ProHoster > Блог > Whakahaerenga > He Aratohu Taatari Whakawehi a Sysmon, Wāhanga 1

He Aratohu Taatari Whakawehi a Sysmon, Wāhanga 1

He Aratohu Taatari Whakawehi a Sysmon, Wāhanga 1

Ko tenei tuhinga te waahanga tuatahi o te raupapa mo te tātaritanga riri a Sysmon. Ko etahi atu waahanga katoa o te raupapa:

Wāhanga 1: Whakataki ki te Sysmon Log Analysis (Kei konei tatou)
Wāhanga 2: Te whakamahi i te Raraunga Takahanga Sysmon ki te tautuhi i nga whakamataku
Wāhanga 3. Te tātari hōhonu o ngā riri a Sysmon mā te whakamahi kauwhata

Mena kei te mahi koe i roto i te haumarutanga korero, me maarama koe ki nga whakaeke haere tonu. Mena he kanohi kua whakangungua koe, ka taea e koe te rapu mahi kore-paerewa i roto i nga raarangi "mata" kaore ano kia tukatia - penei, he tuhinga PowerShell e rere ana me te tono DownloadString he tuhinga VBS ranei e ahua ana he konae Word - panuku noa i nga mahi hou i roto i te raarangi takahanga Windows. Engari he tino mahunga nui tenei. Waimarie, i hangaia e Microsoft a Sysmon, he maamaa ake te tātari whakaeke.

Kei te pirangi koe ki te mohio ki nga whakaaro taketake kei muri i nga whakatumatuma e whakaatuhia ana i te raarangi Sysmon? Tikiake i to maatau aratohu Ko nga huihuinga WMI hei huarahi torotoro a ka mohio koe me pehea e taea ai e nga tangata o roto te tirotiro huna i etahi atu kaimahi. Ko te raru nui ki te mahi me te raarangi takahanga Windows ko te kore o nga korero e pa ana ki nga tukanga a nga matua, i.e. e kore e taea te mohio ki te raupapa o nga tukanga mai i a ia. Kei roto i nga whakaurunga rangitaki Sysmon, i tetahi atu taha, te ID tukanga matua, tona ingoa, me te rarangi whakahau ka whakarewahia. Tēnā koe, Microsoft.

I te waahanga tuatahi o ta maatau raupapa, ka tirohia e koe nga mea ka taea e koe me nga korero taketake mai i a Sysmon. I te Wāhanga XNUMX, ka whakapau kaha matou i nga korero tukanga maatua ki te hanga hanganga hanganga ture uaua ake e kiia nei he kauwhata whakatuma. I te wahanga tuatoru, ka titiro tatou ki tetahi algorithm ngawari e karapa ana i te kauwhata riri ki te rapu mahi rereke ma te tātari i te "taimaha" o te kauwhata. A, i te mutunga, ka whakawhiwhia koe ki tetahi tikanga whakamohio riri pea (me te maarama).

Wāhanga 1: Whakataki ki te Sysmon Log Analysis

He aha te mea hei awhina i a koe ki te mohio ki nga uauatanga o te raarangi takahanga? I te mutunga - SIEM. Ka whakataurite i nga kaupapa me te whakamaarama i o raatau tātaritanga o muri. Engari karekau e tika kia haere ki tera tawhiti, i te mea kaore i te tuatahi. I te timatanga, ki te mohio ki nga maataapono o te SIEM, ka nui ki te whakamatau i te taputapu Sysmon koreutu whakamiharo. A he tino ngawari ki te mahi tahi. Kia mau tonu, Microsoft!

He aha nga ahuatanga kei a Sysmon?

