Ev gotar beşa yekem a rêzenivîsê ye li ser analîza gefa Sysmon. Hemû beşên din ên rêzê:
Beş 1: Destpêka Analîza Têketinê ya Sysmon (em li vir in)
Beş 2: Bikaranîna Daneyên Bûyera Sysmon ji bo Naskirina Tehdîdan
Beş 3. Analîzek kûr a xetereyên Sysmon bi karanîna grafikan
Ger hûn di ewlehiya agahdariyê de dixebitin, dibe ku hûn pir caran neçar in ku êrîşên domdar fam bikin. Ger çavê we jixwe hînkirî hebe, hûn dikarin li çalakiya ne-standard di têketinên nepêvajokirî yên "xav" de bigerin - bibêjin, nivîsarek PowerShell-ê dimeşîne.
Ma hûn dixwazin ramanên bingehîn ên li pişt xetereyên ku di têketina Sysmon de têne xuyang kirin fam bikin? Rêberê me dakêşin
Di beşa yekem a rêzenivîsa me de, em ê li ser tiştên ku hûn dikarin bi agahdariya bingehîn ji Sysmon re bikin bibînin. Di Beşa XNUMX-ê de, em ê ji agahdariya pêvajoya dêûbav bi tevahî sûd werbigirin da ku strukturên lihevhatinê yên tevlihevtir ku wekî grafikên xetereyê têne zanîn biafirînin. Di beşa sêyemîn de, em ê li algorîtmayek hêsan binêrin ku grafiyek xetereyê dişoxilîne da ku bi analîzkirina "giraniya" grafîkê li çalakiya neasayî bigere. Û di dawiyê de, hûn ê bi rêbazek vedîtina xetera îhtîmalî ya paqij (û têgihîştî) werin xelat kirin.
Beş 1: Destpêka Analîza Têketinê ya Sysmon
Çi dikare ji we re bibe alîkar ku hûn tevliheviyên têketina bûyerê fam bikin? Di dawiyê de - SIEM. Ew bûyeran normal dike û analîza wan a paşîn hêsan dike. Lê ne hewce ye ku em ewqas dûr biçin, bi kêmanî ne di destpêkê de. Di destpêkê de, ji bo têgihîştina prensîbên SIEM-ê, ew ê bes be ku hûn karûbarek bêpere ya Sysmon biceribînin. Û karê wê ecêb hêsan e. Berdewam bike, Microsoft!
Çi taybetmendiyên Sysmon hene?
Bi kurtasî - agahdariya kêrhatî û xwendinê li ser pêvajoyên (wêneyên jêrîn binêrin). Hûn ê komek hûrguliyên bikêr bibînin ku di Têketina Bûyera Windows-ê de ne, lê ya herî girîng ev in:
- Nasnameya pêvajoyê (bi dehan, ne hex!)
- Nasnameya pêvajoya dêûbav
- Rêza fermana pêvajoyê
- Rêza fermanê ya pêvajoya dêûbav
- Pelê pelê wêneyê haş
- Navên wêneyê pelan
Sysmon hem wekî ajokerek cîhazê û hem jî wekî karûbar tête saz kirin - bêtir agahdarî
Sysmon bi peydakirina agahdariya bikêr (an wekî ku firoşkar dixwazin bibêjin, kirdar) pêvekek quantum ber bi pêş ve dikişîne da ku alîkariya fêmkirina pêvajoyên bingehîn bike. Mînakî, min danişînek veşartî dest pê kir
Têketina Windows-ê di derheqê pêvajoyê de hin agahdarî nîşan dide, lê ew kêm bikar tîne. Nasnameyên pêvajoyê yên zêde di hexadecimal de???
Ji bo pisporek IT-ya profesyonel ku bi têgihîştina bingehên hackkirinê re, divê rêzika fermanê gumanbar be. Bikaranîna cmd.exe ji bo ku dûv re fermanek din bixebitîne û encam berbi pelek bi navek xerîb vegerîne, eşkere dişibihe kiryarên nermalava çavdêrî û kontrolê.
Naha em li hevbera têketina Sysmon mêze bikin, û bala xwe bidin ka ew çiqas agahdariya zêde dide me:
Sysmon di yek dîmenê de taybetmendî dike: agahdariya berfireh di derbarê pêvajoyê de bi rengek xwendinê
Hûn ne tenê rêzika fermanê, lê di heman demê de navê pelê jî, riya serîlêdana darvekirî, tiştê ku Windows li ser wê dizane ("Pêvajoya Fermana Windows"), nasnav jî dibînin. dê û bav pêvajo, rêzika fermanê dê û bav, ku şêlê cmd, û hem jî navê pelê rastîn a pêvajoya dêûbav dest pê kir. Her tişt li yek cîhek, di dawiyê de!
