Makala haya ni sehemu ya kwanza ya mfululizo wa uchanganuzi wa tishio la Sysmon. Sehemu zingine zote za safu:
Sehemu ya 1: Utangulizi wa Uchambuzi wa Kumbukumbu ya Sysmon (tuko hapa)
Sehemu ya 2: Kutumia Data ya Tukio la Sysmon Kutambua Vitisho
Sehemu ya 3. Uchambuzi wa kina wa vitisho vya Sysmon kwa kutumia grafu
Ikiwa unafanya kazi katika usalama wa habari, labda mara nyingi unapaswa kuelewa mashambulizi yanayoendelea. Ikiwa tayari una jicho lililofunzwa, unaweza kutafuta shughuli isiyo ya kawaida kwenye kumbukumbu "mbichi" ambazo hazijachakatwa - sema, hati ya PowerShell inayoendesha.
Je, ungependa kuelewa mawazo ya kimsingi nyuma ya vitisho vinavyoonyeshwa kwenye kumbukumbu ya Sysmon? Pakua mwongozo wetu
Katika sehemu ya kwanza ya mfululizo wetu, tutaangalia unachoweza kufanya na maelezo ya msingi kutoka kwa Sysmon. Katika Sehemu ya XNUMX, tutachukua manufaa kamili ya maelezo ya mchakato wa mzazi kuunda miundo changamano zaidi ya kufuata inayojulikana kama grafu za vitisho. Katika sehemu ya tatu, tutaangalia algorithm rahisi ambayo inachunguza grafu ya tishio ili kutafuta shughuli isiyo ya kawaida kwa kuchambua "uzito" wa grafu. Na mwisho, utathawabishwa kwa njia safi (na inayoeleweka) ya kutambua tishio inayowezekana.
Sehemu ya 1: Utangulizi wa Uchambuzi wa Kumbukumbu ya Sysmon
Ni nini kinachoweza kukusaidia kuelewa ugumu wa kumbukumbu ya tukio? Hatimaye - SIEM. Inasawazisha matukio na kurahisisha uchambuzi wao unaofuata. Lakini si lazima kwenda mbali hivyo, angalau si mara ya kwanza. Hapo mwanzo, kuelewa kanuni za SIEM, itakuwa ya kutosha kujaribu matumizi ya bure ya Sysmon. Na yeye ni rahisi kushangaza kufanya kazi naye. Endelea hivyo, Microsoft!
Je, Sysmon ana sifa gani?
Kwa kifupi - habari muhimu na inayoweza kusomeka juu ya michakato (tazama picha hapa chini). Utapata rundo la maelezo muhimu ambayo hayako kwenye Kumbukumbu ya Tukio la Windows, lakini muhimu zaidi ni sehemu zifuatazo:
- Kitambulisho cha mchakato (katika desimali, si hex!)
- Kitambulisho cha mchakato wa mzazi
- Mchakato mstari wa amri
- Mstari wa amri wa mchakato wa mzazi
- Hashi ya picha ya faili
- Majina ya picha za faili
Sysmon imewekwa kama kiendesha kifaa na kama huduma - maelezo zaidi
Sysmon inachukua kasi zaidi kwa kutoa taarifa muhimu (au kama vile wachuuzi wanapenda kusema, inayoweza kutekelezeka) ili kusaidia kuelewa michakato ya msingi. Kwa mfano, nilianza kikao cha siri
Logi ya Windows inaonyesha habari fulani juu ya mchakato, lakini ni ya matumizi kidogo. Vitambulisho vya mchakato wa pamoja katika heksadesimali???
Kwa mtaalamu wa IT mwenye ufahamu wa misingi ya hacking, mstari wa amri unapaswa kuwa na shaka. Kutumia cmd.exe kisha kutekeleza amri nyingine na kuelekeza pato kwa faili iliyo na jina la kushangaza ni sawa na vitendo vya ufuatiliaji na udhibiti wa programu.
Sasa hebu tuangalie ingizo la Sysmon, tukiona ni habari ngapi ya ziada inatupa:
Vipengele vya Sysmon katika picha moja ya skrini: maelezo ya kina kuhusu mchakato katika fomu inayoweza kusomeka
Hauoni tu safu ya amri, lakini pia jina la faili, njia ya utumiaji inayoweza kutekelezwa, Windows inajua nini juu yake ("Windows Command Processor"), kitambulisho. mzazi mchakato, mstari wa amri mzazi, ambayo ilizindua ganda la cmd, pamoja na jina halisi la faili la mchakato wa mzazi. Kila kitu katika sehemu moja, hatimaye!