Hei poto - nga korero whaihua me te panui mo nga tukanga (tirohia nga pikitia i raro nei). Ka kitea e koe te maha o nga korero whai hua kaore i roto i te Rangitaki Takahanga Windows, engari ko te mea nui ko nga mara e whai ake nei:

  • Tukatuka ID (i roto i te ira, ehara i te hex!)
  • ID tukanga matua
  • Tukatuka raina whakahau
  • Raina whakahau o te tukanga matua
  • Hash whakaahua kōnae
  • Nga ingoa whakaahua kōnae

Kua whakauruhia a Sysmon hei taraiwa taputapu me te ratonga - etahi atu taipitopito konei. Ko tana painga nui ko te kaha ki te wetewete i nga raarangi he torutoru puna, te hononga o nga korero me te whakaputanga o nga uara ki tetahi kōpaki rangitaki takahanga kei te taha o te huarahi Microsoft -> Windows -> Sysmon -> Mahi. I roto i aku ake tirotirohanga makawe mo nga raarangi Windows, i kite ahau me huri tonu ahau i waenga, me kii, ko te kōpaki rangitaki PowerShell me te kōpaki Haumarutanga, ka kopikopiko i nga raarangi huihuinga i roto i te ngana maia ki te whakatika i nga uara i waenga i nga mea e rua. . Ehara tenei i te mahi ngawari, a, i taku mohiotanga i muri mai, he pai ke ki te kohi tonu i te ahipirini.

Ka eke whakamua a Sysmon ma te tuku korero whai hua (me nga kaihoko ranei e kii ana, ka taea te mahi) hei awhina i te maarama ki nga tikanga o raro. Hei tauira, i timata ahau i tetahi huihuinga huna wmiexec, te whakatairite i te nekehanga o te tangata mohio i roto i te whatunga. Koinei te mea ka kite koe i te raarangi takahanga Windows:

He Aratohu Taatari Whakawehi a Sysmon, Wāhanga 1

Ko te rangitaki Windows e whakaatu ana i etahi korero mo te tukanga, engari he iti te whakamahi. Tukatuka TT i roto i te hexadecimal???

Mo te tohunga ngaio IT me te mohio ki nga kaupapa o te mahi hacking, me whakapae te rarangi whakahau. Ma te whakamahi i te cmd.exe ki te whakahaere i tetahi atu whakahau me te tuku ano i te putanga ki tetahi konae me te ingoa kee he tino rite ki nga mahi o te aroturuki me te whakahaere rorohiko whakahau-me-whakahaere (C2): Ma tenei ara, ka hangaia he anga-pseudo ma te whakamahi i nga ratonga WMI.
Inaianei me titiro ki te urunga o Sysmon rite, me te kite i te nui o nga korero ka tukuna mai ki a tatou:

He Aratohu Taatari Whakawehi a Sysmon, Wāhanga 1

Ko nga ahuatanga a Sysmon i roto i te whakaahua kotahi: nga korero taipitopito mo te tukanga i roto i te ahua panui

Kaore koe e kite noa i te raina whakahau, engari ko te ingoa konae, te huarahi ki te tono ka taea te whakahaere, nga mea e mohio ana a Windows mo taua mea ("Windows Command Processor"), te tautohu. mātua tukanga, raina whakahau matua, i whakarewahia te anga cmd, me te ingoa o te konae tuuturu o te tukanga matua. Ko nga mea katoa i te waahi kotahi, ka mutu!
Mai i te raupapa Sysmon ka taea e tatou te whakatau ko tenei rarangi whakahau whakapae i kitea e matou i roto i nga rarangi "raw" ehara i te hua o te mahi noa a te kaimahi. He rereke, i hangaia e te mahinga C2-rite - wmiexec, pera i taku korero i mua - a na te mahinga ratonga WMI (WmiPrvSe). Inaianei kei a maatau he tohu kei te whakamatautau tetahi kaikohuru mamao, kai roto ranei i nga hanganga umanga.

Te whakauru i te Get-Sysmonlogs

Ae ra he rawe ina tuu e Sysmon nga rakau ki te waahi kotahi. Engari tera pea he pai ake mena ka taea e taatau te uru atu ki nga mara raarangi takitahi - hei tauira, ma nga whakahau PowerShell. I tenei keehi, ka taea e koe te tuhi i tetahi tuhinga iti PowerShell hei whakaaunoa i te rapu mo nga whakatumatuma pea!
Ehara ahau i te tuatahi ki te whai whakaaro penei. A he pai kei roto i etahi pou huinga me te GitHub kaupapa Kua whakamaramatia me pehea te whakamahi i te PowerShell ki te tarai i te raarangi Sysmon. I roto i taku keehi, i pirangi au ki te karo i te tuhi i nga rarangi wehewehe o te tuhinga tuhi mo ia mara Sysmon. Na ka whakamahia e ahau te kaupapa tangata mangere, a ki taku whakaaro i puta mai he mea whakamere hei hua.
Ko te mea nui tuatahi ko te kaha o te kapa Whiwhi-Wini panuihia nga raarangi Sysmon, tātarihia nga kaupapa e tika ana ka whakaputa i te hua ki te taurangi PS, penei i konei:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

