Ev gotar beşa yekem a rêzenivîsê ye li ser analîza gefa Sysmon. Hemû beşên din ên rêzê:
Beş 1: Destpêka Analîza Têketinê ya Sysmon (em li vir in)
Beş 2: Bikaranîna Daneyên Bûyera Sysmon ji bo Naskirina Tehdîdan
Beş 3. Analîzek kûr a xetereyên Sysmon bi karanîna grafikan
Ger hûn di ewlehiya agahdariyê de dixebitin, dibe ku hûn pir caran neçar in ku êrîşên domdar fam bikin. Ger çavê we jixwe hînkirî hebe, hûn dikarin li çalakiya ne-standard di têketinên nepêvajokirî yên "xav" de bigerin - bibêjin, nivîsarek PowerShell-ê dimeşîne. an skrîptek VBS ku xwe wekî pelek Word-ê xuya dike - bi tenê çalakiya herî dawî ya di têketina bûyera Windows-ê de digere. Lê ev bi rastî serêşiyek mezin e. Xwezî, Microsoft Sysmon afirand, ku analîza êrîşê pir hêsantir dike.
Ma hûn dixwazin ramanên bingehîn ên li pişt xetereyên ku di têketina Sysmon de têne xuyang kirin fam bikin? Rêberê me dakêşin û hûn fêhm dikin ka hundurîn çawa dikarin bi veşartî karmendên din temaşe bikin. Pirsgirêka sereke ya xebata bi têketina bûyera Windows-ê re nebûna agahdariya li ser pêvajoyên dêûbav e, yanî. ne mimkûn e ku mirov hiyerarşiya pêvajoyan jê fêm bike. Ji hêla din ve, navnîşên têketinê yên Sysmon, nasnameya pêvajoya dêûbav, navê wê, û rêzika fermanê ya ku were destpêkirin vedihewîne. Spas, Microsoft.
Di beşa yekem a rêzenivîsa me de, em ê li ser tiştên ku hûn dikarin bi agahdariya bingehîn ji Sysmon re bikin bibînin. Di Beşa XNUMX-ê de, em ê ji agahdariya pêvajoya dêûbav bi tevahî sûd werbigirin da ku strukturên lihevhatinê yên tevlihevtir ku wekî grafikên xetereyê têne zanîn biafirînin. Di beşa sêyemîn de, em ê li algorîtmayek hêsan binêrin ku grafiyek xetereyê dişoxilîne da ku bi analîzkirina "giraniya" grafîkê li çalakiya neasayî bigere. Û di dawiyê de, hûn ê bi rêbazek vedîtina xetera îhtîmalî ya paqij (û têgihîştî) werin xelat kirin.
Beş 1: Destpêka Analîza Têketinê ya Sysmon
Çi dikare ji we re bibe alîkar ku hûn tevliheviyên têketina bûyerê fam bikin? Di dawiyê de - SIEM. Ew bûyeran normal dike û analîza wan a paşîn hêsan dike. Lê ne hewce ye ku em ewqas dûr biçin, bi kêmanî ne di destpêkê de. Di destpêkê de, ji bo têgihîştina prensîbên SIEM-ê, ew ê bes be ku hûn karûbarek bêpere ya Sysmon biceribînin. Û karê wê ecêb hêsan e. Berdewam bike, Microsoft!
Çi taybetmendiyên Sysmon hene?
Bi kurtasî - agahdariya kêrhatî û xwendinê li ser pêvajoyên (wêneyên jêrîn binêrin). Hûn ê komek hûrguliyên bikêr bibînin ku di Têketina Bûyera Windows-ê de ne, lê ya herî girîng ev in:
- Nasnameya pêvajoyê (bi dehan, ne hex!)
