سسمون خطري جي تجزياتي گائيڊ، حصو 1

هي مضمون هڪ سيريز جو پهريون حصو آهي Sysmon خطري جي تجزيو تي. سيريز جا ٻيا سڀئي حصا:

حصو 1: سسمون لاگ تجزيي جو تعارف (اسان هتي آهيون)
حصو 2: خطرن کي سڃاڻڻ لاءِ Sysmon ايونٽ ڊيٽا استعمال ڪرڻ
حصو 3. گرافس استعمال ڪندي سيممون خطرن جو عميق تجزيو

جيڪڏهن توهان معلومات جي حفاظت ۾ ڪم ڪريو ٿا، توهان کي شايد اڪثر ڪري جاري حملن کي سمجهڻو پوندو. جيڪڏهن توهان وٽ اڳ ۾ ئي هڪ تربيت يافته نظر آهي، ته توهان غير معياري سرگرمي ڳولي سگهو ٿا "خام" غير پروسيس ٿيل لاگز ۾ - چئو، هڪ PowerShell اسڪرپٽ هلندڙ آهي DownloadString حڪم سان يا هڪ وي بي ايس اسڪرپٽ هڪ لفظ فائل هجڻ جو فرض ڪري رهيو آهي - صرف ونڊوز ايونٽ لاگ ۾ تازي سرگرمي ذريعي سکرول ڪندي. پر اهو واقعي هڪ وڏو سر درد آهي. خوشقسمتيءَ سان، مائڪروسافٽ پيدا ڪيو Sysmon، جيڪو حملن جو تجزيو تمام آسان بڻائي ٿو.

سسمون لاگ ۾ ڏيکاريل خطرن جي پويان بنيادي خيالن کي سمجھڻ چاھيو ٿا؟ اسان جي گائيڊ ڊائون لوڊ ڪريو WMI واقعا جاسوسي جي طور تي ۽ توهان محسوس ڪيو ته ڪيئن اندروني طور تي ٻين ملازمن کي رازداري سان مشاهدو ڪري سگهي ٿو. ونڊوز ايونٽ لاگ سان ڪم ڪرڻ ۾ بنيادي مسئلو والدين جي عملن بابت معلومات جي کوٽ آهي، يعني. ان جي عملن جي درجي بندي کي سمجهڻ ناممڪن آهي. ٻئي طرف Sysmon لاگ انٽريز، شامل آهن والدين پروسيس ID، ان جو نالو، ۽ ڪمانڊ لائن شروع ٿيڻ لاءِ. توهان جي مهرباني، Microsoft.

اسان جي سيريز جي پهرين حصي ۾، اسان ڏسنداسين ته توهان ڇا ڪري سگهو ٿا سيسمون کان بنيادي معلومات سان. حصو XNUMX ۾، اسان والدين جي عمل جي معلومات جو پورو فائدو وٺنداسين وڌيڪ پيچيده تعميل واري جوڙجڪ ٺاهڻ لاءِ جيڪي خطري جي گراف جي نالي سان مشهور آهن. ٽئين حصي ۾، اسان هڪ سادي الگورتھم تي نظر ڪنداسين جيڪو گراف جي "وزن" جو تجزيو ڪندي غير معمولي سرگرمي کي ڳولڻ لاء خطري جي گراف کي اسڪين ڪري ٿو. ۽ آخر ۾، توهان کي هڪ صاف (۽ سمجھڻ وارو) امڪاني خطري جي ڳولا واري طريقي سان انعام ڏنو ويندو.

حصو 1: سسمون لاگ تجزيي جو تعارف

ايونٽ لاگ جي پيچيدگين کي سمجھڻ ۾ ڇا مدد ڪري سگھي ٿي؟ آخرڪار - SIEM. اهو واقعن کي معمول ڪري ٿو ۽ انهن جي ايندڙ تجزيي کي آسان بڻائي ٿو. پر اسان کي ايترو پري وڃڻو ناهي، گهٽ ۾ گهٽ پهرين ته نه. شروعات ۾، SIEM جي اصولن کي سمجهڻ لاء، اهو ڪافي ٿيندو ته شاندار مفت Sysmon افاديت کي آزمائي. ۽ هوء حيرت انگيز سان ڪم ڪرڻ آسان آهي. ان کي جاري رکو، Microsoft!

