இந்த கட்டுரை Sysmon அச்சுறுத்தல் பகுப்பாய்வு தொடரின் முதல் பகுதியாகும். தொடரின் மற்ற அனைத்து பகுதிகளும்:
பகுதி 1: சிஸ்மோன் பதிவு பகுப்பாய்வு அறிமுகம் (நாங்கள் இங்கே இருக்கிறோம்)
பகுதி 2: அச்சுறுத்தல்களைக் கண்டறிய Sysmon நிகழ்வுத் தரவைப் பயன்படுத்துதல்
பகுதி 3. வரைபடங்களைப் பயன்படுத்தி Sysmon அச்சுறுத்தல்களின் ஆழமான பகுப்பாய்வு
நீங்கள் தகவல் பாதுகாப்பில் பணிபுரிந்தால், நீங்கள் அடிக்கடி நடக்கும் தாக்குதல்களைப் புரிந்து கொள்ள வேண்டும். உங்களிடம் ஏற்கனவே பயிற்சி பெற்ற கண் இருந்தால், "raw" செயலாக்கப்படாத பதிவுகளில் தரமற்ற செயல்பாட்டை நீங்கள் தேடலாம் - சொல்லுங்கள், PowerShell ஸ்கிரிப்ட் இயங்குகிறது அல்லது ஒரு VBS ஸ்கிரிப்ட் ஒரு வேர்ட் கோப்பாக பாசாங்கு செய்கிறது - விண்டோஸ் நிகழ்வு பதிவில் உள்ள சமீபத்திய செயல்பாடுகளை ஸ்க்ரோலிங் செய்யலாம். ஆனால் இது ஒரு பெரிய தலைவலி. அதிர்ஷ்டவசமாக, மைக்ரோசாப்ட் சிஸ்மோனை உருவாக்கியது, இது தாக்குதல் பகுப்பாய்வை மிகவும் எளிதாக்குகிறது.
Sysmon பதிவில் காட்டப்படும் அச்சுறுத்தல்களுக்குப் பின்னால் உள்ள அடிப்படைக் கருத்துக்களைப் புரிந்து கொள்ள வேண்டுமா? எங்கள் வழிகாட்டியைப் பதிவிறக்கவும் மற்ற ஊழியர்களை எப்படி உள்நாட்டவர்கள் ரகசியமாக கவனிக்க முடியும் என்பதை நீங்கள் புரிந்துகொள்கிறீர்கள். விண்டோஸ் நிகழ்வு பதிவோடு பணிபுரிவதில் முக்கிய பிரச்சனை பெற்றோர் செயல்முறைகள் பற்றிய தகவல் இல்லாதது, அதாவது. அதிலிருந்து செயல்முறைகளின் படிநிலையை புரிந்து கொள்ள முடியாது. சிஸ்மோன் பதிவு உள்ளீடுகள், மறுபுறம், பெற்றோர் செயல்முறை ஐடி, அதன் பெயர் மற்றும் தொடங்கப்பட வேண்டிய கட்டளை வரி ஆகியவற்றைக் கொண்டிருக்கும். நன்றி, மைக்ரோசாப்ட்.
எங்கள் தொடரின் முதல் பகுதியில், Sysmon வழங்கும் அடிப்படைத் தகவல்களைக் கொண்டு நீங்கள் என்ன செய்யலாம் என்பதைப் பார்ப்போம். பகுதி XNUMX இல், அச்சுறுத்தல் வரைபடங்கள் எனப்படும் மிகவும் சிக்கலான இணக்கக் கட்டமைப்புகளை உருவாக்க, பெற்றோர் செயல்முறைத் தகவலை முழுமையாகப் பயன்படுத்துவோம். மூன்றாவது பகுதியில், வரைபடத்தின் "எடையை" பகுப்பாய்வு செய்வதன் மூலம் அசாதாரண செயல்பாட்டைத் தேட அச்சுறுத்தல் வரைபடத்தை ஸ்கேன் செய்யும் எளிய வழிமுறையைப் பார்ப்போம். இறுதியில், நீங்கள் ஒரு நேர்த்தியான (மற்றும் புரிந்துகொள்ளக்கூடிய) நிகழ்தகவு அச்சுறுத்தல் கண்டறிதல் முறையைப் பரிசாகப் பெறுவீர்கள்.
