Ity lahatsoratra ity dia ampahany voalohany amin'ny andiany momba ny famakafakana fandrahonana Sysmon. Ny ampahany hafa rehetra amin'ny andiany:
Fizarana 1: Fampidirana ny Sysmon Log Analysis (eto izahay)
Fizarana 2: Fampiasana Sysmon Event Data mba hamantarana ny fandrahonana
Fizarana 3. Famakafakana lalina momba ny fandrahonana Sysmon amin'ny fampiasana grafika
Raha miasa amin'ny fiarovana ny fampahalalam-baovao ianao, dia mety mila mahatakatra ny fanafihana mitohy. Raha efa manana maso voaofana ianao dia afaka mitady hetsika tsy manara-penitra ao amin'ny diary “manta” tsy voavoatra - ohatra, script PowerShell mandeha. na script VBS mody fisie Word - mandehandeha fotsiny amin'ny hetsika farany ao amin'ny diarin'ny hetsika Windows. Fa tena aretin'andoha izany. Soa ihany fa namorona an'i Sysmon i Microsoft, izay manamora kokoa ny fanadihadiana ny fanafihana.
Te hahafantatra ny hevitra fototra ao ambadiky ny fandrahonana aseho ao amin'ny log Sysmon? Ampidino ny torolalanay ary tsapanao ny fomba ahafahan'ny olona ao anatiny mijery an-tsokosoko mpiasa hafa. Ny olana lehibe amin'ny fiaraha-miasa amin'ny Windows log event dia ny tsy fahampian'ny fampahalalana momba ny fizotry ny ray aman-dreny, i.e. tsy azo takarina ny ambaratongam-pizorana avy aminy. Ny fidirana amin'ny log Sysmon, etsy ankilany, dia ahitana ny ID ny fizotran'ny ray aman-dreny, ny anarany, ary ny baikon'ny baiko hatomboka. Misaotra anao, Microsoft.
Ao amin'ny ampahany voalohany amin'ny andian-dahatsoratra, dia hojerentsika izay azonao atao amin'ny fampahalalana fototra avy amin'ny Sysmon. Ao amin'ny Fizarana XNUMX, hanararaotra tanteraka ny fampahalalana momba ny fizotran'ny ray aman-dreny izahay mba hamoronana rafitra fanaraha-maso sarotra kokoa fantatra amin'ny anarana hoe kisary fandrahonana. Ao amin'ny tapany fahatelo, dia hijery algorithm tsotra isika izay mijery tabilao fandrahonana mba hitadiavana hetsika tsy mahazatra amin'ny famakafakana ny "lanja" amin'ny grafika. Ary amin'ny farany dia hahazo valisoa ianao amin'ny fomba fisavana fandrahonana mety (ary azo takarina).
Fizarana 1: Fampidirana ny Sysmon Log Analysis
Inona no afaka manampy anao hahatakatra ny fahasarotan'ny diarin'ny hetsika? Farany - SIEM. Manara-dalàna ny zava-mitranga ary manatsotra ny famakafakana manaraka. Tsy voatery ho lasa lavitra anefa isika, fara faharatsiny, amin’ny voalohany. Tany am-piandohana, mba hahatakarana ny fitsipiky ny SIEM, dia ho ampy ny hanandrana ny fitaovana Sysmon maimaim-poana mahafinaritra. Ary mahagaga fa mora ny miara-miasa aminy. Tohizo izany, Microsoft!
Inona no endri-javatra ananan'i Sysmon?
Raha fintinina - fampahalalana mahasoa sy azo vakiana momba ireo dingana (jereo ny sary etsy ambany). Hahita antsipirian-javatra mahasoa izay tsy ao amin'ny Windows Event Log ianao, fa ny tena zava-dehibe dia ireto sehatra manaraka ireto:
- ID dingana (amin'ny decimal, fa tsy hex!)