Sysmon ڇا خاصيتون آهن؟

مختصر ۾ - عمل جي باري ۾ مفيد ۽ پڙهڻ جي قابل معلومات (هيٺ ڏنل تصويرون ڏسو). توھان کي مفيد تفصيلن جو ھڪڙو گروپ ملندو جيڪي ونڊوز ايونٽ لاگ ۾ نه آھن، پر سڀ کان وڌيڪ اھم آھن ھيٺ ڏنل فيلڊ:

• پروسيس ID (اعشاري ۾، هيڪس نه!)
• والدين پروسيس ID
• عمل جي حڪم لائن
• والدين جي عمل جي حڪم لائن
• فائل تصوير هيش
• فائل تصويرن جا نالا

Sysmon هڪ ڊوائيس ڊرائيور ۽ هڪ خدمت جي طور تي نصب ٿيل آهي - وڌيڪ تفصيل هتي. ان جو اهم فائدو لاگ ان مان تجزيو ڪرڻ جي صلاحيت آهي ڪيترن ئي ذريعن، معلومات جو لاڳاپو ۽ نتيجن جي قيمتن جو نتيجو هڪ واقعا لاگ فولڊر ڏانهن رستو ۾ واقع آهي Microsoft -> ونڊوز -> سسمون -> آپريشنل. ونڊوز لاگز جي باري ۾ منهنجي پنهنجي بال وڌائڻ واري تحقيق ۾، مون پاڻ کي مسلسل پاور شيل لاگز فولڊر ۽ سيڪيورٽي فولڊر جي وچ ۾ تبديل ٿيڻ جي ڪوشش ڪئي، هڪ زبردست ڪوشش ۾ ايونٽ لاگز ذريعي فليڪ ڪندي ٻنهي جي وچ ۾ قدرن کي ڳنڍڻ لاءِ. . اهو ڪڏهن به آسان ڪم نه آهي، ۽ جيئن مون بعد ۾ محسوس ڪيو، اهو بهتر هو ته فوري طور تي اسپرين جو ذخيرو ڪيو وڃي.

سسمون بنيادي عملن کي سمجھڻ ۾ مدد ڏيڻ لاءِ مفيد (يا وينڊرز جي چوڻ وانگر، قابل عمل) معلومات مهيا ڪندي ڪوانٽم ليپ اڳتي وٺي ٿو. مثال طور، مون هڪ ڳجهي سيشن شروع ڪيو wmiexec، نيٽ ورڪ اندر سمارٽ اندروني جي حرڪت کي نقل ڪندي. اھو اھو آھي جيڪو توھان ڏسندا Windows ايونٽ لاگ ۾:

ونڊوز لاگ ان عمل جي باري ۾ ڪجهه معلومات ڏيکاري ٿو، پر اهو ٿورو استعمال جو آهي. پلس پروسيس IDs hexadecimal ۾ ؟؟؟

هڪ پروفيشنل آئي ٽي پروفيشنل لاءِ هيڪنگ جي بنيادي ڳالهين کي سمجهڻ سان، ڪمانڊ لائن کي مشڪوڪ هجڻ گهرجي. cmd.exe استعمال ڪندي پوءِ ٻيو ڪمانڊ هلائڻ ۽ آئوٽ پٽ کي فائل ڏانهن ريڊائريڪٽ ڪرڻ عجيب نالي سان واضح طور تي مانيٽرنگ ۽ ڪنٽرول سافٽ ويئر جي عملن سان ملندڙ جلندڙ آهي حڪم ۽ ڪنٽرول (C2): هن طريقي سان، هڪ pseudo-شيل ٺاهي وئي آهي WMI خدمتن کي استعمال ڪندي.
ھاڻي اچو ته ھڪڙي نظر رکون سيسمون داخلا جي برابر، ياد رکون ٿا ته اھو اسان کي ڪيترو اضافي معلومات ڏئي ٿو:

