सिस्मोन थ्रेट एनालिसिस गाइड, भाग १

यो लेख Sysmon खतरा विश्लेषण मा एक श्रृंखला को पहिलो भाग हो। शृङ्खलाका अन्य सबै भागहरू:

भाग १: सिस्मन लग विश्लेषणको परिचय (हामी यहाँ छौ)
भाग २: धम्कीहरू पहिचान गर्न Sysmon घटना डेटा प्रयोग गर्दै
भाग 3. ग्राफहरू प्रयोग गरेर सिस्मोन खतराहरूको गहन विश्लेषण

यदि तपाइँ सूचना सुरक्षामा काम गर्नुहुन्छ भने, तपाइँले प्रायः निरन्तर आक्रमणहरू बुझ्नु पर्छ। यदि तपाइँसँग पहिले नै प्रशिक्षित आँखा छ भने, तपाइँ "कच्चा" अप्रशोधित लगहरूमा गैर-मानक गतिविधि खोज्न सक्नुहुन्छ - भन्नुहोस्, PowerShell स्क्रिप्ट चलिरहेको छ। DownloadString आदेश संग वा VBS स्क्रिप्ट वर्ड फाइल भएको बहाना गर्दै - केवल विन्डोज घटना लगमा नवीनतम गतिविधि मार्फत स्क्रोल गर्दै। तर यो साँच्चै ठूलो टाउको दुखाइ हो। सौभाग्य देखि, माइक्रोसफ्टले सिस्मोन सिर्जना गर्यो, जसले आक्रमण विश्लेषण धेरै सजिलो बनाउँछ।

Sysmon लग मा प्रदर्शित धम्कीहरु पछि आधारभूत विचार बुझ्न चाहनुहुन्छ? हाम्रो गाइड डाउनलोड गर्नुहोस् जासूसी को माध्यम को रूप मा WMI घटनाहरु र तपाईलाई थाहा छ कि कसरी भित्री व्यक्तिहरूले अन्य कर्मचारीहरूलाई गुप्त रूपमा अवलोकन गर्न सक्छन्। विन्डोज घटना लगसँग काम गर्ने मुख्य समस्या अभिभावक प्रक्रियाहरूको बारेमा जानकारीको कमी हो, अर्थात्। यसबाट हुने प्रक्रियाहरूको पदानुक्रम बुझ्न असम्भव छ। सिस्मोन लग प्रविष्टिहरूमा, अर्कोतर्फ, अभिभावक प्रक्रिया ID, यसको नाम, र सुरु गर्न आदेश लाइन समावेश गर्दछ। धन्यवाद, माइक्रोसफ्ट।

हाम्रो शृङ्खलाको पहिलो भागमा, हामी Sysmon बाट आधारभूत जानकारीको साथ तपाईले के गर्न सक्नुहुन्छ भनेर हेर्नेछौं। भाग २ मा, हामी खतरा ग्राफहरू भनेर चिनिने थप जटिल अनुपालन संरचनाहरू सिर्जना गर्न अभिभावक प्रक्रिया जानकारीको पूर्ण फाइदा लिनेछौं। तेस्रो भागमा, हामी ग्राफको "वजन" विश्लेषण गरेर असामान्य गतिविधिको खोजी गर्न खतरा ग्राफ स्क्यान गर्ने साधारण एल्गोरिदम हेर्नेछौं। र अन्त्यमा, तपाईंलाई सफा (र बुझ्न सकिने) सम्भावित खतरा पत्ता लगाउने विधिको साथ पुरस्कृत गरिनेछ।

भाग १: सिस्मन लग विश्लेषणको परिचय

घटना लगको जटिलताहरू बुझ्न तपाईंलाई के मद्दत गर्न सक्छ? अन्ततः - SIEM। यसले घटनाहरूलाई सामान्य बनाउँछ र तिनीहरूको पछिल्लो विश्लेषणलाई सरल बनाउँछ। तर हामीले त्यति टाढा जानु पर्दैन, कम्तिमा पनि सुरुमा होइन। सुरुमा, SIEM को सिद्धान्तहरू बुझ्न, यो अद्भुत निःशुल्क Sysmon उपयोगिता प्रयास गर्न पर्याप्त हुनेछ। र उनीसँग काम गर्न आश्चर्यजनक रूपमा सजिलो छ। यसलाई जारी राख्नुहोस्, माइक्रोसफ्ट!