- ID fizotry ny ray aman-dreny
- Fitsipika baiko fanodinana
- Fibaikoana ny fizotry ny ray aman-dreny
- Hash sary fisie
- Anaran'ny sary fisie
Sysmon dia napetraka ho toy ny mpamily fitaovana sy ho serivisy - antsipiriany bebe kokoa Ny tombony lehibe ananany dia ny fahaizana mamakafaka ny logs avy maro loharano, fifamatorana ny fampahalalana ary ny vokatra vokarina amin'ny lahatahiry lozisialy iray hita eo amin'ny lalana Microsoft -> Windows -> Sysmon -> Operational. Tamin'ny fanadihadiana nataoko manokana momba ny logs Windows, dia hitako fa tsy maintsy mifamadika eo anelanelan'ny, ohatra, ny lahatahiry logs PowerShell sy ny lahatahiry Security, mamakivaky ny diarin'ny hetsika amin'ny fiezahana mahery vaika hampifandray ny soatoavina eo amin'ny roa. . Tsy mora mihitsy izany, ary araka ny tsapako tatỳ aoriana, dia tsara kokoa ny mitahiry aspirine avy hatrany.
Ny Sysmon dia mitsambikina amin'ny alàlan'ny fanomezana fampahalalana mahasoa (na araka ny tian'ny mpivarotra lazaina, azo atao) mba hanampiana amin'ny fahazoana ireo dingana fototra. Ohatra, nanomboka fivoriana miafina aho , fanaovana simulation ny fihetsehan'ny olon-kendry ao anatin'ny tambajotra. Izao no ho hitanao ao amin'ny lisitry ny hetsika Windows:
Ny diarin'ny Windows dia mampiseho fampahalalana sasantsasany momba ny dingana, saingy tsy dia misy dikany firy izany. Plus process IDs amin'ny hexadecimal???
Ho an'ny matihanina IT matihanina manana fahatakarana ny fototry ny hacking dia tokony hampiahiahy ny andalana baiko. Ny fampiasana cmd.exe mba handefasana baiko hafa ary hamindra ny vokatra amin'ny rakitra misy anarana hafahafa dia mitovitovy amin'ny hetsika fanaraha-maso sy fanaraha-maso. : Amin'izany fomba izany, ny pseudo-shell dia noforonina amin'ny fampiasana serivisy WMI.
Andeha hojerentsika ny mitovy amin'ny fidirana Sysmon, manamarika ny habetsaky ny fampahalalana fanampiny omeny antsika:
Ny endri-javatra Sysmon amin'ny pikantsary iray: fampahalalana amin'ny antsipiriany momba ny dingana amin'ny endrika azo vakiana
Tsy ny baikon'ny baiko ihany no hitanao, fa ny anaran'ny rakitra, ny lalana mankany amin'ny fampiharana azo tanterahina, izay fantatry ny Windows momba izany ("Windows Command Processor"), ny famantarana. ZANAKA dingana, fibaikoana ray aman-dreny, izay namoaka ny akorandriaka cmd, ary koa ny tena anaran-drakitra momba ny fizotry ny ray aman-dreny. Ny zava-drehetra amin'ny toerana iray, farany!
Avy amin'ny log Sysmon dia azontsika atao ny manatsoaka hevitra fa amin'ny ambaratonga avo lenta dia tsy vokatry ny asa mahazatra ataon'ny mpiasa ity andalana baiko mampiahiahy izay hitantsika tao amin'ny logs "manta" ity. Ny mifanohitra amin'izany aza, dia novokarin'ny dingana mitovy amin'ny C2 - wmiexec, araka ny nolazaiko teo aloha - ary navoakan'ny serivisy serivisy WMI (WmiPrvSe). Ankehitriny dia manana famantarana izahay fa misy mpanafika lavitra na olon-kafa manao fitiliana ny fotodrafitrasa orinasa.
Fampahafantarana ny Get-Sysmonlogs
Mazava ho azy fa mahafinaritra rehefa mametraka ny logs amin'ny toerana iray i Sysmon. Saingy mety ho tsara kokoa aza raha afaka miditra amin'ny sehatry ny log tsirairay isika - ohatra, amin'ny alàlan'ny baiko PowerShell. Amin'ity tranga ity, azonao atao ny manoratra script PowerShell kely izay hanara-maso ny fikarohana ireo loza mety hitranga!
Tsy izaho no voalohany nanana hevitra toy izany. Ary tsara izany amin'ny lahatsoratra forum sasany sy GitHub Efa nohazavaina ny fomba fampiasana PowerShell hamakiana ny log Sysmon. Raha ny ahy dia te-hialavitra ny tsy maintsy manoratra andalana misaraka amin'ny script parsing ho an'ny saha Sysmon tsirairay aho. Noho izany dia nampiasa ny fitsipiky ny lehilahy kamo aho ary heveriko fa nahita zavatra mahaliana aho vokatr'izany.