Mena kei te hiahia koe ki te whakamatautau i te whakahau, ma te whakaatu i nga ihirangi kei roto i te huānga tuatahi o te huinga $events, $events[0].Karere, ka taea te whakaputa he raupapa aho kuputuhi me te whakatakotoranga tino ngawari: te ingoa o te Sysmon mara, he kopirua, katahi ko te uara ano.

He Aratohu Taatari Whakawehi a Sysmon, Wāhanga 1

Hore! Te whakaputa i te takiuru a Sysmon ki te hōputu rite JSON

He rite tonu to whakaaro ki ahau? Ma te kaha ake, ka taea e koe te huri i te putanga ki te aho whakahōputu JSON ka uta tika ki te ahanoa PS ma te whakamahi i te whakahau kaha. Tahuri Mai-Json .
Ka whakaatu ahau i te waehere PowerShell mo te huringa - he tino ngawari - i te waahanga e whai ake nei. Inaianei, kia kite tatou he aha taku whakahau hou e kiia nei ko get-sysmonlogs, i whakauruhia e ahau hei kowae PS, ka taea.
Engari ki te ruku hohonu ki roto ki te tātari rangitaki Sysmon na roto i te atanga rangitaki takahanga, ka taea e taatau ki te rapu mahi taapiri tika mai i tetahi huihuinga PowerShell, me te whakamahi i te whakahau PS. te wahi (ingoaake – “?”) hei whakapoto i nga hua rapu:

He Aratohu Taatari Whakawehi a Sysmon, Wāhanga 1

Rarangi o nga anga cmd i whakarewahia ma WMI. Te Taatari Whakamatau mo te Moni me a maatau ake Tiki-Sysmonlogs Team

Mīharo! I hanga e au he taputapu ki te pooti i te raarangi Sysmon me te mea he putunga korero. I roto i ta maatau tuhinga mo EQL i tohuhia ko tenei mahi ka mahia e te taputapu hauhautanga e whakaahuatia ana i roto, ahakoa ka mau tonu ma te atanga rite-SQL. Ae, EQL huatau, engari ka pa atu tatou i te wahanga tuatoru.

Sysmon me te tātari kauwhata

Kia hoki whakamuri ki te whakaaro mo nga mea i hangaia e tatou. Ko te mea nui, kei a matou he papaa raraunga takahanga Windows ka taea ma PowerShell. Ka rite ki taku korero i mua ake nei, he hononga, he hononga ranei kei waenga i nga rekoata - ma te ParentProcessId - kia taea ai te whiwhi i te raupapatanga o nga tukanga.

Mena kua panui koe i te raupapa "Ko nga haerenga o te Malware Elusive" e mohio ana koe e pai ana nga kaiwhaiwhai ki te hanga i nga whakaeke maha-waahanga uaua, i roto i nga mahi a ia mahi ka whai waahi iti me te whakarite i tetahi papa mo te mahi ka whai ake. He tino uaua ki te hopu i enei mea mai i te raarangi "mata".
Engari me taku tono Tikina-Sysmonlogs me tetahi atu hanganga raraunga ka tirohia e matou i muri mai i roto i te tuhinga (he kauwhata, o te akoranga), he huarahi whaihua ta matou ki te kite i nga tuma - me mahi tika te rapunga poutokomanawa.
He rite tonu ki a maatau kaupapa rangitaki DYI, ko te kaha ake o to mahi ki te tarai i nga korero mo te riri i runga i te tauine iti, ka mohio koe he pehea te uaua o te kitenga riri i te taumata hinonga. A he tino mohio tenei wāhi nui.

Ka tutaki tatou ki nga raruraru whakamere tuatahi i te waahanga tuarua o te tuhinga, ka timata taatau ki te hono atu i nga kaupapa Sysmon ki a raatau ano ki roto i nga hanganga tino uaua.

Source: will.com

Tāpiri i te kōrero