Maqaalkani waa qaybta koowaad ee taxane ah oo ku saabsan falanqaynta khatarta Sysmon. Dhammaan qaybaha kale ee taxanaha:
Qaybta 1: Hordhac Falanqaynta Diiwaanka Sysmon (waan joognaa)
Qeybta 2: Isticmaalka Xogta Dhacdada Sysmon si loo Aqoonsado Hanjabaadaha
Qaybta 3. Falanqaynta qoto dheer ee hanjabaadaha Sysmon iyadoo la isticmaalayo garaafyo
Haddii aad ka shaqeyso amniga macluumaadka, waxay u badan tahay inaad inta badan fahamto weerarada socda. Haddii aad hore u leedahay indho tababaran, waxaad ka raadin kartaa hawl aan caadi ahayn oo ku jirta diiwaannada "ceeriin" ee aan la farsamayn - dheh, qoraalka PowerShell
Ma doonaysaa inaad fahanto fikradaha aasaasiga ah ee ka dambeeya hanjabaadaha lagu soo bandhigay buugga Sysmon? Soo deji hagahayaga
Qaybta hore ee taxanaheenna, waxaan ku eegi doonaa waxaad ku samayn karto macluumaadka aasaasiga ah ee Sysmon. Qaybta XNUMX, waxaanu si buuxda uga faa'iidaysan doonaa habka macluumaadka waalidka si aanu u abuurno qaabab u hogaansanaan kakan oo loo yaqaan garaafyada khatarta ah. Qaybta saddexaad, waxaan eegi doonaa algorithm fudud oo sawiraya garaafka khatarta ah si loo raadiyo waxqabadyo aan caadi ahayn iyadoo la falanqeynayo "miisaanka" garaafka. Dhammaadkana, waxa lagugu abaal marin doonaa hab hagaagsan (oo la fahmi karo) oo ah habka ogaanshaha khatarta.
Qaybta 1: Hordhac Falanqaynta Diiwaanka Sysmon
Maxaa kaa caawin kara inaad fahanto kakanaanta diiwaanka dhacdada? Ugu dambeyntii - SIEM. Waxay caadi ka dhigtaa dhacdooyinka waxayna fududaysaa falanqayntooda xigta. Laakin ma ahan in aan aadno meel fog, ugu yaraan maaha marka hore. Bilawga, si loo fahmo mabaadi'da SIEM, waxay ku filnaan doontaa inaad tijaabiso utility Sysmon bilaashka ah ee cajiibka ah. Waxayna si la yaab leh u fududahay in lala shaqeeyo. Sii wad, Microsoft!
Maxay yihiin sifooyinka Symmon leeyahay?
Marka la soo koobo - macluumaad faa'iido leh oo la akhriyi karo oo ku saabsan hababka (fiiri sawirada hoose). Waxaad ka heli doontaa faa'iidooyin badan oo faa'iido leh oo aan ku jirin Log Event Windows, laakiin kuwa ugu muhiimsan waa meelaha soo socda:
- Aqoonsiga habraaca (hal jajab tobanle, ma aha hex!)
- Aqoonsiga habka waalidka
- Habka khadka taliska
- Khadka taliska ee nidaamka waalidka
- Hash sawirka faylka
- Magacyada sawirka faylka
Sysmon waxaa loo rakibay labadaba qalab ahaan darawal iyo adeeg ahaan - faahfaahin dheeraad ah
Sysmon waxa uu horay u qaadaa boodboodka tirada isagoo bixinaya macluumaad faa'iido leh (ama sida iibiyayaashu jecel yihiin inay sheegaan, ficil ahaan) si ay u caawiyaan fahamka hababka hoose. Tusaale ahaan, waxaan bilaabay fadhi qarsoodi ah
Diiwaanka Daaqadaha wuxuu muujinayaa xoogaa macluumaad ah oo ku saabsan habka, laakiin faa'iido yar ma leh. Lagu daray nidaamka aqoonsiga ee hexadecimal???
Xirfadlaha IT-ga xirfadlaha leh ee fahamka aasaaska jabsiga, khadka amarku waa inuu noqdaa mid laga shakiyo. Isticmaalka cmd.exe si aad u socodsiiso amar kale oo dib ugu hagaajiso wax soo saarka fayl leh magac qariib ah waxay si cad ula mid tahay falalka la socodka iyo xakamaynta software.
Hadda aan eegno gelitaanka Sysmon ee u dhiganta, annaga oo ogaanayna inta macluumaad dheeraad ah oo ay ina siinayso:
Sysmon waxa ku jira hal sawir: macluumaad faahfaahsan oo ku saabsan habka qaab la akhriyi karo
Kaliya maaha inaad aragto khadka taliska, laakiin sidoo kale magaca faylka, jidka loo maro arjiga la fulin karo, waxa Windows ka og yahay ("Windows Command Processor"), aqoonsiga waalidnimo habka, line amarka waalid, kaas oo bilaabay qolofka cmd, iyo sidoo kale magaca faylka dhabta ah ee habka waalidka. Wax kasta oo hal meel ah, ugu dambeyntii!