هڪ اسڪرين شاٽ ۾ Sysmon خاصيتون: پروسيس بابت تفصيلي ڄاڻ پڙهڻ جي قابل فارم ۾

توهان نه رڳو ڪمانڊ لائن ڏسي سگهو ٿا، پر فائل جو نالو پڻ، ايگزيڪيوٽو ايپليڪيشن جو رستو، ونڊوز ان بابت ڇا ڄاڻي ٿو ("ونڊوز ڪمانڊ پروسيسر")، سڃاڻپ ڪندڙ والدين عمل، حڪم لائن والدين، جنهن کي شروع ڪيو cmd شيل، انهي سان گڏ اصل فائل جو نالو والدين جي عمل جو. سڀ ڪجهه هڪ جڳهه تي، آخرڪار!
Sysmon لاگ مان اسان اهو نتيجو ڪري سگھون ٿا ته وڏي امڪان سان هي مشڪوڪ ڪمانڊ لائن جيڪو اسان ڏٺو آهي "خام" لاگز ملازم جي عام ڪم جو نتيجو ناهي. ان جي برعڪس، اهو هڪ C2-جهڙو عمل جي ذريعي ٺاهي وئي هئي - wmiexec، جيئن مون اڳ ۾ ذڪر ڪيو آهي - ۽ سڌو سنئون WMI سروس پروسيس (WmiPrvSe) پاران پيدا ڪيو ويو. هاڻي اسان وٽ هڪ اشارو آهي ته هڪ ريموٽ حملو ڪندڙ يا اندروني ڪارپوريٽ انفراسٽرڪچر کي جانچي رهيو آهي.

Get-Sysmonlogs متعارف ڪرايو

يقينا اهو تمام سٺو آهي جڏهن سسمون لاگز کي هڪ جڳهه تي رکي ٿو. پر اهو شايد اڃا به بهتر هوندو جيڪڏهن اسان انفرادي لاگ فيلڊز تائين رسائي حاصل ڪري سگهون ٿا پروگرام طور - مثال طور، PowerShell حڪمن ذريعي. انهي صورت ۾، توهان هڪ ننڍڙو پاور شيل اسڪرپٽ لکي سگهو ٿا جيڪو ممڪن خطرن جي ڳولا کي خودڪار ڪندو!
مون کي اهڙو خيال پهريون نه هو. ۽ اهو سٺو آهي ته ڪجهه فورم پوسٽن ۽ GitHub ۾ منصوبا اهو اڳ ۾ ئي بيان ڪيو ويو آهي ته پاور شيل ڪيئن استعمال ڪجي Sysmon لاگ کي پارس ڪرڻ لاءِ. منهنجي حالت ۾، مان هر سسمون فيلڊ لاءِ پارسنگ اسڪرپٽ جون الڳ لائينون لکڻ کان پاسو ڪرڻ چاهيان ٿو. تنهن ڪري مون سست انسان اصول استعمال ڪيو ۽ مان سمجهان ٿو ته مان نتيجي طور ڪجهه دلچسپ آيو آهيان.
پهريون اهم نقطو ٽيم جي صلاحيت آهي حاصل ڪريو Sysmon لاگ پڙهو، ضروري واقعن کي فلٽر ڪريو ۽ نتيجو ڪڍيو PS variable ڏانهن، جيئن هتي:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

جيڪڏهن توهان پنهنجي حڪم کي جانچڻ چاهيو ٿا، مواد کي $events array جي پهرين عنصر ۾ ڏيکاريندي، $events[0]. ميسيج، آئوٽ پٽ هڪ تمام سادي فارميٽ سان ٽيڪسٽ اسٽرنگ جو هڪ سلسلو ٿي سگهي ٿو: نالو Sysmon فيلڊ، هڪ ڪالون، ۽ پوء قدر پاڻ.