பகுதி 1: சிஸ்மோன் பதிவு பகுப்பாய்வு அறிமுகம்
நிகழ்வுப் பதிவின் சிக்கல்களைப் புரிந்துகொள்ள எது உதவும்? இறுதியில் - SIEM. இது நிகழ்வுகளை இயல்பாக்குகிறது மற்றும் அவற்றின் அடுத்தடுத்த பகுப்பாய்வை எளிதாக்குகிறது. ஆனால் நாம் அவ்வளவு தூரம் செல்ல வேண்டியதில்லை, குறைந்தபட்சம் முதலில் அல்ல. ஆரம்பத்தில், SIEM இன் கொள்கைகளைப் புரிந்து கொள்ள, அற்புதமான இலவச Sysmon பயன்பாட்டை முயற்சித்தால் போதும். அவளுடன் வேலை செய்வது வியக்கத்தக்க வகையில் எளிதானது. தொடருங்கள், மைக்ரோசாப்ட்!
Sysmon என்ன அம்சங்களைக் கொண்டுள்ளது?
சுருக்கமாக - செயல்முறைகளைப் பற்றிய பயனுள்ள மற்றும் படிக்கக்கூடிய தகவல்கள் (கீழே உள்ள படங்களைப் பார்க்கவும்). விண்டோஸ் நிகழ்வுப் பதிவில் இல்லாத பயனுள்ள விவரங்களைக் காணலாம், ஆனால் மிக முக்கியமானவை பின்வரும் புலங்கள்:
- செயல்முறை ஐடி (தசமத்தில், ஹெக்ஸ் அல்ல!)
- பெற்றோர் செயல்முறை ஐடி
- செயல்முறை கட்டளை வரி
- பெற்றோர் செயல்முறையின் கட்டளை வரி
- கோப்பு பட ஹாஷ்
- கோப்பு படத்தின் பெயர்கள்
Sysmon ஒரு சாதன இயக்கி மற்றும் ஒரு சேவை ஆகிய இரண்டிலும் நிறுவப்பட்டுள்ளது - மேலும் விவரங்கள் அதன் முக்கிய நன்மை பதிவுகளை பகுப்பாய்வு செய்யும் திறன் ஆகும் பல ஆதாரங்கள், தகவலின் தொடர்பு மற்றும் பாதையில் அமைந்துள்ள ஒரு நிகழ்வு பதிவு கோப்புறையில் பெறப்பட்ட மதிப்புகளின் வெளியீடு மைக்ரோசாப்ட் -> விண்டோஸ் -> சிஸ்மன் -> செயல்பாட்டு. விண்டோஸ் பதிவுகள் பற்றிய எனது சொந்த முடியை உயர்த்தும் ஆய்வுகளில், பவர்ஷெல் பதிவுகள் கோப்புறை மற்றும் பாதுகாப்பு கோப்புறைக்கு இடையே தொடர்ந்து மாற வேண்டியிருந்தது, இரண்டுக்கும் இடையே உள்ள மதிப்புகளை எப்படியாவது தொடர்புபடுத்தும் ஒரு துணிச்சலான முயற்சியில் நிகழ்வு பதிவுகள் மூலம் படபடக்கிறேன். . இது ஒருபோதும் எளிதான பணி அல்ல, பின்னர் நான் உணர்ந்தது போல், ஆஸ்பிரின் உடனடியாக சேமித்து வைப்பது நல்லது.
சிஸ்மோன் ஒரு குவாண்டம் பாய்ச்சலை முன்னோக்கி எடுத்துச் செல்கிறது, இது அடிப்படையான செயல்முறைகளைப் புரிந்துகொள்ள உதவும் பயனுள்ள (அல்லது விற்பனையாளர்கள் சொல்ல விரும்புவது போல் செயல்படக்கூடியது) தகவல்களை வழங்குவதன் மூலம். உதாரணமாக, நான் ஒரு ரகசிய அமர்வை ஆரம்பித்தேன் , நெட்வொர்க்கில் உள்ள ஸ்மார்ட் இன்சைடரின் இயக்கத்தை உருவகப்படுத்துதல். விண்டோஸ் நிகழ்வு பதிவில் நீங்கள் பார்ப்பது இதுதான்:
விண்டோஸ் பதிவு செயல்முறை பற்றிய சில தகவல்களைக் காட்டுகிறது, ஆனால் அது சிறிதளவு பயன் இல்லை. மேலும் செயல்முறை ஐடிகள் ஹெக்ஸாடெசிமலில் உள்ளதா???
