Tulisan ieu mangrupikeun bagian mimiti séri ngeunaan analisis ancaman Sysmon. Sadaya bagian séjén séri:
Bagian 1: Bubuka pikeun Sysmon Log Analisis (urang di dieu)
Bagian 2: Ngagunakeun Data Acara Sysmon pikeun Ngidentipikasi Ancaman
Bagian 3. Analisis jero ngeunaan ancaman Sysmon nganggo grafik
Upami anjeun damel di kaamanan inpormasi, anjeun sigana sering kedah ngartos serangan anu lumangsung. Upami anjeun parantos gaduh panon anu terlatih, anjeun tiasa milarian kagiatan non-standar dina log "atah" anu teu diolah - sebutkeun, skrip PowerShell jalan. atanapi skrip VBS nyamar janten file Word - ngan saukur ngagulung kagiatan panganyarna dina log acara Windows. Tapi ieu téh nyeri sirah bener badag. Kabeneran, Microsoft nyiptakeun Sysmon, anu ngajantenkeun analisa serangan langkung gampang.
Hoyong ngartos ide dasar di balik ancaman anu dipidangkeun dina log Sysmon? Unduh pituduh kami jeung anjeun sadar kumaha insiders surreptitiously bisa niténan pagawé lianna. Masalah utama kalawan gawé bareng log acara Windows nyaeta kurangna informasi ngeunaan prosés indungna, i.e. mustahil ngartos hirarki prosés ti dinya. Éntri log Sysmon, sabalikna, ngandung ID prosés indungna, namina, sareng garis paréntah anu bakal diluncurkeun. Hatur nuhun, Microsoft.
Dina bagian mimiti séri kami, urang bakal ningali naon anu anjeun tiasa laksanakeun sareng inpormasi dasar tina Sysmon. Dina Bagian XNUMX, urang bakal ngamangpaatkeun pinuh inpormasi prosés indungna pikeun nyiptakeun struktur patuh anu langkung kompleks anu katelah grafik ancaman. Dina bagian katilu, urang bakal kasampak di algoritma basajan nu nyeken grafik anceman pikeun neangan aktivitas mahiwal ku analisa "beurat" grafik. Sareng dina tungtungna, anjeun bakal diganjar ku metode deteksi ancaman probabilistik anu rapih (sareng kaharti).
Bagian 1: Bubuka pikeun Sysmon Log Analisis
Naon anu tiasa ngabantosan anjeun ngartos pajeulitna log acara? Pamustunganana - SIEM. Ieu normalizes kajadian jeung simplifies analisis saterusna maranéhanana. Tapi urang teu kudu indit jauh, sahenteuna henteu mimitina. Dina awalna, pikeun ngartos prinsip SIEM, éta bakal cekap pikeun nyobian utilitas Sysmon gratis anu saé. Sareng anjeunna heran gampang dianggo. Teruskeun, Microsoft!
Naon fitur anu Sysmon gaduh?
Pondokna - informasi mangpaat tur bisa dibaca ngeunaan prosés (tingali gambar di handap). Anjeun bakal mendakan seueur inpormasi anu mangpaat anu henteu aya dina Log Acara Windows, tapi anu paling penting nyaéta widang ieu:
- ID Prosés (dina decimal, sanes hex!)
- ID prosés kolot
- Garis paréntah prosés
- Garis paréntah tina prosés indungna
- Hash gambar file
- Ngaran gambar file
Sysmon dipasang duanana salaku supir alat sareng salaku jasa - langkung rinci Kauntungannana konci na nyaéta kamampuhan pikeun nganalisis log ti sababaraha sumber, korelasi inpormasi sareng kaluaran nilai anu hasilna kana hiji folder log acara anu aya di sapanjang jalur Microsoft -> Windows -> Sysmon -> Operasional. Dina panyilidikan rambut-rambut kuring sorangan kana log Windows, kuring mendakan kuring kedah ngalih antara, sebutkeun, folder log PowerShell sareng folder Kaamanan, nyintreuk log acara dina usaha anu gagah pikeun kumaha waé ngahubungkeun nilai antara dua. . Ieu sanés mangrupikeun tugas anu gampang, sareng nalika kuring sadar, éta langkung saé pikeun langsung stock aspirin.
Sysmon nyandak kabisat kuantum ka hareup ku nyayogikeun inpormasi anu mangpaat (atanapi sapertos anu didamel ku padagang, tiasa dilaksanakeun) pikeun ngabantosan prosés anu aya dina dasarna. Contona, kuring ngamimitian sési rusiah , simulating gerakan hiji insider pinter dina jaringan. Ieu anu anjeun tingali dina log acara Windows:
Log Windows nunjukkeun sababaraha inpormasi ngeunaan prosésna, tapi éta sakedik dianggo. Ditambah prosés ID dina heksadesimal???
Pikeun profésional IT profésional sareng pamahaman dasar-dasar hacking, garis paréntah kedah curiga. Nganggo cmd.exe teras ngajalankeun paréntah anu sanés sareng alihan kaluaran kana file anu nami anéh jelas sami sareng tindakan ngawaskeun sareng ngontrol parangkat lunak. : Ku cara kieu, pseudo-cangkang dijieun ngagunakeun jasa WMI.