هوري! Sysmon لاگ آئوٽ ڪرڻ JSON-تيار فارميٽ ۾

ڇا تون مون وانگر ئي سوچي رهيو آهين؟ ٿوري گهڻي ڪوشش سان، توهان آئوٽ پٽ کي JSON فارميٽ ٿيل اسٽرنگ ۾ تبديل ڪري سگهو ٿا ۽ پوءِ ان کي طاقتور ڪمانڊ استعمال ڪندي سڌو سنئون پي ايس شئي ۾ لوڊ ڪري سگهو ٿا. ConvertFrom-Json .
مان تبادلي لاءِ پاور شيل ڪوڊ ڏيکاريندس - اھو بلڪل سادو آھي - ايندڙ حصي ۾. هينئر لاءِ، اچو ته ڏسون ته منهنجو نئون ڪمانڊ get-sysmonlogs، جنهن کي مون پي ايس ماڊل طور انسٽال ڪيو آهي، ڇا ڪري سگهي ٿو.
هڪ اڻ وڻندڙ ​​ايونٽ لاگ انٽرفيس ذريعي سسمون لاگ تجزيي ۾ گهيرو ڪرڻ بدران، اسان آسانيءَ سان پاور شيل سيشن مان وڌندڙ سرگرميءَ جي ڳولا ڪري سگهون ٿا، انهي سان گڏ PS ڪمانڊ استعمال ڪريو. جتي (عرف - "؟") ڳولا جا نتيجا مختصر ڪرڻ لاءِ:

WMI ذريعي شروع ڪيل سي ايم ڊي شيل جي فهرست. اسان جي پنهنجي Get-Sysmonlogs ٽيم سان سستي تي خطري جو تجزيو

شاندار! مون ھڪڙو اوزار ٺاھيو آھي پولنگ لاءِ سيسمون لاگ کي ڄڻ اھو ھڪڙو ڊيٽابيس ھو. جي باري ۾ اسان جي مضمون ۾ IQ اهو نوٽ ڪيو ويو آهي ته هي فنڪشن ان ۾ بيان ڪيل ٿڌي يوٽيلٽي ذريعي ڪيو ويندو، جيتوڻيڪ رسمي طور تي اڃا تائين حقيقي SQL-جهڙو انٽرفيس ذريعي. ها، EQL خوبصورت، پر اسان ان کي ٽئين حصي ۾ ڇڪينداسين.

سيممون ۽ گراف جو تجزيو

اچو ته پوئتي قدم رکون ۽ ان بابت سوچيو جيڪو اسان پيدا ڪيو آهي. لازمي طور تي، اسان وٽ ھاڻي ھڪڙو ونڊوز ايونٽ ڊيٽابيس آھي جيڪو PowerShell ذريعي دستياب آھي. جيئن مون اڳ ۾ نوٽ ڪيو آهي، رڪارڊن جي وچ ۾ رابطا يا لاڳاپا آهن - ParentProcessId ذريعي - تنهنڪري عملن جو هڪ مڪمل درجو حاصل ڪري سگهجي ٿو.

جيڪڏهن توهان سيريز پڙهيو آهي "The Adventures of the Elusive Malware" توهان کي خبر آهي ته هيڪرز پيچيده ملٽي اسٽيج حملا ٺاهڻ چاهيندا آهن، جنهن ۾ هر عمل پنهنجو ننڍڙو ڪردار ادا ڪري ٿو ۽ ايندڙ قدم لاءِ اسپرنگ بورڊ تيار ڪري ٿو. اهڙين شين کي صرف ”خام“ لاگ مان پڪڙڻ تمام ڏکيو آهي.
پر منهنجي Get-Sysmonlogs ڪمانڊ ۽ هڪ اضافي ڊيٽا جي جوڙجڪ سان گڏ اسين متن ۾ بعد ۾ ڏسندا سين (هڪ گراف، يقينا)، اسان وٽ خطرن کي ڳولڻ جو هڪ عملي طريقو آهي - جنهن کي صرف صحيح عمودي ڳولا ڪرڻ جي ضرورت آهي.
جيئن هميشه اسان جي DYI بلاگ پروجيڪٽس سان، جيترو توهان ننڍي پيماني تي خطرن جي تفصيلن جو تجزيو ڪرڻ تي وڌيڪ ڪم ڪندا، اوترو وڌيڪ توهان محسوس ڪندا ته انٽرپرائز سطح تي خطري جي ڳولها ڪيتري پيچيده آهي. ۽ هي شعور انتهائي آهي اهم نقطو.

اسان مضمون جي ٻئي حصي ۾ پهرين دلچسپ پيچيدگين سان منهن ڪنداسين، جتي اسان هڪ ٻئي سان سسمون واقعن کي وڌيڪ پيچيده جوڙجڪ ۾ ڳنڍڻ شروع ڪنداسين.

جو ذريعو: www.habr.com