- Nasnameya pêvajoya dêûbav
- Rêza fermana pêvajoyê
- Rêza fermanê ya pêvajoya dêûbav
- Pelê pelê wêneyê haş
- Navên wêneyê pelan
Sysmon hem wekî ajokerek cîhazê û hem jî wekî karûbar tête saz kirin - bêtir agahdarî Avantaja wê ya sereke şiyana analîzkirina têketinên ji ye piran çavkanî, pêwendiya agahdarî û derketina nirxên encam li yek peldanka têketina bûyerê ya ku li ser rêyê ye Microsoft -> Windows -> Sysmon -> Operasyonel. Di vekolînên xwe yên porê xwe yên li ser têketinên Windows-ê de, min dît ku ez bi domdarî neçar bûm ku di navbera, bêje, peldanka têketinên PowerShell û peldanka Ewlekariyê de biguhezînim, di nav deftera bûyeran de di nav hewldanek wêrek de ku bi rengekî nirxan di navbera her duyan de têkildar bikim. . Ev qet karek hêsan e, û wekî ku min paşê fêm kir, çêtir bû ku tavilê aspirin berhev bikim.
Sysmon bi peydakirina agahdariya bikêr (an wekî ku firoşkar dixwazin bibêjin, kirdar) pêvekek quantum ber bi pêş ve dikişîne da ku alîkariya fêmkirina pêvajoyên bingehîn bike. Mînakî, min danişînek veşartî dest pê kir , simulasyona tevgera hundurê jîrek di nav torê de. Ya ku hûn ê di têketina bûyera Windows-ê de bibînin ev e:
Têketina Windows-ê di derheqê pêvajoyê de hin agahdarî nîşan dide, lê ew kêm bikar tîne. Nasnameyên pêvajoyê yên zêde di hexadecimal de???
Ji bo pisporek IT-ya profesyonel ku bi têgihîştina bingehên hackkirinê re, divê rêzika fermanê gumanbar be. Bikaranîna cmd.exe ji bo ku dûv re fermanek din bixebitîne û encam berbi pelek bi navek xerîb vegerîne, eşkere dişibihe kiryarên nermalava çavdêrî û kontrolê. : Bi vî rengî, bi karanîna karûbarên WMI ve, pseudo-shellek tê afirandin.
Naha em li hevbera têketina Sysmon mêze bikin, û bala xwe bidin ka ew çiqas agahdariya zêde dide me:
Sysmon di yek dîmenê de taybetmendî dike: agahdariya berfireh di derbarê pêvajoyê de bi rengek xwendinê
Hûn ne tenê rêzika fermanê, lê di heman demê de navê pelê jî, riya serîlêdana darvekirî, tiştê ku Windows li ser wê dizane ("Pêvajoya Fermana Windows"), nasnav jî dibînin. dê û bav pêvajo, rêzika fermanê dê û bav, ku şêlê cmd, û hem jî navê pelê rastîn a pêvajoya dêûbav dest pê kir. Her tişt li yek cîhek, di dawiyê de!
Ji qeyda Sysmon em dikarin encam bidin ku bi îhtimalek mezin ev rêzika fermanê ya gumanbar a ku me di têketinên "raw" de dît ne encama xebata normal a karmend e. Berevajî vê yekê, ew ji hêla pêvajoyek mîna C2-ê ve hate afirandin - wmiexec, wekî ku min berê behs kir - û rasterast ji hêla pêvajoya karûbarê WMI (WmiPrvSe) ve hatî çêkirin. Naha me nîşanek heye ku êrîşkarek dûr an hundurîn binesaziya pargîdanî diceribîne.
Danasîna Get-Sysmonlogs
Bê guman ew pir xweş e dema ku Sysmon têketin li yek cîhek datîne. Lê belkî hê çêtir be ku em bi bernameyê xwe bigihînin zeviyên têketinê yên kesane - mînakî, bi fermanên PowerShell. Di vê rewşê de, hûn dikarin skrîptek piçûk a PowerShell binivîsin ku dê lêgerîna xetereyên potansiyel bixweber bike!
Ez ne yê pêşî bûm ku xwedî fikrek wisa bû. Û baş e ku di hin postên forumê û GitHub de Berê hatiye ravekirin ka meriv çawa PowerShell bikar tîne da ku têketina Sysmon parsek bike. Di doza min de, min dixwest ku ji bo her qada Sysmon xêzên veqetandî yên parskirinê nenivîsim. Ji ber vê yekê min prensîba merivê lazy bikar anî û ez difikirim ku di encamê de tiştek balkêş derketim.
