Maqaalkani waa qaybta koowaad ee taxane ah oo ku saabsan falanqaynta khatarta Sysmon. Dhammaan qaybaha kale ee taxanaha:
Qaybta 1: Hordhac Falanqaynta Diiwaanka Sysmon (waan joognaa)
Qeybta 2: Isticmaalka Xogta Dhacdada Sysmon si loo Aqoonsado Hanjabaadaha
Qaybta 3. Falanqaynta qoto dheer ee hanjabaadaha Sysmon iyadoo la isticmaalayo garaafyo
Haddii aad ka shaqeyso amniga macluumaadka, waxay u badan tahay inaad inta badan fahamto weerarada socda. Haddii aad hore u leedahay indho tababaran, waxaad ka raadin kartaa hawl aan caadi ahayn oo ku jirta diiwaannada "ceeriin" ee aan la farsamayn - dheh, qoraalka PowerShell ama qoraalka VBS ee iska dhigaya inuu yahay faylka Word - si fudud uga dhex-wareegaya hawlihii ugu dambeeyay ee log dhacdooyinka Windows. Laakiin kani runtii waa madax xanuun weyn. Nasiib wanaag, Microsoft waxay abuurtay Sysmon, taas oo ka dhigaysa falanqaynta weerarka mid aad u fudud.
Ma doonaysaa inaad fahanto fikradaha aasaasiga ah ee ka dambeeya hanjabaadaha lagu soo bandhigay buugga Sysmon? Soo deji hagahayaga waxaadna garwaaqsanaysaa sida dadka u dhuun daloola ay si qarsoodi ah u eegi karaan shaqaalaha kale. Dhibaatada ugu weyn ee la shaqeynta diiwaanka dhacdada Windows waa la'aanta macluumaadka ku saabsan hababka waalidka, i.e. waa wax aan macquul aheyn in laga fahmo kala sareynta hababka. Gelida Sysmon log, dhanka kale, waxa ku jira aqoonsiga habsocodka waalidka, magaciisa, iyo khadka taliska ee la bilaabayo. Waad ku mahadsan tahay, Microsoft.
Qaybta hore ee taxanaheenna, waxaan ku eegi doonaa waxaad ku samayn karto macluumaadka aasaasiga ah ee Sysmon. Qaybta XNUMX, waxaanu si buuxda uga faa'iidaysan doonaa habka macluumaadka waalidka si aanu u abuurno qaabab u hogaansanaan kakan oo loo yaqaan garaafyada khatarta ah. Qaybta saddexaad, waxaan eegi doonaa algorithm fudud oo sawiraya garaafka khatarta ah si loo raadiyo waxqabadyo aan caadi ahayn iyadoo la falanqeynayo "miisaanka" garaafka. Dhammaadkana, waxa lagugu abaal marin doonaa hab hagaagsan (oo la fahmi karo) oo ah habka ogaanshaha khatarta.
Qaybta 1: Hordhac Falanqaynta Diiwaanka Sysmon
Maxaa kaa caawin kara inaad fahanto kakanaanta diiwaanka dhacdada? Ugu dambeyntii - SIEM. Waxay caadi ka dhigtaa dhacdooyinka waxayna fududaysaa falanqayntooda xigta. Laakin ma ahan in aan aadno meel fog, ugu yaraan maaha marka hore. Bilawga, si loo fahmo mabaadi'da SIEM, waxay ku filnaan doontaa inaad tijaabiso utility Sysmon bilaashka ah ee cajiibka ah. Waxayna si la yaab leh u fududahay in lala shaqeeyo. Sii wad, Microsoft!
Maxay yihiin sifooyinka Symmon leeyahay?
Marka la soo koobo - macluumaad faa'iido leh oo la akhriyi karo oo ku saabsan hababka (fiiri sawirada hoose). Waxaad ka heli doontaa faa'iidooyin badan oo faa'iido leh oo aan ku jirin Log Event Windows, laakiin kuwa ugu muhiimsan waa meelaha soo socda:
- Aqoonsiga habraaca (hal jajab tobanle, ma aha hex!)
