Sysmon 위협 분석 가이드, 1부

이 기사는 Sysmon 위협 분석 시리즈의 첫 번째 부분입니다. 시리즈의 다른 모든 부분:

1부: Sysmon 로그 분석 소개 (우리는 여기에 있습니다)
2부: Sysmon 이벤트 데이터를 사용하여 위협 식별
Part 3. 그래프를 활용한 Sysmon 위협 심층 분석

정보 보안 분야에 종사하는 경우 진행 중인 공격을 이해해야 하는 경우가 많습니다. 이미 숙련된 ​​전문가라면 처리되지 않은 "원시" 로그에서 비표준 활동(예: 실행 중인 PowerShell 스크립트)을 찾을 수 있습니다. DownloadString 명령을 사용하여 또는 Word 파일로 위장한 VBS 스크립트일 수도 있습니다. 이벤트 로그에서 최근 활동을 살펴보는 것만으로도 쉽게 알아낼 수 있습니다. Windows하지만 이건 정말 골칫거리입니다. 다행히 마이크로소프트는 공격 분석을 훨씬 쉽게 해주는 Sysmon을 개발했습니다.

Sysmon 로그에 표시되는 위협의 기본 아이디어를 이해하고 싶으십니까? 가이드 다운로드 감시 수단으로서의 WMI 이벤트 그리고 내부자가 다른 직원을 은밀하게 감시할 수 있는 방법을 깨닫게 됩니다. 이벤트 로그를 사용하는 데 있어 가장 큰 문제는 바로 이것입니다. Windows 문제는 상위 프로세스에 대한 정보가 부족하여 프로세스 계층 구조를 파악할 수 없다는 점입니다. 반면 Sysmon 로그 항목에는 상위 프로세스 ID, 이름, 실행 중인 명령줄이 포함되어 있습니다. 마이크로소프트, 고맙습니다.

시리즈의 첫 번째 부분에서는 Sysmon의 기본 정보로 무엇을 할 수 있는지 살펴보겠습니다. XNUMX부에서는 상위 프로세스 정보를 최대한 활용하여 위협 그래프라고 하는 보다 복잡한 규정 준수 구조를 만듭니다. 세 번째 부분에서는 위협 그래프를 스캔하여 그래프의 "가중치"를 분석하여 비정상적인 활동을 검색하는 간단한 알고리즘을 살펴보겠습니다. 그리고 결국에는 깔끔한(그리고 이해하기 쉬운) 확률적 위협 탐지 방법을 얻게 될 것입니다.

1부: Sysmon 로그 분석 소개

이벤트 로그의 복잡성을 이해하는 데 무엇이 도움이 될 수 있습니까? 궁극적으로 - SIEM. 이벤트를 정규화하고 후속 분석을 단순화합니다. 하지만 적어도 처음에는 그렇게까지 갈 필요는 없습니다. 처음에는 SIEM의 원리를 이해하기 위해 무료로 제공되는 Sysmon 유틸리티를 사용해 보는 것만으로도 충분합니다. 그리고 그녀는 놀라울 정도로 함께 일하기가 쉽습니다. 계속 힘내세요, 마이크로소프트!

Sysmon에는 어떤 기능이 있나요?

요약하자면, 프로세스에 대한 유용하고 읽기 쉬운 정보를 제공합니다(아래 이미지 참조). 이벤트 로그에서는 찾을 수 없는 유용한 세부 정보가 많이 포함되어 있습니다. Windows하지만 가장 중요한 분야는 다음과 같습니다.

