Makala haya ni sehemu ya kwanza ya mfululizo wa uchanganuzi wa tishio la Sysmon. Sehemu zingine zote za safu:
Sehemu ya 1: Utangulizi wa Uchambuzi wa Kumbukumbu ya Sysmon (tuko hapa)
Sehemu ya 2: Kutumia Data ya Tukio la Sysmon Kutambua Vitisho
Sehemu ya 3. Uchambuzi wa kina wa vitisho vya Sysmon kwa kutumia grafu
Ikiwa unafanya kazi katika usalama wa habari, labda mara nyingi unapaswa kuelewa mashambulizi yanayoendelea. Ikiwa tayari una jicho lililofunzwa, unaweza kutafuta shughuli isiyo ya kawaida kwenye kumbukumbu "mbichi" ambazo hazijachakatwa - sema, hati ya PowerShell inayoendesha. au hati ya VBS inayojifanya kuwa faili ya Word - kutembeza tu shughuli za hivi punde katika logi ya tukio la Windows. Lakini hii ni maumivu ya kichwa sana. Kwa bahati nzuri, Microsoft iliunda Sysmon, ambayo hurahisisha uchambuzi wa mashambulizi.
Je, ungependa kuelewa mawazo ya kimsingi nyuma ya vitisho vinavyoonyeshwa kwenye kumbukumbu ya Sysmon? Pakua mwongozo wetu na unatambua jinsi watu wa ndani wanaweza kuchunguza wafanyakazi wengine kwa siri. Tatizo kuu la kufanya kazi na logi ya tukio la Windows ni ukosefu wa taarifa kuhusu michakato ya wazazi, i.e. haiwezekani kuelewa uongozi wa michakato kutoka kwake. Maingizo ya kumbukumbu ya Sysmon, kwa upande mwingine, yana kitambulisho cha mchakato wa mzazi, jina lake, na mstari wa amri utakaozinduliwa. Asante, Microsoft.
Katika sehemu ya kwanza ya mfululizo wetu, tutaangalia unachoweza kufanya na maelezo ya msingi kutoka kwa Sysmon. Katika Sehemu ya XNUMX, tutachukua manufaa kamili ya maelezo ya mchakato wa mzazi kuunda miundo changamano zaidi ya kufuata inayojulikana kama grafu za vitisho. Katika sehemu ya tatu, tutaangalia algorithm rahisi ambayo inachunguza grafu ya tishio ili kutafuta shughuli isiyo ya kawaida kwa kuchambua "uzito" wa grafu. Na mwisho, utathawabishwa kwa njia safi (na inayoeleweka) ya kutambua tishio inayowezekana.
Sehemu ya 1: Utangulizi wa Uchambuzi wa Kumbukumbu ya Sysmon
Ni nini kinachoweza kukusaidia kuelewa ugumu wa kumbukumbu ya tukio? Hatimaye - SIEM. Inasawazisha matukio na kurahisisha uchambuzi wao unaofuata. Lakini si lazima kwenda mbali hivyo, angalau si mara ya kwanza. Hapo mwanzo, kuelewa kanuni za SIEM, itakuwa ya kutosha kujaribu matumizi ya bure ya Sysmon. Na yeye ni rahisi kushangaza kufanya kazi naye. Endelea hivyo, Microsoft!
Je, Sysmon ana sifa gani?
Kwa kifupi - habari muhimu na inayoweza kusomeka juu ya michakato (tazama picha hapa chini). Utapata rundo la maelezo muhimu ambayo hayako kwenye Kumbukumbu ya Tukio la Windows, lakini muhimu zaidi ni sehemu zifuatazo:
- Kitambulisho cha mchakato (katika desimali, si hex!)