Sysmon मा के सुविधाहरू छन्?

छोटोमा - प्रक्रियाहरूको बारेमा उपयोगी र पढ्न योग्य जानकारी (तल चित्रहरू हेर्नुहोस्)। तपाईंले उपयोगी विवरणहरूको गुच्छा फेला पार्नुहुनेछ जुन Windows घटना लगमा छैन, तर सबैभन्दा महत्त्वपूर्ण निम्न क्षेत्रहरू हुन्:

• प्रक्रिया ID (दशमलवमा, हेक्स होइन!)
• अभिभावक प्रक्रिया आईडी
• प्रक्रिया आदेश लाइन
• अभिभावक प्रक्रियाको आदेश रेखा
• फाइल छवि ह्यास
• फाइल छवि नामहरू

Sysmon दुवै उपकरण चालक र सेवा रूपमा स्थापित छ - थप विवरण यहाँ। यसको मुख्य फाइदा लगहरू विश्लेषण गर्ने क्षमता हो धेरै स्रोतहरू, जानकारीको सहसंबंध र नतिजा मानहरूको आउटपुट मार्गको छेउमा अवस्थित एउटा घटना लग फोल्डरमा माइक्रोसफ्ट -> विन्डोज -> सिस्मन -> अपरेशनल। विन्डोज लगहरूमा मेरो आफ्नै कपाल उठाउने अनुसन्धानहरूमा, मैले आफूलाई पावरशेल लग फोल्डर र सेक्युरिटी फोल्डरको बीचमा निरन्तर रूपमा स्विच गर्नु पर्ने पाएको छु, घटना लगहरू मार्फत फ्लिक गर्दै कुनै न कुनै रूपमा यी दुई बीचको मानहरू सम्बद्ध गर्ने साहसी प्रयासमा। । यो कहिल्यै सजिलो काम होइन, र मैले पछि महसुस गरें, तुरुन्तै एस्पिरिनमा भण्डारण गर्नु राम्रो थियो।

Sysmon ले अन्तर्निहित प्रक्रियाहरू बुझ्न मद्दत गर्न उपयोगी (वा विक्रेताहरू भन्न मनपर्छ, कार्ययोग्य) जानकारी प्रदान गरेर क्वान्टम छलांग अगाडि बढाउँछ। उदाहरणका लागि, मैले गोप्य सत्र सुरु गरें wmiexec, नेटवर्क भित्र एक स्मार्ट भित्री को चाल को नक्कल। यो तपाईले Windows घटना लगमा देख्नुहुनेछ:

विन्डोज लगले प्रक्रियाको बारेमा केही जानकारी देखाउँछ, तर यो थोरै उपयोगी छ। हेक्साडेसिमलमा प्लस प्रक्रिया आईडीहरू ???

ह्याकिङका आधारभूत कुराहरू बुझेको एक पेशेवर आईटी प्रोफेशनलको लागि, कमाण्ड लाइन संदिग्ध हुनुपर्छ। cmd.exe प्रयोग गरेर अर्को आदेश चलाउन र आउटपुटलाई अनौठो नामको फाइलमा रिडिरेक्ट गर्नु भनेको निगरानी र नियन्त्रण सफ्टवेयरको कार्यसँग स्पष्ट रूपमा मिल्दोजुल्दो छ। आदेश र नियन्त्रण (C2): यस तरिकाले, WMI सेवाहरू प्रयोग गरेर स्यूडो-शेल सिर्जना गरिएको छ।
अब हामी Sysmon प्रविष्टि बराबरमा हेरौं, यसले हामीलाई कति थप जानकारी दिन्छ भनेर ध्यान दिँदै:

एक स्क्रिनसटमा Sysmon सुविधाहरू: पढ्न योग्य फारममा प्रक्रिया बारे विस्तृत जानकारी

