុ Sysmon តាមរយៈចំណុចប្រទាក់កំណត់ហេតុព្រឹត្តិការណ៍ដែលមិនងាយស្រួល យើងអាចស្វែងរកដោយមិនចាំបាច់ប្រឹងប្រែងសម្រាប់សកម្មភាពបន្ថែមដោយផ្ទាល់ពីវគ្គ PowerShell ក៏ដូចជាប្រើពាក្យបញ្ជា PS ដែលជាកន្លែងដែល (ឈ្មោះក្លែងក្លាយ – “?”) ដើម្បីបង្រួមលទ្ធផលស្វែងរក៖

បញ្ជីនៃសែល cmd បើកដំណើរការតាមរយៈ WMI ។ ការវិភាគការគំរាមកំហែងលើតម្លៃថោកជាមួយក្រុម Get-Sysmonlogs ផ្ទាល់របស់យើង។

អស្ចារ្យមែន! ខ្ញុំ​បាន​បង្កើត​ឧបករណ៍​ដើម្បី​ស្ទង់​មតិ Sysmon log ដូច​ជា​វា​ជា​មូលដ្ឋាន​ទិន្នន័យ។ នៅក្នុងអត្ថបទរបស់យើងអំពី IQ វាត្រូវបានកត់សម្គាល់ថាមុខងារនេះនឹងត្រូវបានអនុវត្តដោយឧបករណ៍ប្រើប្រាស់ត្រជាក់ដែលបានពិពណ៌នានៅក្នុងវា ទោះបីជាជាផ្លូវការនៅតែតាមរយៈចំណុចប្រទាក់ដូច SQL ពិតប្រាកដក៏ដោយ។ បាទ EQL ឆើតឆាយប៉ុន្តែយើងនឹងប៉ះវានៅក្នុងផ្នែកទីបី។

Sysmon និងការវិភាគក្រាហ្វ

ចូរយើងថយក្រោយ ហើយគិតអំពីអ្វីដែលយើងទើបតែបង្កើត។ សំខាន់ឥឡូវនេះយើងមានមូលដ្ឋានទិន្នន័យព្រឹត្តិការណ៍ Windows ដែលអាចចូលប្រើបានតាមរយៈ PowerShell ។ ដូចដែលខ្ញុំបានកត់សម្គាល់ពីមុន មានការតភ្ជាប់ ឬទំនាក់ទំនងរវាងកំណត់ត្រា - តាមរយៈ ParentProcessId - ដូច្នេះអាចទទួលបានឋានានុក្រមពេញលេញនៃដំណើរការ។

ប្រសិនបើអ្នកបានអានស៊េរី "ដំណើរផ្សងព្រេងនៃមេរោគដែលងាយយល់" អ្នកដឹងទេថាពួក Hacker ចូលចិត្តបង្កើតការវាយប្រហារពហុដំណាក់កាលដ៏ស្មុគស្មាញ ដែលដំណើរការនីមួយៗដើរតួរនាទីផ្ទាល់ខ្លួនរបស់វា និងរៀបចំតារាងសម្រាប់ជំហានបន្ទាប់។ វាជាការលំបាកខ្លាំងណាស់ក្នុងការចាប់របស់បែបនេះដោយគ្រាន់តែចេញពីកំណត់ហេតុ "ឆៅ" ។
ប៉ុន្តែជាមួយនឹងពាក្យបញ្ជា Get-Sysmonlogs របស់ខ្ញុំ និងរចនាសម្ព័ន្ធទិន្នន័យបន្ថែម យើងនឹងពិនិត្យមើលនៅពេលក្រោយនៅក្នុងអត្ថបទ (ជាការពិតណាស់ក្រាហ្វ) យើងមានវិធីជាក់ស្តែងមួយដើម្បីស្វែងរកការគំរាមកំហែង ដែលគ្រាន់តែទាមទារឱ្យធ្វើការស្វែងរក vertex ត្រឹមត្រូវ។
ដូចរាល់ដងជាមួយនឹងគម្រោងប្លុក DYI របស់យើង កាន់តែច្រើនអ្នកធ្វើការលើការវិភាគព័ត៌មានលម្អិតនៃការគំរាមកំហែងក្នុងកម្រិតតូចមួយ នោះអ្នកនឹងកាន់តែដឹងថាការរកឃើញការគំរាមកំហែងដ៏ស្មុគស្មាញគឺនៅកម្រិតសហគ្រាស។ ហើយការយល់ដឹងនេះគឺខ្លាំងណាស់ ចំណុចសំខាន់.

យើងនឹងជួបប្រទះផលវិបាកគួរឱ្យចាប់អារម្មណ៍ដំបូងនៅក្នុងផ្នែកទីពីរនៃអត្ថបទដែលយើងនឹងចាប់ផ្តើមភ្ជាប់ព្រឹត្តិការណ៍ Sysmon ជាមួយគ្នាទៅជារចនាសម្ព័ន្ធស្មុគស្មាញជាច្រើនទៀត។

ប្រភព: www.habr.com