Laga soo bilaabo Sysmon log waxaan ku soo gabagabeyn karnaa in heer sare oo suurtagal ah line-ka shakiga leh ee aan ku aragnay diiwaannada "ceeriin" aysan ahayn natiijada shaqada caadiga ah ee shaqaalaha. Taas lidkeeda, waxa soo saaray hab-raac C2 la mid ah - wmiexec, sidaan hore u soo sheegay - waxaana si toos ah u dhalay habka adeegga WMI (WmiPrvSe). Hadda waxaan haynaa tilmaame ah in weeraryahan fog ama qof wax u dhuundaloola uu tijaabinayo kaabayaasha shirkadda.
Soo bandhigida Get-Sysmonlogs
Dabcan way fiicantahay marka Sysmon uu dhejiyo hal meel. Laakiin waxay u badan tahay inay xitaa fiicnaan lahayd haddii aan si barnaamij ahaan u geli karno goobaha log-ga gaarka ah - tusaale ahaan, iyada oo loo marayo amarada PowerShell. Xaaladdan oo kale, waxaad qori kartaa qoraal yar oo PowerShell ah oo otomaatig u ah raadinta khataraha iman kara!
Anigu ma ahayn markii ugu horeysay ee fikrad noocaas ah leh. Way fiican tahay in qoraallada golaha qaarkood iyo GitHub
Qodobka ugu horreeya ee muhiimka ah waa awoodda kooxda
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Haddii aad rabto inaad adigu tijaabiso amarka, adiga oo ku soo bandhigaya nuxurka qaybta ugu horreysa ee $ Events array, $ Events[0].Farriin, soo-saarku wuxuu noqon karaa taxane xardho qoraal ah oo leh qaab aad u fudud: magaca Goobta Sysmon, colon, ka dibna qiimaha laftiisa.
Hooray! Soo saarista Sysmon gelitaanka qaabka JSON u diyaarsan
Ma waxaad u malaynaysaa sidii aniga oo kale? Dadaal yar oo dheeri ah, waxaad u rogi kartaa wax soo saarka xarriiq qaabaysan JSON ka dibna si toos ah ugu dheji shayga PS adoo isticmaalaya amar awood leh
Waxaan tusi doonaa koodka PowerShell ee beddelka - aad bay u fududahay - qaybta xigta. Hadda, aan aragno waxa amarkayga cusub ee loo yaqaan get-sysmonlogs, oo aan ku rakibay module PS ah, uu samayn karo.
Halkii aan si qoto dheer uga dhex milmi lahayn falanqaynta log ee Sysmon iyada oo loo marayo interface log dhacdo aan habboonayn, waxaan si dadaal la'aan ah uga raadin karnaa waxqabadyada kordhinta si toos ah kalfadhiga PowerShell, iyo sidoo kale adeegsiga amarka PS
Liiska qolofka cmd ee lagu bilaabay WMI. Falanqaynta Hanjabaadda ee Raqiiska ah ee Kooxdayada Hel-Sysmonlogs
Cajiib! Waxaan sameeyay qalab aan ku codeeyo log Sysmon sidii inay tahay xog ururin. Maqaalkeena ku saabsan
Sysmon and graph analysis
Aynu dib u soo noqono oo ka fikirno waxa aynu hadda abuurnay. Asal ahaan, waxaan hadda haysanaa xogta dhacdooyinka Windows oo laga heli karo PowerShell. Sidaan hore u sheegay, waxa jira xidhiidho ama xidhiidho ka dhexeeya diiwaanada -iyada oo loo sii marayo ParentProcessId - si loo helo nidaam kala sareyn oo dhamaystiran.
Haddii aad akhriday taxanaha
Laakin amarkayga Get-Sysmonlogs iyo qaab dhismeedka xogta dheeraadka ah waxaan ku eegi doonaa dambe qoraalka (garaaf, dabcan), waxaan haysanaa hab wax ku ool ah oo lagu ogaan karo hanjabaadaha - taas oo u baahan samaynta raadinta saxda ah ee saxda ah.
Sida had iyo jeer mashruucyada blog-ka ee DYI, inbadan oo aad ka shaqeyso falanqaynta faahfaahinta hanjabaadaha cabir yar, waxaad ogaan doontaa sida ogaanshaha khatarta ah u adag yahay heerka ganacsiga. Oo wacyigani aad buu u weyn yahay qodob muhiim ah.
Waxaan la kulmi doonaa dhibaatooyinka ugu horreeya ee xiisaha leh qaybta labaad ee maqaalka, halkaas oo aan bilaabi doono inaan ku xidhno dhacdooyinka Sysmon midba midka kale qaab dhismeed aad u adag.
Source: www.habr.com