Ny teboka manan-danja voalohany dia ny fahaizan'ny ekipa vakio ny logs Sysmon, sivana ireo hetsika ilaina ary avoaka amin'ny fari-piadidiana PS ny valiny, toy ny eto:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Raha te-hizaha toetra ny baiko ianao, amin'ny alàlan'ny fanehoana ny votoaty ao amin'ny singa voalohany amin'ny laharan'ny $events, $events[0].Hafatra, ny vokatra dia mety ho andian-tady amin'ny endrika tena tsotra: ny anaran'ny Sysmon saha, colon, ary avy eo ny sandany.
Hooray! Mamoaka ny log Sysmon amin'ny endrika JSON-ready
Mitovy hevitra amiko ve ianao? Miaraka amin'ny ezaka kely kokoa, azonao atao ny manova ny vokatra ho tady format JSON ary avy eo ampidiro mivantana amin'ny zavatra PS mampiasa baiko mahery vaika. .
Hasehoko ny kaody PowerShell ho an'ny fiovam-po - tena tsotra - amin'ny ampahany manaraka. Amin'izao fotoana izao, andeha hojerentsika izay azon'ny baiko vaovao antsoina hoe get-sysmonlogs, izay napetrako ho maody PS.
Raha tokony hiditra lalina ao amin'ny famakafakana log Sysmon amin'ny alàlan'ny fifandraisana amin'ny log hetsika tsy dia mahasosotra isika, dia afaka mikaroka mora foana ny hetsika fanampiny avy amin'ny fivoriana PowerShell, ary mampiasa ny baiko PS. (alias – “?”) mba hanafohezana ny valin'ny fikarohana:
Lisitry ny akorandriaka cmd natomboka tamin'ny WMI. Famakafakana Fandrahonana momba ny Mora miaraka amin'ny Ekipantsika Get-Sysmonlogs
Mahagaga! Namorona fitaovana hijerena ny log Sysmon aho toy ny hoe angon-drakitra. Ao amin'ny lahatsoratra momba ny voamarika fa io fiasa io dia hotanterahin'ny fitaovana mangatsiatsiaka voalaza ao, na dia amin'ny fomba ofisialy aza dia mbola amin'ny alàlan'ny interface tena mitovy amin'ny SQL. Eny, EQL kanto, fa hiresaka momba izany isika amin'ny ampahany fahatelo.
Sysmon sy graph analysis
Andao hihemotra ary hieritreritra izay vao noforoninay. Amin'ny ankapobeny, manana angon-drakitra hetsika Windows azo idirana amin'ny PowerShell izahay. Araka ny nomarihiko teo aloha dia misy fifandraisana na fifandraisana eo amin'ny firaketana - amin'ny alàlan'ny ParentProcessId - mba hahazoana ambaratonga feno amin'ny dingana.
Raha efa namaky ny andiany ianao fantatrao fa ny mpijirika dia tia mamorona fanafihana multi-dingana sarotra, izay ny dingana tsirairay dia mitana ny anjara toerany kely ary manomana lozisialy ho an'ny dingana manaraka. Sarotra be ny maka zavatra toy izany avy amin'ny log "manta".
Saingy miaraka amin'ny baiko Get-Sysmonlogs sy firafitry ny angon-drakitra fanampiny hojerentsika any aoriana ao amin'ny lahatsoratra (sary iray mazava ho azy), manana fomba azo ampiharina hamantarana ny fandrahonana isika - izay mitaky ny fanaovana fikarohana vertex marina.
Toy ny mahazatra amin'ny tetikasa bilaogy DYI, arakaraky ny asanao amin'ny famakafakana ny antsipirihan'ny fandrahonana amin'ny ambaratonga kely, dia vao mainka ho tsapanao ny fahasarotan'ny fisavana fandrahonana eo amin'ny sehatry ny orinasa. Ary izany fahalalana izany dia tena ilaina teboka manan-danja.
Hihaona amin'ireo fahasarotana mahaliana voalohany isika ao amin'ny tapany faharoa amin'ny lahatsoratra, izay hanombohantsika mampifandray ny hetsika Sysmon amin'ny tsirairay amin'ireo rafitra sarotra kokoa.
Source: www.habr.com