- Kitambulisho cha mchakato wa mzazi
- Mchakato mstari wa amri
- Mstari wa amri wa mchakato wa mzazi
- Hashi ya picha ya faili
- Majina ya picha za faili
Sysmon imewekwa kama kiendesha kifaa na kama huduma - maelezo zaidi Faida yake muhimu ni uwezo wa kuchambua magogo kutoka РР¡¡ΠΠΡ Β»ΠΠΠΠ ... vyanzo, uunganisho wa habari na matokeo ya maadili yanayotokana na folda moja ya kumbukumbu ya tukio iliyoko kando ya njia Microsoft -> Windows -> Sysmon -> Uendeshaji. Katika uchunguzi wangu mwenyewe wa kuinua nywele kwenye magogo ya Windows, nilijikuta nikilazimika kubadili kila mara kati, sema, folda ya kumbukumbu ya PowerShell na folda ya Usalama, nikipitia magogo ya tukio katika jaribio la shujaa la kuunganisha maadili kati ya hizo mbili. . Hili sio kazi rahisi kamwe, na kama nilivyogundua baadaye, ilikuwa bora kuhifadhi aspirini mara moja.
Sysmon inachukua kasi zaidi kwa kutoa taarifa muhimu (au kama vile wachuuzi wanapenda kusema, inayoweza kutekelezeka) ili kusaidia kuelewa michakato ya msingi. Kwa mfano, nilianza kikao cha siri , kuiga mwendo wa mtu mahiri ndani ya mtandao. Hii ndio utaona kwenye logi ya tukio la Windows:
Logi ya Windows inaonyesha habari fulani juu ya mchakato, lakini ni ya matumizi kidogo. Vitambulisho vya mchakato wa pamoja katika heksadesimali???
Kwa mtaalamu wa IT mwenye ufahamu wa misingi ya hacking, mstari wa amri unapaswa kuwa na shaka. Kutumia cmd.exe kisha kutekeleza amri nyingine na kuelekeza pato kwa faili iliyo na jina la kushangaza ni sawa na vitendo vya ufuatiliaji na udhibiti wa programu. : Kwa njia hii, shell-pseudo inaundwa kwa kutumia huduma za WMI.
Sasa hebu tuangalie ingizo la Sysmon, tukiona ni habari ngapi ya ziada inatupa:
Vipengele vya Sysmon katika picha moja ya skrini: maelezo ya kina kuhusu mchakato katika fomu inayoweza kusomeka
Hauoni tu safu ya amri, lakini pia jina la faili, njia ya utumiaji inayoweza kutekelezwa, Windows inajua nini juu yake ("Windows Command Processor"), kitambulisho. mzazi mchakato, mstari wa amri mzazi, ambayo ilizindua ganda la cmd, pamoja na jina halisi la faili la mchakato wa mzazi. Kila kitu katika sehemu moja, hatimaye!
Kutoka kwa logi ya Sysmon tunaweza kuhitimisha kwamba kwa kiwango cha juu cha uwezekano mstari huu wa amri wa tuhuma ambao tuliona kwenye magogo "mbichi" sio matokeo ya kazi ya kawaida ya mfanyakazi. Badala yake, ilitolewa na mchakato kama wa C2 - wmiexec, kama nilivyotaja hapo awali - na ilitolewa moja kwa moja na mchakato wa huduma ya WMI (WmiPrvSe). Sasa tuna kiashiria kuwa mshambuliaji wa mbali au mtu wa ndani anajaribu miundombinu ya shirika.
Tunakuletea Pata-Sysmonlogs
Kwa kweli ni nzuri wakati Sysmon inaweka magogo mahali pamoja. Lakini pengine itakuwa bora zaidi ikiwa tunaweza kufikia sehemu za kumbukumbu za kibinafsi kwa utaratibu - kwa mfano, kupitia amri za PowerShell. Katika kesi hii, unaweza kuandika hati ndogo ya PowerShell ambayo inaweza kubinafsisha utaftaji wa vitisho vinavyowezekana!
Sikuwa wa kwanza kuwa na wazo kama hilo. Na ni vizuri kuwa katika machapisho kadhaa ya jukwaa na GitHub Tayari imeelezwa jinsi ya kutumia PowerShell kuchanganua logi ya Sysmon. Kwa upande wangu, nilitaka kuzuia kulazimika kuandika mistari tofauti ya hati ya kuchanganua kwa kila uwanja wa Sysmon. Kwa hivyo nilitumia kanuni ya mtu mvivu na nadhani nilikuja na kitu cha kufurahisha kama matokeo.