ஹேக்கிங்கின் அடிப்படைகளைப் புரிந்து கொண்ட ஒரு தொழில்முறை IT நிபுணருக்கு, கட்டளை வரி சந்தேகத்திற்குரியதாக இருக்க வேண்டும். cmd.exe ஐப் பயன்படுத்தி மற்றொரு கட்டளையை இயக்கவும் மற்றும் வெளியீட்டை விசித்திரமான பெயருடன் ஒரு கோப்பிற்கு திருப்பி விடுவதும் கண்காணிப்பு மற்றும் கட்டுப்பாட்டு மென்பொருளின் செயல்களுக்கு ஒத்ததாகும். : இந்த வழியில், WMI சேவைகளைப் பயன்படுத்தி ஒரு போலி-ஷெல் உருவாக்கப்படுகிறது.
இப்போது சிஸ்மோன் நுழைவுச் சமமானதைப் பார்ப்போம், அது நமக்கு எவ்வளவு கூடுதல் தகவலை அளிக்கிறது என்பதைக் கவனிப்போம்:
ஒரு ஸ்கிரீன்ஷாட்டில் Sysmon அம்சங்கள்: படிக்கக்கூடிய வடிவத்தில் செயல்முறை பற்றிய விரிவான தகவல்
நீங்கள் கட்டளை வரியை மட்டும் பார்க்கவில்லை, ஆனால் கோப்பு பெயர், இயங்கக்கூடிய பயன்பாட்டிற்கான பாதை, விண்டோஸ் அதை பற்றி என்ன தெரியும் ("Windows கட்டளை செயலி"), அடையாளங்காட்டி பெற்றோர் செயல்முறை, கட்டளை வரி பெற்றோர், இது cmd ஷெல்லைத் துவக்கியது, அத்துடன் பெற்றோர் செயல்முறையின் உண்மையான கோப்பு பெயர். எல்லாம் ஒரே இடத்தில், இறுதியாக!
Sysmon பதிவில் இருந்து, அதிக அளவு நிகழ்தகவுடன், "மூல" பதிவுகளில் நாம் பார்த்த இந்த சந்தேகத்திற்கிடமான கட்டளை வரி ஊழியரின் இயல்பான வேலையின் விளைவாக இல்லை என்று முடிவு செய்யலாம். இதற்கு நேர்மாறாக, இது ஒரு C2-போன்ற செயல்முறையால் உருவாக்கப்பட்டது - wmiexec, நான் முன்பு குறிப்பிட்டது போல் - மற்றும் நேரடியாக WMI சேவை செயல்முறை (WmiPrvSe) மூலம் உருவாக்கப்பட்டது. கார்ப்பரேட் உள்கட்டமைப்பை ரிமோட் அட்டாக்கர் அல்லது இன்சைடர் சோதனை செய்கிறார் என்பதற்கான குறிகாட்டி இப்போது எங்களிடம் உள்ளது.
Get-Sysmonlogs ஐ அறிமுகப்படுத்துகிறோம்
சிஸ்மோன் பதிவுகளை ஒரே இடத்தில் வைக்கும்போது நிச்சயமாக நன்றாக இருக்கும். தனிப்பட்ட பதிவு புலங்களை நிரல் ரீதியாக அணுக முடிந்தால் அது இன்னும் சிறப்பாக இருக்கும் - எடுத்துக்காட்டாக, பவர்ஷெல் கட்டளைகள் மூலம். இந்த வழக்கில், சாத்தியமான அச்சுறுத்தல்களுக்கான தேடலை தானியங்குபடுத்தும் சிறிய பவர்ஷெல் ஸ்கிரிப்டை நீங்கள் எழுதலாம்!
அப்படியொரு எண்ணம் எனக்கு முதலில் தோன்றவில்லை. சில மன்ற இடுகைகள் மற்றும் GitHub இல் இருப்பது நல்லது சிஸ்மோன் பதிவை அலசுவதற்கு PowerShell ஐ எவ்வாறு பயன்படுத்துவது என்பது ஏற்கனவே விளக்கப்பட்டுள்ளது. என் விஷயத்தில், ஒவ்வொரு சிஸ்மோன் புலத்திற்கும் தனித்தனி வரிகளை பாகுபடுத்தும் ஸ்கிரிப்ட் எழுதுவதைத் தவிர்க்க விரும்பினேன். எனவே நான் சோம்பேறி மனிதன் கொள்கையைப் பயன்படுத்தினேன், இதன் விளைவாக நான் சுவாரஸ்யமான ஒன்றைக் கொண்டு வந்தேன் என்று நினைக்கிறேன்.
முதல் முக்கியமான விஷயம் அணியின் திறன் Sysmon பதிவுகளைப் படித்து, தேவையான நிகழ்வுகளை வடிகட்டவும் மற்றும் முடிவுகளை PS மாறிக்கு வெளியிடவும், இங்கே:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
$events வரிசையின் முதல் உறுப்பான $events[0] இல் உள்ள உள்ளடக்கத்தைக் காண்பிப்பதன் மூலம், கட்டளையை நீங்களே சோதிக்க விரும்பினால், வெளியீடு மிகவும் எளிமையான வடிவமைப்புடன் உரைச் சரங்களின் வரிசையாக இருக்கலாம்: இதன் பெயர் Sysmon புலம், ஒரு பெருங்குடல், பின்னர் மதிப்பு.