तपाईंले कमाण्ड लाइन मात्र देख्नुहुन्न, तर फाइलको नाम, कार्यान्वयनयोग्य अनुप्रयोगको मार्ग, विन्डोजलाई यसको बारेमा के थाहा छ ("विन्डोज कमाण्ड प्रोसेसर"), पहिचानकर्ता पनि। अभिभावकीय प्रक्रिया, आदेश रेखा अभिभावक, जसले cmd शेल, साथै अभिभावक प्रक्रियाको वास्तविक फाइल नाम सुरु गर्यो। सबै एक ठाउँमा, अन्तमा!
Sysmon लगबाट हामी निष्कर्षमा पुग्न सक्छौं कि उच्च स्तरको सम्भाव्यताको साथ यो संदिग्ध आदेश रेखा जुन हामीले "कच्चा" लगहरूमा देख्यौं कर्मचारीको सामान्य कामको परिणाम होइन। यसको विपरीत, यो C2-जस्तो प्रक्रिया द्वारा उत्पन्न गरिएको थियो - wmiexec, मैले पहिले उल्लेख गरेझैं - र प्रत्यक्ष रूपमा WMI सेवा प्रक्रिया (WmiPrvSe) द्वारा उत्पन्न भएको थियो। अब हामीसँग एउटा सूचक छ कि टाढाको आक्रमणकारी वा भित्री व्यक्तिले कर्पोरेट पूर्वाधारको परीक्षण गरिरहेको छ।

Get-Sysmonlogs प्रस्तुत गर्दै

पक्कै पनि यो राम्रो छ जब Sysmon ले लगहरू एक ठाउँमा राख्छ। तर यो सायद अझ राम्रो हुनेछ यदि हामीले व्यक्तिगत लग फिल्डहरू प्रोग्रामेटिक रूपमा पहुँच गर्न सक्छौं - उदाहरणका लागि, PowerShell आदेशहरू मार्फत। यस अवस्थामा, तपाईले एउटा सानो PowerShell स्क्रिप्ट लेख्न सक्नुहुन्छ जसले सम्भावित खतराहरूको खोजीलाई स्वचालित बनाउँछ!
म यस्तो विचार राख्ने पहिलो होइन। र यो राम्रो छ कि केहि फोरम पोष्टहरू र GitHub मा परियोजनाहरू सिस्मोन लगलाई पार्स गर्न PowerShell कसरी प्रयोग गर्ने भनेर पहिले नै व्याख्या गरिएको छ। मेरो केसमा, म प्रत्येक Sysmon फिल्डको लागि पार्सिङ स्क्रिप्टको अलग लाइनहरू लेख्नबाट बच्न चाहन्थे। त्यसोभए मैले अल्छी मानिस सिद्धान्त प्रयोग गरें र मलाई लाग्छ कि म परिणामको रूपमा रोचक कुरा लिएर आएको छु।
पहिलो महत्त्वपूर्ण कुरा टोलीको क्षमता हो WinEvent पाउनुहोस् Sysmon लगहरू पढ्नुहोस्, आवश्यक घटनाहरू फिल्टर गर्नुहोस् र परिणामलाई PS चरमा आउटपुट गर्नुहोस्, यहाँ जस्तै:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

यदि तपाइँ आदेश आफैं परीक्षण गर्न चाहनुहुन्छ भने, $events array, $events[0] को पहिलो तत्वमा सामग्री प्रदर्शन गरेर। सन्देश, आउटपुट धेरै सरल ढाँचाको साथ पाठ स्ट्रिङहरूको श्रृंखला हुन सक्छ: नाम Sysmon क्षेत्र, एक कोलन, र त्यसपछि मूल्य आफै।

