Rêbernameya Analîza Tehdîda Sysmon, Beş 1

Rêbernameya Analîza Tehdîda Sysmon, Beş 1

Ev gotar beşa yekem a rêzenivîsê ye li ser analîza gefa Sysmon. Hemû beşên din ên rêzê:

Beş 1: Destpêka Analîza Têketinê ya Sysmon (em li vir in)
Beş 2: Bikaranîna Daneyên Bûyera Sysmon ji bo Naskirina Tehdîdan
Beş 3. Analîzek kûr a xetereyên Sysmon bi karanîna grafikan

Ger hûn di ewlehiya agahdariyê de dixebitin, dibe ku hûn pir caran neçar in ku êrîşên domdar fam bikin. Ger çavê we jixwe hînkirî hebe, hûn dikarin li çalakiya ne-standard di têketinên nepêvajokirî yên "xav" de bigerin - bibêjin, nivîsarek PowerShell-ê dimeşîne. bi fermana DownloadString an jî skrîpteke VBS ku wekî pelê Wordê hatiye veşartin - bi tenê bi gerandina çalakiya herî dawî di têketina bûyerê de WindowsLê ev bi rastî jî serêşiyek e. Bi xêra Xwedê, Microsoft Sysmon çêkir, ku analîzkirina êrîşan pir hêsantir dike.

Ma hûn dixwazin ramanên bingehîn ên li pişt xetereyên ku di têketina Sysmon de têne xuyang kirin fam bikin? Rêberê me dakêşin Bûyerên WMI wekî navgînek sîxuriyê û hûn fêm dikin ka kesên hundir çawa dikarin bi dizî karmendên din bişopînin. Pirsgirêka sereke ya bi xebitandina bi qeyda bûyeran re Windows Kêşe nebûna agahiyên li ser pêvajoyên dêûbav e, ev tê vê wateyê ku fêmkirina hiyerarşiya pêvajoyan ne mumkin e. Ji aliyê din ve, tomarên têketina Sysmonê nasnameya pêvajoya dêûbav, navê wê û rêza fermanê ya ku tê xebitandin dihewîne. Spas dikim, Microsoft.

Di beşa yekem a rêzenivîsa me de, em ê li ser tiştên ku hûn dikarin bi agahdariya bingehîn ji Sysmon re bikin bibînin. Di Beşa XNUMX-ê de, em ê ji agahdariya pêvajoya dêûbav bi tevahî sûd werbigirin da ku strukturên lihevhatinê yên tevlihevtir ku wekî grafikên xetereyê têne zanîn biafirînin. Di beşa sêyemîn de, em ê li algorîtmayek hêsan binêrin ku grafiyek xetereyê dişoxilîne da ku bi analîzkirina "giraniya" grafîkê li çalakiya neasayî bigere. Û di dawiyê de, hûn ê bi rêbazek vedîtina xetera îhtîmalî ya paqij (û têgihîştî) werin xelat kirin.

Beş 1: Destpêka Analîza Têketinê ya Sysmon

Çi dikare ji we re bibe alîkar ku hûn tevliheviyên têketina bûyerê fam bikin? Di dawiyê de - SIEM. Ew bûyeran normal dike û analîza wan a paşîn hêsan dike. Lê ne hewce ye ku em ewqas dûr biçin, bi kêmanî ne di destpêkê de. Di destpêkê de, ji bo têgihîştina prensîbên SIEM-ê, ew ê bes be ku hûn karûbarek bêpere ya Sysmon biceribînin. Û karê wê ecêb hêsan e. Berdewam bike, Microsoft!

Çi taybetmendiyên Sysmon hene?

Bi kurtasî, ew agahdariyên kêrhatî û xwendî li ser pêvajoyan peyda dike (wêneyên li jêr bibînin). Hûn ê gelek hûrguliyên kêrhatî bibînin ku di qeyda bûyeran de nehatine dîtin. Windows, lê ya herî girîng ev warên jêrîn in:

  • Nasnameya pêvajoyê (bi dehan, ne hex!)
  • Nasnameya pêvajoya dêûbav
  • Rêza fermana pêvajoyê
  • Rêza fermanê ya pêvajoya dêûbav
  • Pelê pelê wêneyê haş
  • Navên wêneyê pelan