- Aqoonsiga habka waalidka
- Habka khadka taliska
- Khadka taliska ee nidaamka waalidka
- Hash sawirka faylka
- Magacyada sawirka faylka
Sysmon waxaa loo rakibay labadaba qalab ahaan darawal iyo adeeg ahaan - faahfaahin dheeraad ah Faa'iidada ugu weyn ee ay leedahay waa awoodda lagu falanqeynayo logyada dhowr ah ilaha, isku xidhka xogta iyo soo saarista qiyamka ka dhashay hal gal gal dhacdo oo ku yaala wadada Microsoft -> Windows -> Sysmon -> Hawlgelinta. Baadhitaannada timo-korrinta ee aniga u gaar ah ee ku saabsan diiwaannada Windows, waxaan is arkay naftayda si joogto ah inaan u kala beddelo, waxaad tidhaahdaa, galka PowerShell logs iyo folder-ka Amniga, aniga oo dhex mushaaxaya diiwaannada dhacdada isku day geesinimo leh oo aan isku dayey in aan isku xidho qiyamka u dhexeeya labada. . Tani weligeed hawl fudud ma aha, sidaan markii dambe ogaaday, way dhaantay in isla markiiba la kaydiyo aspirin.
Sysmon waxa uu horay u qaadaa boodboodka tirada isagoo bixinaya macluumaad faa'iido leh (ama sida iibiyayaashu jecel yihiin inay sheegaan, ficil ahaan) si ay u caawiyaan fahamka hababka hoose. Tusaale ahaan, waxaan bilaabay fadhi qarsoodi ah , isku dayaya dhaqdhaqaaqa gudaha gudaha shabakadaha. Tani waa waxa aad ku arki doonto diiwaanka dhacdada Windows:
Diiwaanka Daaqadaha wuxuu muujinayaa xoogaa macluumaad ah oo ku saabsan habka, laakiin faa'iido yar ma leh. Lagu daray nidaamka aqoonsiga ee hexadecimal???
Xirfadlaha IT-ga xirfadlaha leh ee fahamka aasaaska jabsiga, khadka amarku waa inuu noqdaa mid laga shakiyo. Isticmaalka cmd.exe si aad u socodsiiso amar kale oo dib ugu hagaajiso wax soo saarka fayl leh magac qariib ah waxay si cad ula mid tahay falalka la socodka iyo xakamaynta software. Sidan, qolof been abuur ah ayaa loo abuuray iyadoo la isticmaalayo adeegyada WMI.
Hadda aan eegno gelitaanka Sysmon ee u dhiganta, annaga oo ogaanayna inta macluumaad dheeraad ah oo ay ina siinayso:
Sysmon waxa ku jira hal sawir: macluumaad faahfaahsan oo ku saabsan habka qaab la akhriyi karo
Kaliya maaha inaad aragto khadka taliska, laakiin sidoo kale magaca faylka, jidka loo maro arjiga la fulin karo, waxa Windows ka og yahay ("Windows Command Processor"), aqoonsiga waalidnimo habka, line amarka waalid, kaas oo bilaabay qolofka cmd, iyo sidoo kale magaca faylka dhabta ah ee habka waalidka. Wax kasta oo hal meel ah, ugu dambeyntii!
Laga soo bilaabo Sysmon log waxaan ku soo gabagabeyn karnaa in heer sare oo suurtagal ah line-ka shakiga leh ee aan ku aragnay diiwaannada "ceeriin" aysan ahayn natiijada shaqada caadiga ah ee shaqaalaha. Taas lidkeeda, waxa soo saaray hab-raac C2 la mid ah - wmiexec, sidaan hore u soo sheegay - waxaana si toos ah u dhalay habka adeegga WMI (WmiPrvSe). Hadda waxaan haynaa tilmaame ah in weeraryahan fog ama qof wax u dhuundaloola uu tijaabinayo kaabayaasha shirkadda.
Soo bandhigida Get-Sysmonlogs
Dabcan way fiicantahay marka Sysmon uu dhejiyo hal meel. Laakiin waxay u badan tahay inay xitaa fiicnaan lahayd haddii aan si barnaamij ahaan u geli karno goobaha log-ga gaarka ah - tusaale ahaan, iyada oo loo marayo amarada PowerShell. Xaaladdan oo kale, waxaad qori kartaa qoraal yar oo PowerShell ah oo otomaatig u ah raadinta khataraha iman kara!
Anigu ma ahayn markii ugu horeysay ee fikrad noocaas ah leh. Way fiican tahay in qoraallada golaha qaarkood iyo GitHub Horay ayaa loo sharraxay sida loo isticmaalo PowerShell si loo kala saaro diiwaanka Sysmon. Xaaladeyda, waxaan rabay inaan iska ilaaliyo inaan qoro xariiqyo kala duwan oo qoraal ah oo falanqayn ah goob kasta oo Sysmon ah. Markaa waxaan adeegsaday mabda'a caajiska ah waxaanan filayaa in aan la yimid wax xiiso leh natiijadaas.