हुर्रे! JSON-तयार ढाँचामा Sysmon लग आउटपुट गर्दै

के तिमि पनि म जस्तै सोच्छौ ? अलि बढी प्रयासको साथ, तपाईले आउटपुटलाई JSON ढाँचा गरिएको स्ट्रिङमा रूपान्तरण गर्न सक्नुहुन्छ र त्यसपछि शक्तिशाली आदेश प्रयोग गरेर यसलाई सीधा PS वस्तुमा लोड गर्न सक्नुहुन्छ। कन्भर्टफ्रम-जेसन .
म रूपान्तरणको लागि PowerShell कोड देखाउनेछु - यो धेरै सरल छ - अर्को भागमा। अहिलेको लागि, मैले PS मोड्युलको रूपमा स्थापना गरेको get-sysmonlogs भनिने मेरो नयाँ आदेशले के गर्न सक्छ हेरौं।
असुविधाजनक घटना लग इन्टरफेस मार्फत Sysmon लग विश्लेषणमा गहिरो डुब्नुको सट्टा, हामी सहज रूपमा PowerShell सत्रबाट वृद्धिशील गतिविधि खोज्न सक्छौं, साथै PS आदेश प्रयोग गर्न सक्छौं। जहाँ (उपनाम - "?") खोज परिणामहरू छोटो गर्न:

WMI मार्फत सुरु गरिएको cmd शेलहरूको सूची। हाम्रो आफ्नै Get-Sysmonlogs टोलीसँग सस्तोमा खतरा विश्लेषण

अद्भुत! मैले सिस्मोन लग पोल गर्न एउटा उपकरण सिर्जना गरें मानौं यो डाटाबेस हो। को बारे मा हाम्रो लेख मा IQ यो नोट गरिएको थियो कि यो प्रकार्य यसमा वर्णन गरिएको कूल उपयोगिता द्वारा प्रदर्शन गरिनेछ, यद्यपि औपचारिक रूपमा अझै वास्तविक SQL-जस्तो इन्टरफेस मार्फत। हो, EQL सुरुचिपूर्ण, तर हामी यसलाई तेस्रो भागमा छुनेछौं।

Sysmon र ग्राफ विश्लेषण

हामी पछि हटौं र हामीले भर्खरै सिर्जना गरेको बारे सोचौं। अनिवार्य रूपमा, हामीसँग अब PowerShell मार्फत पहुँचयोग्य Windows घटना डाटाबेस छ। मैले पहिले उल्लेख गरेझैं, अभिलेखहरू बीचको जडान वा सम्बन्धहरू छन् - ParentProcessId मार्फत - त्यसैले प्रक्रियाहरूको पूर्ण पदानुक्रम प्राप्त गर्न सकिन्छ।

यदि तपाईंले श्रृंखला पढ्नुभयो भने "द एडभेन्चर अफ द इलुसिभ मालवेयर" तपाईलाई थाहा छ कि ह्याकरहरूले जटिल बहु-चरण आक्रमणहरू सिर्जना गर्न मन पराउँछन्, जसमा प्रत्येक प्रक्रियाले आफ्नै सानो भूमिका खेल्छ र अर्को चरणको लागि स्प्रिंगबोर्ड तयार गर्दछ। "कच्चा" लगबाट मात्र त्यस्ता चीजहरू समात्न धेरै गाह्रो छ।
तर मेरो Get-Sysmonlogs कमाण्ड र एक अतिरिक्त डेटा संरचनाको साथ हामी पाठमा पछि हेर्नेछौं (ग्राफ, अवश्य पनि), हामीसँग खतराहरू पत्ता लगाउने व्यावहारिक तरिका छ - जसको लागि सही भेर्टेक्स खोजी गर्न आवश्यक छ।
हाम्रा DYI ब्लग परियोजनाहरूसँग सधैं झैं, तपाईंले सानो स्तरमा खतराहरूको विवरणहरूको विश्लेषण गर्न जति धेरै काम गर्नुहुन्छ, त्यति नै तपाईंले उद्यम स्तरमा खतरा पत्ता लगाउने जटिलता महसुस गर्नुहुनेछ। र यो जागरूकता अत्यन्तै छ महत्त्वपूर्ण बिन्दु.

हामी लेखको दोस्रो भागमा पहिलो रोचक जटिलताहरू सामना गर्नेछौं, जहाँ हामी सिस्मोन घटनाहरूलाई एकअर्कासँग धेरै जटिल संरचनाहरूमा जडान गर्न सुरु गर्नेछौं।

स्रोत: www.habr.com