Sysmon hem wekî ajokerek cîhazê û hem jî wekî karûbar tête saz kirin - bêtir agahdarî here. Avantaja wê ya sereke şiyana analîzkirina têketinên ji ye piran çavkanî, pêwendiya agahdarî û derketina nirxên encam li yek peldanka têketina bûyerê ya ku li ser rêyê ye Microsoft -> Windows -> Sysmon -> OperasyonelDi lêkolînên xwe yên tomarê de WindowsXeletiyên wekî van ên ku mirov aciz dike, min neçar kirin ku bi berdewamî di navbera, mînakî, peldanka tomarên PowerShell û peldanka Ewlehiyê de biguherim, di nav tomarên bûyeran de bigerim da ku bi rengekî nirxên di navbera wan de bi hev ve girêbidim. Ev qet karekî hêsan nîne, û wekî ku min paşê fêm kir, çêtir bû ku tavilê aspirîn bikirin.

Sysmon bi peydakirina agahdariya bikêr (an wekî ku firoşkar dixwazin bibêjin, kirdar) pêvekek quantum ber bi pêş ve dikişîne da ku alîkariya fêmkirina pêvajoyên bingehîn bike. Mînakî, min danişînek veşartî dest pê kir wmiexec, tevgera kesekî hundirîn ê jîr di nav torê de simul dike. Ev e tiştê ku hûn ê di qeyda bûyeran de bibînin. Windows:

Rêbernameya Analîza Tehdîda Sysmon, Beş 1

Di kovarê de Windows Hin agahiyên pêvajoyê xuya dibin, lê ne pir bikêrhatî ne. Her wiha, nasnameyên pêvajoyê bi şiklê heksadesimal?

Ji bo pisporek IT-ya profesyonel ku bi têgihîştina bingehên hackkirinê re, divê rêzika fermanê gumanbar be. Bikaranîna cmd.exe ji bo ku dûv re fermanek din bixebitîne û encam berbi pelek bi navek xerîb vegerîne, eşkere dişibihe kiryarên nermalava çavdêrî û kontrolê. ferman-û-kontrol (C2): Bi vî rengî, bi karanîna karûbarên WMI ve, pseudo-shellek tê afirandin.
Naha em li hevbera têketina Sysmon mêze bikin, û bala xwe bidin ka ew çiqas agahdariya zêde dide me:

Rêbernameya Analîza Tehdîda Sysmon, Beş 1

Sysmon di yek dîmenê de taybetmendî dike: agahdariya berfireh di derbarê pêvajoyê de bi rengek xwendinê

Hûn ne tenê xeta fermanê dibînin, lê di heman demê de navê pelê, rêya berbi sepana bicîhkirî jî dibînin, ku Windows di derbarê wê de dizane ("Windows "Prosesora Fermanan", nasname dê û bav pêvajo, rêzika fermanê dê û bav, ku şêlê cmd, û hem jî navê pelê rastîn a pêvajoya dêûbav dest pê kir. Her tişt li yek cîhek, di dawiyê de!
Ji qeyda Sysmon em dikarin encam bidin ku bi îhtimalek mezin ev rêzika fermanê ya gumanbar a ku me di têketinên "raw" de dît ne encama xebata normal a karmend e. Berevajî vê yekê, ew ji hêla pêvajoyek mîna C2-ê ve hate afirandin - wmiexec, wekî ku min berê behs kir - û rasterast ji hêla pêvajoya karûbarê WMI (WmiPrvSe) ve hatî çêkirin. Naha me nîşanek heye ku êrîşkarek dûr an hundurîn binesaziya pargîdanî diceribîne.

Danasîna Get-Sysmonlogs

Bê guman ew pir xweş e dema ku Sysmon têketin li yek cîhek datîne. Lê belkî hê çêtir be ku em bi bernameyê xwe bigihînin zeviyên têketinê yên kesane - mînakî, bi fermanên PowerShell. Di vê rewşê de, hûn dikarin skrîptek piçûk a PowerShell binivîsin ku dê lêgerîna xetereyên potansiyel bixweber bike!
Ez ne yê pêşî bûm ku xwedî fikrek wisa bû. Û baş e ku di hin postên forumê û GitHub de projeyên Berê hatiye ravekirin ka meriv çawa PowerShell bikar tîne da ku têketina Sysmon parsek bike. Di doza min de, min dixwest ku ji bo her qada Sysmon xêzên veqetandî yên parskirinê nenivîsim. Ji ber vê yekê min prensîba merivê lazy bikar anî û ez difikirim ku di encamê de tiştek balkêş derketim.
Xala yekem a girîng qabiliyeta tîmê ye Get-WinEvent têketinên Sysmon bixwînin, bûyerên pêwîst fîlter bikin û encamê ji guherbara PS-ê derxînin, mîna vir:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

Heke hûn dixwazin fermanê bi xwe biceribînin, bi nîşandana naverokê di hêmana yekem a rêzika $events, $events[0] de. Peyam, encam dikare rêzek rêzikên nivîsê bi formatek pir hêsan be: navê Qada Sysmon, kolonek, û paşê nirx bixwe.