• 프로세스 ID(XNUMX진수가 아닌 XNUMX진수)
• 상위 프로세스 ID
• 프로세스 명령줄
• 상위 프로세스의 명령줄
• 파일 이미지 해시
• 파일 이미지 이름

Sysmon은 장치 드라이버와 서비스로 설치됩니다. - 자세한 내용 여기에. 주요 장점은 로그를 분석하는 기능입니다. 더 경로를 따라 위치한 하나의 이벤트 로그 폴더에 소스, 정보 상관 관계 및 결과 값 출력 마이크로소프트 -> Windows -> Sysmon -> 운영제가 직접 로그를 조사해 본 결과 Windows이런 아찔한 오류들 때문에 저는 PowerShell 로그 폴더와 보안 폴더를 끊임없이 오가며 이벤트 로그를 샅샅이 뒤져 어떻게든 두 폴더의 값들을 연관시키려고 애썼습니다. 결코 쉬운 일이 아니었고, 나중에 깨달았지만 차라리 진통제를 미리 사두는 게 나았을 겁니다.

Sysmon은 기본 프로세스를 이해하는 데 도움이 되는 유용한(또는 공급업체에서 실행 가능한) 정보를 제공함으로써 비약적인 발전을 이루었습니다. 예를 들어 비밀 세션을 시작했습니다. wmiexec이는 네트워크 내에서 내부 정보를 활용하는 사람의 움직임을 시뮬레이션하는 것입니다. 이러한 내용은 이벤트 로그에서 확인할 수 있습니다. Windows:

잡지에서 Windows 일부 프로세스 정보가 표시되긴 하지만 그다지 유용하지 않습니다. 또한 프로세스 ID가 16진수 형식으로 표시됩니다.

해킹의 기본을 이해하고 있는 전문 IT 전문가라면 명령줄을 의심해봐야 한다. cmd.exe를 사용하여 다른 명령을 실행하고 출력을 이상한 이름의 파일로 리디렉션하는 것은 모니터링 및 제어 소프트웨어의 작업과 분명히 유사합니다. 명령 및 제어(C2): 이러한 방식으로 WMI 서비스를 사용하여 의사 셸이 생성됩니다.
이제 상응하는 Sysmon 항목을 살펴보고 얼마나 많은 추가 정보를 제공하는지 살펴보겠습니다.

하나의 스크린샷에 담긴 Sysmon 기능: 읽을 수 있는 형식으로 프로세스에 대한 자세한 정보

명령줄뿐만 아니라 파일 이름, 실행 파일의 경로 등도 볼 수 있습니다. Windows 그것에 대해 알고 있다(“Windows 명령 프로세서", 식별자 부모의 프로세스, 명령줄 부모의, cmd 셸을 시작했으며 상위 프로세스의 실제 파일 이름도 포함됩니다. 드디어 모든 것이 한곳에!
Sysmon 로그를 통해 우리는 "원시" 로그에서 본 의심스러운 명령줄이 직원의 정상적인 업무 결과가 아닐 가능성이 높다는 결론을 내릴 수 있습니다. 이와는 반대로 이는 C2와 유사한 프로세스(앞서 언급한 wmiexec)에 의해 생성되었으며 WMI 서비스 프로세스(WmiPrvSe)에 의해 직접 생성되었습니다. 이제 원격 공격자나 내부자가 기업 인프라를 테스트하고 있다는 표시가 생겼습니다.

Get-Sysmonlog 소개

물론 Sysmon이 로그를 한 곳에 모아두면 좋습니다. 그러나 예를 들어 PowerShell 명령을 통해 프로그래밍 방식으로 개별 로그 필드에 액세스할 수 있다면 훨씬 더 좋을 것입니다. 이 경우 잠재적 위협 검색을 자동화하는 작은 PowerShell 스크립트를 작성할 수 있습니다!
나는 그런 생각을 가진 최초의 사람이 아니 었습니다. 그리고 일부 포럼 게시물과 GitHub에서 프로젝트 PowerShell을 사용하여 Sysmon 로그를 구문 분석하는 방법은 이미 설명되었습니다. 내 경우에는 각 Sysmon 필드에 대해 별도의 구문 분석 스크립트 줄을 작성하지 않아도 되도록 하고 싶었습니다. 그래서 게으른 사람의 원리를 이용했고, 결과적으로 뭔가 재미있는 게 나온 것 같아요.
첫 번째 중요한 점은 팀의 능력입니다. Get-Win 이벤트 Sysmon 로그를 읽고, 필요한 이벤트를 필터링하고, 다음과 같이 PS 변수에 결과를 출력합니다.