Jambo la kwanza muhimu ni uwezo wa timu soma magogo ya Sysmon, chuja matukio muhimu na toa matokeo kwa utofauti wa PS, kama hapa:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Ikiwa unataka kujaribu amri mwenyewe, kwa kuonyesha maudhui katika kipengele cha kwanza cha safu ya matukio ya $, $events[0].Ujumbe, matokeo yanaweza kuwa mfululizo wa mifuatano ya maandishi yenye umbizo rahisi sana: jina la Sehemu ya Sysmon, koloni, na kisha thamani yenyewe.
Hooray! Inatoa Sysmon ingia katika umbizo lililo tayari la JSON
Je, unawaza sawa na mimi? Kwa bidii zaidi, unaweza kubadilisha pato kuwa kamba iliyoumbizwa na JSON kisha kuipakia moja kwa moja kwenye kitu cha PS kwa kutumia amri yenye nguvu. .
Nitaonyesha msimbo wa PowerShell kwa ubadilishaji - ni rahisi sana - katika sehemu inayofuata. Kwa sasa, wacha tuone ni nini amri yangu mpya inayoitwa get-sysmonlogs, ambayo nilisakinisha kama moduli ya PS, inaweza kufanya.
Badala ya kupiga mbizi ndani ya uchanganuzi wa logi ya Sysmon kupitia kiolesura cha logi cha matukio kisichofaa, tunaweza kutafuta kwa urahisi shughuli za nyongeza moja kwa moja kutoka kwa kipindi cha PowerShell, na pia kutumia amri ya PS. (pak - "?") ili kufupisha matokeo ya utafutaji:
Orodha ya makombora ya cmd iliyozinduliwa kupitia WMI. Uchambuzi wa Vitisho kwa Nafuu na Timu Yetu ya Pata-Sysmonlogs
Ajabu! Niliunda zana ya kupigia kura logi ya Sysmon kana kwamba ni hifadhidata. Katika makala yetu kuhusu ilibainika kuwa utendakazi huu utatekelezwa na matumizi mazuri yaliyoelezewa ndani yake, ingawa rasmi bado kupitia kiolesura halisi cha SQL. Ndiyo, EQL kifahari, lakini tutaigusa katika sehemu ya tatu.
Uchambuzi wa Sysmon na grafu
Wacha turudi nyuma na tufikirie kile tulichounda. Kimsingi, sasa tuna hifadhidata ya matukio ya Windows inayopatikana kupitia PowerShell. Kama nilivyoona hapo awali, kuna miunganisho au uhusiano kati ya rekodi - kupitia ParentProcessId - kwa hivyo safu kamili ya michakato inaweza kupatikana.
Ikiwa umesoma mfululizo unajua kwamba wadukuzi hupenda kuunda mashambulizi magumu ya hatua nyingi, ambayo kila mchakato hucheza jukumu lake ndogo na huandaa chachu kwa hatua inayofuata. Ni ngumu sana kupata vitu kama hivyo kutoka kwa logi "mbichi".
Lakini kwa amri yangu ya Get-Sysmonlogs na muundo wa ziada wa data tutaangalia baadaye katika maandishi (grafu, bila shaka), tuna njia ya vitendo ya kugundua vitisho - ambayo inahitaji tu kufanya utafutaji sahihi wa kipeo.
Kama kawaida na miradi yetu ya blogu ya DYI, kadri unavyojitahidi zaidi kuchanganua maelezo ya vitisho kwa kiwango kidogo, ndivyo utakavyogundua jinsi ugunduzi wa tishio ulivyo tata katika kiwango cha biashara. Na ufahamu huu ni mkubwa sana hatua muhimu.
Tutakutana na shida za kwanza za kupendeza katika sehemu ya pili ya kifungu, ambapo tutaanza kuunganisha matukio ya Sysmon na kila mmoja katika miundo ngumu zaidi.
Chanzo: mapenzi.com