Kutoka kwa logi ya Sysmon tunaweza kuhitimisha kwamba kwa kiwango cha juu cha uwezekano mstari huu wa amri wa tuhuma ambao tuliona kwenye magogo "mbichi" sio matokeo ya kazi ya kawaida ya mfanyakazi. Badala yake, ilitolewa na mchakato kama wa C2 - wmiexec, kama nilivyotaja hapo awali - na ilitolewa moja kwa moja na mchakato wa huduma ya WMI (WmiPrvSe). Sasa tuna kiashiria kuwa mshambuliaji wa mbali au mtu wa ndani anajaribu miundombinu ya shirika.
Tunakuletea Pata-Sysmonlogs
Kwa kweli ni nzuri wakati Sysmon inaweka magogo mahali pamoja. Lakini pengine itakuwa bora zaidi ikiwa tunaweza kufikia sehemu za kumbukumbu za kibinafsi kwa utaratibu - kwa mfano, kupitia amri za PowerShell. Katika kesi hii, unaweza kuandika hati ndogo ya PowerShell ambayo inaweza kubinafsisha utaftaji wa vitisho vinavyowezekana!
Sikuwa wa kwanza kuwa na wazo kama hilo. Na ni vizuri kuwa katika machapisho kadhaa ya jukwaa na GitHub
Jambo la kwanza muhimu ni uwezo wa timu
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Ikiwa unataka kujaribu amri mwenyewe, kwa kuonyesha maudhui katika kipengele cha kwanza cha safu ya matukio ya $, $events[0].Ujumbe, matokeo yanaweza kuwa mfululizo wa mifuatano ya maandishi yenye umbizo rahisi sana: jina la Sehemu ya Sysmon, koloni, na kisha thamani yenyewe.
Hooray! Inatoa Sysmon ingia katika umbizo lililo tayari la JSON
Je, unawaza sawa na mimi? Kwa bidii zaidi, unaweza kubadilisha pato kuwa kamba iliyoumbizwa na JSON kisha kuipakia moja kwa moja kwenye kitu cha PS kwa kutumia amri yenye nguvu.
Nitaonyesha msimbo wa PowerShell kwa ubadilishaji - ni rahisi sana - katika sehemu inayofuata. Kwa sasa, wacha tuone ni nini amri yangu mpya inayoitwa get-sysmonlogs, ambayo nilisakinisha kama moduli ya PS, inaweza kufanya.
Badala ya kupiga mbizi ndani ya uchanganuzi wa logi ya Sysmon kupitia kiolesura cha logi cha matukio kisichofaa, tunaweza kutafuta kwa urahisi shughuli za nyongeza moja kwa moja kutoka kwa kipindi cha PowerShell, na pia kutumia amri ya PS.
Orodha ya makombora ya cmd iliyozinduliwa kupitia WMI. Uchambuzi wa Vitisho kwa Nafuu na Timu Yetu ya Pata-Sysmonlogs
Ajabu! Niliunda zana ya kupigia kura logi ya Sysmon kana kwamba ni hifadhidata. Katika makala yetu kuhusu
Uchambuzi wa Sysmon na grafu
Wacha turudi nyuma na tufikirie kile tulichounda. Kimsingi, sasa tuna hifadhidata ya matukio ya Windows inayopatikana kupitia PowerShell. Kama nilivyoona hapo awali, kuna miunganisho au uhusiano kati ya rekodi - kupitia ParentProcessId - kwa hivyo safu kamili ya michakato inaweza kupatikana.
Ikiwa umesoma mfululizo
Lakini kwa amri yangu ya Get-Sysmonlogs na muundo wa ziada wa data tutaangalia baadaye katika maandishi (grafu, bila shaka), tuna njia ya vitendo ya kugundua vitisho - ambayo inahitaji tu kufanya utafutaji sahihi wa kipeo.
Kama kawaida na miradi yetu ya blogu ya DYI, kadri unavyojitahidi zaidi kuchanganua maelezo ya vitisho kwa kiwango kidogo, ndivyo utakavyogundua jinsi ugunduzi wa tishio ulivyo tata katika kiwango cha biashara. Na ufahamu huu ni mkubwa sana hatua muhimu.
Tutakutana na shida za kwanza za kupendeza katika sehemu ya pili ya kifungu, ambapo tutaanza kuunganisha matukio ya Sysmon na kila mmoja katika miundo ngumu zaidi.
Chanzo: mapenzi.com