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

$events 배열의 첫 번째 요소인 $events[0].Message에 내용을 표시하여 명령을 직접 테스트하려는 경우 매우 간단한 형식의 일련의 텍스트 문자열이 출력될 수 있습니다. Sysmon 필드, 콜론, 값 자체입니다.

만세! Sysmon 로그를 JSON 지원 형식으로 출력

당신도 나와 같은 생각을 하고 있나요? 조금 더 노력하면 출력을 JSON 형식 문자열로 변환한 다음 강력한 명령을 사용하여 PS 개체에 직접 로드할 수 있습니다. 변환에서-Json .
다음 부분에서는 변환을 위한 PowerShell 코드를 보여 드리겠습니다. 매우 간단합니다. 지금은 PS 모듈로 설치한 get-sysmonlogs라는 새 명령으로 무엇을 할 수 있는지 살펴보겠습니다.
불편한 이벤트 로그 인터페이스를 통해 Sysmon 로그 분석에 대해 자세히 알아보는 대신 PowerShell 세션에서 직접 증분 활동을 손쉽게 검색하고 PS 명령을 사용할 수 있습니다. 어디에 (별칭 – “?”) 검색 결과를 줄입니다.

WMI를 통해 실행되는 cmd 셸 목록입니다. 자체 Get-Sysmonlogs 팀을 통해 저렴한 비용으로 위협 분석

기이! 마치 데이터베이스인 것처럼 Sysmon 로그를 폴링하는 도구를 만들었습니다. 우리 기사에서 EQL 비록 공식적으로는 여전히 실제 SQL과 유사한 인터페이스를 통해 이 기능이 설명된 멋진 유틸리티에 의해 수행된다는 점에 주목했습니다. 응, EQL 우아한, 그러나 세 번째 부분에서 다루겠습니다.

Sysmon 및 그래프 분석

잠시 뒤로 물러나서 우리가 방금 만든 것을 생각해 봅시다. 기본적으로 우리는 이제 이벤트 데이터베이스를 갖게 되었습니다. WindowsPowerShell을 통해 접근할 수 있습니다. 앞서 언급했듯이 ParentProcessId를 통해 레코드 간에 연결 또는 관계가 있으므로 전체 프로세스 계층 구조를 검색할 수 있습니다.

시리즈를 읽어보셨다면 "찾기 어려운 악성코드의 모험" 해커들은 각 프로세스가 고유한 작은 역할을 수행하고 다음 단계를 위한 발판을 준비하는 복잡한 다단계 공격을 만드는 것을 좋아합니다. 단순히 "원시" 로그에서 이러한 항목을 파악하는 것은 극히 어렵습니다.
그러나 Get-Sysmonlogs 명령과 나중에 텍스트(물론 그래프)에서 살펴보게 될 추가 데이터 구조를 사용하면 위협을 탐지할 수 있는 실용적인 방법이 있습니다. 이를 위해서는 올바른 정점 검색만 수행하면 됩니다.
DYI 블로그 프로젝트에서 항상 그렇듯이 소규모 위협의 세부 정보를 더 많이 분석할수록 기업 수준에서 위협 탐지가 얼마나 복잡한지 더 많이 깨닫게 될 것입니다. 그리고 이러한 인식은 극도로 중요한 점.

우리는 기사의 두 번째 부분에서 첫 번째 흥미로운 합병증에 직면하게 될 것입니다. 여기에서 Sysmon 이벤트를 훨씬 더 복잡한 구조로 서로 연결하기 시작할 것입니다.

출처 : habr.com