Xala yekem a girîng qabiliyeta tîmê ye têketinên Sysmon bixwînin, bûyerên pêwîst fîlter bikin û encamê ji guherbara PS-ê derxînin, mîna vir:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Heke hûn dixwazin fermanê bi xwe biceribînin, bi nîşandana naverokê di hêmana yekem a rêzika $events, $events[0] de. Peyam, encam dikare rêzek rêzikên nivîsê bi formatek pir hêsan be: navê Qada Sysmon, kolonek, û paşê nirx bixwe.
Hooray! Têketina Sysmon di forma JSON-amade de derdixe
Ma hûn jî wekî min heman tiştî difikirin? Bi hewildanek piçûktir, hûn dikarin derketinê veguhezînin rêzek formatkirî JSON û dûv re wê rasterast bi karanîna fermanek hêzdar bar bikin nav tiştek PS. .
Ez ê koda PowerShell-ê ji bo veguheztinê nîşan bidim - ew pir hêsan e - di beşa pêş de. Naha, em bibînin ka emrê min ê nû bi navê get-sysmonlogs, ku min wekî modulek PS-ê saz kir, dikare çi bike.
Li şûna ku em bi navgîniya têlefonek bûyera neguncandî ve di analîza têketinê ya Sysmon-ê de kûr bikevin, em dikarin bi hêsanî rasterast ji danişînek PowerShell li çalakiya zêde bigerin, û her weha emrê PS-ê bikar bînin. (navdêr - "?") ji bo kurtkirina encamên lêgerînê:
Lîsteya şêlên cmd yên ku bi WMI ve hatî destpêkirin. Bi Tîma Xweya Get-Sysmonlogs re Analîza Tehdîdê li ser Erzan
Pirxweş! Min amûrek çêkir ku ji têketina Sysmon re anket bike mîna ku ew databasek be. Di gotara me de li ser Hat destnîşan kirin ku ev fonksiyon dê ji hêla karûbarek xweş a ku di wê de hatî destnîşan kirin ve were kirin, her çend bi fermî hîn jî bi navgînek rastîn a mîna SQL-ê ve were kirin. Erê, EQL çeleng, lê em ê di beşa sêyemîn de li ser wê bisekinin.
Analîza Sysmon û grafiyê
Ka em paşde gav bavêjin û li ser tiştên ku me nû afirandine bifikirin. Di bingeh de, me naha databasek bûyera Windows-ê heye ku bi navgîniya PowerShell ve tê gihîştin. Wekî ku min berê jî behs kir, di navbera tomaran de - bi navgîniya ParentProcessId- ve girêdan an têkilî hene - ji ber vê yekê hiyerarşiyek bêkêmasî ya pêvajoyan dikare were bidestxistin.
Ger we rêzefîlm xwendibe hûn dizanin ku hacker hez dikin ku êrişên pir-qonaxa tevlihev biafirînin, ku tê de her pêvajo rola xwe ya piçûk dilîze û ji bo gava pêş de biharek amade dike. Pir dijwar e ku meriv tiştên weha bi tenê ji têketina "xew" bigire.
Lê digel fermana min a Get-Sysmonlogs û avahiyek daneya zêde ya ku em ê paşê di nivîsê de lê binihêrin (bê guman, grafîkek), me rêyek pratîkî heye ku tehdîtan tesbît bike - ku tenê hewce dike ku lêgerîna vertexê ya rast bike.
Mîna her gav bi projeyên meyên bloga DYI re, her ku hûn bêtir li ser analîzkirina hûrguliyên tehdîdan di astek piçûk de bixebitin, ew qas bêtir hûn ê fam bikin ka di asta pargîdaniyê de tespîtkirina xeterê çiqas tevlihev e. Û ev hişmendî pir zêde ye xala girîng.
Em ê di beşa duyemîn a gotarê de bi yekem tevliheviyên balkêş re rû bi rû bimînin, ku em ê dest pê bikin ku bûyerên Sysmon bi hevûdu re di nav strukturên pir tevlihevtir de ve girêbidin.
Source: www.habr.com