Ayeuna hayu urang tingali dina éntri Sysmon sarimbag, perhatikeun sabaraha inpormasi tambahan anu dipasihkeun ka urang:
Fitur Sysmon dina hiji layar: inpormasi lengkep ngeunaan prosés dina bentuk anu tiasa dibaca
Anjeun henteu ngan ukur ningali garis paréntah, tapi ogé nami file, jalur ka aplikasi anu tiasa dieksekusi, naon anu Windows terang ngeunaan éta ("Windows Command Processor"), identifier. kolot prosés, garis paréntah kolot, anu ngaluncurkeun cangkang cmd, ogé nami file nyata tina prosés indungna. Sagalana di hiji tempat, tungtungna!
Tina log Sysmon urang tiasa nyimpulkeun yén kalayan probabilitas anu luhur, garis paréntah anu curiga anu urang tingali dina log "atah" sanés hasil tina padamelan normal para karyawan. Sabalikna, éta dihasilkeun ku prosés C2-kawas - wmiexec, sakumaha kuring disebutkeun saméméhna - sarta ieu langsung spawned ku prosés layanan WMI (WmiPrvSe). Ayeuna urang gaduh indikator yén panyerang jauh atanapi insider nuju nguji infrastruktur perusahaan.
Ngawanohkeun Get-Sysmonlogs
Tangtu éta hébat nalika Sysmon nempatkeun log di hiji tempat. Tapi sigana bakal langkung saé upami urang tiasa ngaksés widang log individu sacara terprogram - contona, ngalangkungan paréntah PowerShell. Dina hal ieu, anjeun tiasa nyerat skrip PowerShell leutik anu bakal ngajadikeun otomatis milarian poténsi ancaman!
Abdi sanés anu munggaran gaduh ide sapertos kitu. Sareng éta saé dina sababaraha tulisan forum sareng GitHub Parantos dipedar kumaha cara ngagunakeun PowerShell pikeun nga-parse log Sysmon. Dina hal kuring, kuring hoyong nyingkahan kedah nyerat garis anu misah tina skrip parsing pikeun tiap widang Sysmon. Janten kuring nganggo prinsip lalaki anu teu puguh sareng kuring pikir kuring mendakan anu pikaresepeun salaku hasilna.
Titik penting kahiji nyaéta kamampuan tim baca log Sysmon, nyaring kajadian anu diperyogikeun sareng kaluaran hasilna kana variabel PS, sapertos kieu:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Lamun hayang nguji paréntah sorangan, ku mintonkeun eusi dina unsur kahiji tina $events array, $events[0].Pesen, output bisa jadi runtuyan string téks kalawan format basajan pisan: ngaran widang Sysmon, titik hiji, lajeng nilai sorangan.
Horeeee! Outputting Sysmon log kana format JSON-siap
Naha anjeun mikiran hal anu sami sareng kuring? Kalayan usaha sakedik deui, anjeun tiasa ngarobih kaluaran kana senar anu diformat JSON teras ngamuat langsung kana objék PS nganggo paréntah anu kuat. .
Kuring bakal nunjukkeun kodeu PowerShell pikeun konvérsi - éta saderhana pisan - dina bagian salajengna. Pikeun ayeuna mah, hayu urang tingali naon paréntah anyar kuring disebut get-sysmonlogs, nu kuring dipasang salaku modul PS, tiasa ngalakukeun.
Tinimbang nyilem jero kana analisis log Sysmon ngaliwatan antarmuka log acara anu teu merenah, urang tiasa sacara gampil milarian kagiatan incremental langsung tina sési PowerShell, ogé nganggo paréntah PS. (alias - "?") pikeun pondok hasil pamilarian:
Daptar cangkang cmd diluncurkeun via WMI. Analisis Ancaman dina Murah sareng Tim Get-Sysmonlogs Urang Sendiri
Hebat! Kuring nyieun alat pikeun polling log Sysmon saolah-olah éta database. Dina artikel kami ngeunaan eta ieu dicatet yén pungsi ieu bakal dipigawé ku utiliti tiis dijelaskeun dina eta, sanajan formal masih ngaliwatan panganteur SQL-kawas nyata. Leres, EQL elegan, tapi urang bakal nyabak dina bagian katilu.
Sysmon jeung analisis grafik
Hayu urang mundur sareng pikirkeun naon anu urang ciptakeun. Intina, urang ayeuna gaduh database acara Windows anu tiasa diaksés ngalangkungan PowerShell. Salaku I nyatet saméméhna, aya sambungan atawa hubungan antara rékaman - via ParentProcessId - jadi hiji hirarki lengkep prosés bisa didapet.
Lamun geus maca séri anjeun terang yén hacker resep nyiptakeun serangan multi-tahap anu kompleks, dimana unggal prosés maénkeun peran leutik sorangan sareng nyiapkeun springboard pikeun léngkah salajengna. Hésé pisan pikeun nyekel hal-hal sapertos kitu tina log "atah".
Tapi kalayan paréntah Get-Sysmonlogs kuring sareng struktur data tambahan anu bakal urang tingali dina téks (dina grafik, tangtosna), urang gaduh cara praktis pikeun ngadeteksi ancaman - anu ngan ukur peryogi milarian vertex anu leres.
Sapertos biasa sareng proyék blog DYI kami, langkung seueur anjeun damel dina nganalisa detil ancaman dina skala leutik, langkung anjeun bakal sadar kumaha kompleks deteksi ancaman dina tingkat perusahaan. Sareng kasadaran ieu pisan titik penting.
Kami bakal mendakan komplikasi anu pikaresepeun anu munggaran dina bagian kadua tulisan, dimana urang bakal ngamimitian nyambungkeun acara Sysmon saling kana struktur anu langkung kompleks.
sumber: www.habr.com