Rêbernameya Analîza Tehdîda Sysmon, Beş 1

Hooray! Têketina Sysmon di forma JSON-amade de derdixe

Ma hûn jî wekî min heman tiştî difikirin? Bi hewildanek piçûktir, hûn dikarin derketinê veguhezînin rêzek formatkirî JSON û dûv re wê rasterast bi karanîna fermanek hêzdar bar bikin nav tiştek PS. ConvertFrom-Json .
Ez ê koda PowerShell-ê ji bo veguheztinê nîşan bidim - ew pir hêsan e - di beşa pêş de. Naha, em bibînin ka emrê min ê nû bi navê get-sysmonlogs, ku min wekî modulek PS-ê saz kir, dikare çi bike.
Li şûna ku em bi navgîniya têlefonek bûyera neguncandî ve di analîza têketinê ya Sysmon-ê de kûr bikevin, em dikarin bi hêsanî rasterast ji danişînek PowerShell li çalakiya zêde bigerin, û her weha emrê PS-ê bikar bînin. ko (navdêr - "?") ji bo kurtkirina encamên lêgerînê:

Rêbernameya Analîza Tehdîda Sysmon, Beş 1

Lîsteya şêlên cmd yên ku bi WMI ve hatî destpêkirin. Bi Tîma Xweya Get-Sysmonlogs re Analîza Tehdîdê li ser Erzan

Pirxweş! Min amûrek çêkir ku ji têketina Sysmon re anket bike mîna ku ew databasek be. Di gotara me de li ser EQL Hat destnîşan kirin ku ev fonksiyon dê ji hêla karûbarek xweş a ku di wê de hatî destnîşan kirin ve were kirin, her çend bi fermî hîn jî bi navgînek rastîn a mîna SQL-ê ve were kirin. Erê, EQL çeleng, lê em ê di beşa sêyemîn de li ser wê bisekinin.

Analîza Sysmon û grafiyê

Werin em gavek paşde bavêjin û li ser tiştên ku me nû afirandine bifikirin. Di bingeh de, naha databasa bûyeran li cem me heye. Windows, bi rêya PowerShell-ê ve tê gihîştin. Wekî ku min berê jî destnîşan kir, di navbera tomaran de girêdan an têkilî hene—bi rêya ParentProcessId—ji ber vê yekê hûn dikarin hiyerarşiya pêvajoyê ya tevahî bistînin.

Ger we rêzefîlm xwendibe "Serpêhatiyên Malwareya Elusive" hûn dizanin ku hacker hez dikin ku êrişên pir-qonaxa tevlihev biafirînin, ku tê de her pêvajo rola xwe ya piçûk dilîze û ji bo gava pêş de biharek amade dike. Pir dijwar e ku meriv tiştên weha bi tenê ji têketina "xew" bigire.
Lê digel fermana min a Get-Sysmonlogs û avahiyek daneya zêde ya ku em ê paşê di nivîsê de lê binihêrin (bê guman, grafîkek), me rêyek pratîkî heye ku tehdîtan tesbît bike - ku tenê hewce dike ku lêgerîna vertexê ya rast bike.
Mîna her gav bi projeyên meyên bloga DYI re, her ku hûn bêtir li ser analîzkirina hûrguliyên tehdîdan di astek piçûk de bixebitin, ew qas bêtir hûn ê fam bikin ka di asta pargîdaniyê de tespîtkirina xeterê çiqas tevlihev e. Û ev hişmendî pir zêde ye xala girîng.

Em ê di beşa duyemîn a gotarê de bi yekem tevliheviyên balkêş re rû bi rû bimînin, ku em ê dest pê bikin ku bûyerên Sysmon bi hevûdu re di nav strukturên pir tevlihevtir de ve girêbidin.

Source: www.habr.com

Ji bo malperên bi parastina DDoS, serverên VPS VDS mêvandariya pêbawer bikirin 🔥 Hostinga malperê ya pêbawer bi parastina DDoS, serverên VPS VDS bikirin | ProHoster