Ji qeyda Sysmon em dikarin encam bidin ku bi îhtimalek mezin ev rêzika fermanê ya gumanbar a ku me di têketinên "raw" de dît ne encama xebata normal a karmend e. Berevajî vê yekê, ew ji hêla pêvajoyek mîna C2-ê ve hate afirandin - wmiexec, wekî ku min berê behs kir - û rasterast ji hêla pêvajoya karûbarê WMI (WmiPrvSe) ve hatî çêkirin. Naha me nîşanek heye ku êrîşkarek dûr an hundurîn binesaziya pargîdanî diceribîne.
Danasîna Get-Sysmonlogs
Bê guman ew pir xweş e dema ku Sysmon têketin li yek cîhek datîne. Lê belkî hê çêtir be ku em bi bernameyê xwe bigihînin zeviyên têketinê yên kesane - mînakî, bi fermanên PowerShell. Di vê rewşê de, hûn dikarin skrîptek piçûk a PowerShell binivîsin ku dê lêgerîna xetereyên potansiyel bixweber bike!
Ez ne yê pêşî bûm ku xwedî fikrek wisa bû. Û baş e ku di hin postên forumê û GitHub de
Xala yekem a girîng qabiliyeta tîmê ye
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Heke hûn dixwazin fermanê bi xwe biceribînin, bi nîşandana naverokê di hêmana yekem a rêzika $events, $events[0] de. Peyam, encam dikare rêzek rêzikên nivîsê bi formatek pir hêsan be: navê Qada Sysmon, kolonek, û paşê nirx bixwe.
Hooray! Têketina Sysmon di forma JSON-amade de derdixe
Ma hûn jî wekî min heman tiştî difikirin? Bi hewildanek piçûktir, hûn dikarin derketinê veguhezînin rêzek formatkirî JSON û dûv re wê rasterast bi karanîna fermanek hêzdar bar bikin nav tiştek PS.
Ez ê koda PowerShell-ê ji bo veguheztinê nîşan bidim - ew pir hêsan e - di beşa pêş de. Naha, em bibînin ka emrê min ê nû bi navê get-sysmonlogs, ku min wekî modulek PS-ê saz kir, dikare çi bike.
Li şûna ku em bi navgîniya têlefonek bûyera neguncandî ve di analîza têketinê ya Sysmon-ê de kûr bikevin, em dikarin bi hêsanî rasterast ji danişînek PowerShell li çalakiya zêde bigerin, û her weha emrê PS-ê bikar bînin.
Lîsteya şêlên cmd yên ku bi WMI ve hatî destpêkirin. Bi Tîma Xweya Get-Sysmonlogs re Analîza Tehdîdê li ser Erzan
Pirxweş! Min amûrek çêkir ku ji têketina Sysmon re anket bike mîna ku ew databasek be. Di gotara me de li ser
Analîza Sysmon û grafiyê
Ka em paşde gav bavêjin û li ser tiştên ku me nû afirandine bifikirin. Di bingeh de, me naha databasek bûyera Windows-ê heye ku bi navgîniya PowerShell ve tê gihîştin. Wekî ku min berê jî behs kir, di navbera tomaran de - bi navgîniya ParentProcessId- ve girêdan an têkilî hene - ji ber vê yekê hiyerarşiyek bêkêmasî ya pêvajoyan dikare were bidestxistin.
Ger we rêzefîlm xwendibe
Lê digel fermana min a Get-Sysmonlogs û avahiyek daneya zêde ya ku em ê paşê di nivîsê de lê binihêrin (bê guman, grafîkek), me rêyek pratîkî heye ku tehdîtan tesbît bike - ku tenê hewce dike ku lêgerîna vertexê ya rast bike.
Mîna her gav bi projeyên meyên bloga DYI re, her ku hûn bêtir li ser analîzkirina hûrguliyên tehdîdan di astek piçûk de bixebitin, ew qas bêtir hûn ê fam bikin ka di asta pargîdaniyê de tespîtkirina xeterê çiqas tevlihev e. Û ev hişmendî pir zêde ye xala girîng.
Em ê di beşa duyemîn a gotarê de bi yekem tevliheviyên balkêş re rû bi rû bimînin, ku em ê dest pê bikin ku bûyerên Sysmon bi hevûdu re di nav strukturên pir tevlihevtir de ve girêbidin.
Source: www.habr.com