Qodobka ugu horreeya ee muhiimka ah waa awoodda kooxda akhri Sysmon logs, shaandhee dhacdooyinka lagama maarmaanka ah oo u soo saar natiijada doorsoomiyaha PS, sida halkan:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Haddii aad rabto inaad adigu tijaabiso amarka, adiga oo ku soo bandhigaya nuxurka qaybta ugu horreysa ee $ Events array, $ Events[0].Farriin, soo-saarku wuxuu noqon karaa taxane xardho qoraal ah oo leh qaab aad u fudud: magaca Goobta Sysmon, colon, ka dibna qiimaha laftiisa.
Hooray! Soo saarista Sysmon gelitaanka qaabka JSON u diyaarsan
Ma waxaad u malaynaysaa sidii aniga oo kale? Dadaal yar oo dheeri ah, waxaad u rogi kartaa wax soo saarka xarriiq qaabaysan JSON ka dibna si toos ah ugu dheji shayga PS adoo isticmaalaya amar awood leh .
Waxaan tusi doonaa koodka PowerShell ee beddelka - aad bay u fududahay - qaybta xigta. Hadda, aan aragno waxa amarkayga cusub ee loo yaqaan get-sysmonlogs, oo aan ku rakibay module PS ah, uu samayn karo.
Halkii aan si qoto dheer uga dhex milmi lahayn falanqaynta log ee Sysmon iyada oo loo marayo interface log dhacdo aan habboonayn, waxaan si dadaal la'aan ah uga raadin karnaa waxqabadyada kordhinta si toos ah kalfadhiga PowerShell, iyo sidoo kale adeegsiga amarka PS (loo yaqaan - "?") si loo gaabiyo natiijooyinka raadinta:
Liiska qolofka cmd ee lagu bilaabay WMI. Falanqaynta Hanjabaadda ee Raqiiska ah ee Kooxdayada Hel-Sysmonlogs
Cajiib! Waxaan sameeyay qalab aan ku codeeyo log Sysmon sidii inay tahay xog ururin. Maqaalkeena ku saabsan Waxaa la xusay in shaqadan ay fulin doonto utility qabow ee lagu sharraxay, inkasta oo si rasmi ah weli loo marayo interface-ka dhabta ah ee SQL. Haa, EQL xarrago leh, laakiin waxaynu ku taaban doonaa qaybta saddexaad.
Sysmon and graph analysis
Aynu dib u soo noqono oo ka fikirno waxa aynu hadda abuurnay. Asal ahaan, waxaan hadda haysanaa xogta dhacdooyinka Windows oo laga heli karo PowerShell. Sidaan hore u sheegay, waxa jira xidhiidho ama xidhiidho ka dhexeeya diiwaanada -iyada oo loo sii marayo ParentProcessId - si loo helo nidaam kala sareyn oo dhamaystiran.
Haddii aad akhriday taxanaha waxaad ogtahay in hackers ay jecel yihiin inay abuuraan weeraro isku dhafan oo marxalado badan leh, kaas oo hab kastaa uu ciyaaro doorkiisa yar oo uu u diyaariyo guga tallaabada xigta. Aad bay u adag tahay in waxyaalahan oo kale si fudud looga soo qaato buugga "ceeriin".
Laakin amarkayga Get-Sysmonlogs iyo qaab dhismeedka xogta dheeraadka ah waxaan ku eegi doonaa dambe qoraalka (garaaf, dabcan), waxaan haysanaa hab wax ku ool ah oo lagu ogaan karo hanjabaadaha - taas oo u baahan samaynta raadinta saxda ah ee saxda ah.
Sida had iyo jeer mashruucyada blog-ka ee DYI, inbadan oo aad ka shaqeyso falanqaynta faahfaahinta hanjabaadaha cabir yar, waxaad ogaan doontaa sida ogaanshaha khatarta ah u adag yahay heerka ganacsiga. Oo wacyigani aad buu u weyn yahay qodob muhiim ah.
Waxaan la kulmi doonaa dhibaatooyinka ugu horreeya ee xiisaha leh qaybta labaad ee maqaalka, halkaas oo aan bilaabi doono inaan ku xidhno dhacdooyinka Sysmon midba midka kale qaab dhismeed aad u adag.
Source: www.habr.com