ஹூரே! JSON-தயாரான வடிவத்தில் Sysmon உள்நுழைவை வெளியிடுகிறது
என்னைப் போலவே நீயும் நினைக்கிறாயா? இன்னும் சிறிது முயற்சியுடன், நீங்கள் வெளியீட்டை JSON வடிவமைக்கப்பட்ட சரமாக மாற்றலாம் மற்றும் சக்திவாய்ந்த கட்டளையைப் பயன்படுத்தி நேரடியாக PS பொருளில் ஏற்றலாம். .
மாற்றத்திற்கான பவர்ஷெல் குறியீட்டை - இது மிகவும் எளிமையானது - அடுத்த பகுதியில் காண்பிக்கிறேன். இப்போதைக்கு, நான் PS தொகுதியாக நிறுவிய get-sysmonlogs எனப்படும் எனது புதிய கட்டளை என்ன செய்ய முடியும் என்பதைப் பார்ப்போம்.
ஒரு சிரமமான நிகழ்வுப் பதிவு இடைமுகம் மூலம் சிஸ்மோன் பதிவுப் பகுப்பாய்வில் ஆழமாக மூழ்குவதற்குப் பதிலாக, பவர்ஷெல் அமர்விலிருந்து நேரடியாக அதிகரிக்கும் செயல்பாட்டை எளிதாகத் தேடலாம், அத்துடன் PS கட்டளையைப் பயன்படுத்தலாம். (மாறுபெயர் - "?") தேடல் முடிவுகளை சுருக்கவும்:
WMI வழியாக தொடங்கப்பட்ட cmd ஷெல்களின் பட்டியல். எங்கள் சொந்த கெட்-சிஸ்மோன்லாக்ஸ் குழுவுடன் மலிவான அச்சுறுத்தல் பகுப்பாய்வு
அற்புத! சிஸ்மோன் பதிவை ஒரு தரவுத்தளத்தைப் போல வாக்களிக்க ஒரு கருவியை உருவாக்கினேன். பற்றி எங்கள் கட்டுரையில் உண்மையான SQL போன்ற இடைமுகம் மூலம் முறையாக இருந்தாலும், இந்தச் செயல்பாடு அதில் விவரிக்கப்பட்டுள்ள கூல் யூட்டிலிட்டி மூலம் செய்யப்படும் என்பது குறிப்பிடத்தக்கது. ஆம், EQL நேர்த்தியான, ஆனால் நாம் அதை மூன்றாம் பகுதியில் தொடுவோம்.
சிஸ்மன் மற்றும் வரைபட பகுப்பாய்வு
பின்வாங்கி, நாம் உருவாக்கியதைப் பற்றி சிந்திப்போம். முக்கியமாக, இப்போது பவர்ஷெல் மூலம் அணுகக்கூடிய விண்டோஸ் நிகழ்வு தரவுத்தளத்தை நாங்கள் பெற்றுள்ளோம். நான் முன்பே குறிப்பிட்டது போல, பதிவுகளுக்கு இடையே இணைப்புகள் அல்லது உறவுகள் உள்ளன - ParentProcessId வழியாக - செயல்முறைகளின் முழுமையான படிநிலையைப் பெறலாம்.
நீங்கள் தொடரைப் படித்திருந்தால் ஹேக்கர்கள் சிக்கலான பல-நிலை தாக்குதல்களை உருவாக்க விரும்புகிறார்கள் என்பதை நீங்கள் அறிவீர்கள், இதில் ஒவ்வொரு செயல்முறையும் அதன் சொந்த சிறிய பாத்திரத்தை வகிக்கிறது மற்றும் அடுத்த கட்டத்திற்கு ஒரு ஊக்கத்தை தயார் செய்கிறது. "மூல" பதிவிலிருந்து இதுபோன்ற விஷயங்களைப் பிடிப்பது மிகவும் கடினம்.
ஆனால் எனது Get-Sysmonlogs கட்டளை மற்றும் கூடுதல் தரவு கட்டமைப்பின் மூலம் நாம் பின்னர் உரையில் பார்ப்போம் (ஒரு வரைபடம், நிச்சயமாக), அச்சுறுத்தல்களைக் கண்டறிய எங்களிடம் ஒரு நடைமுறை வழி உள்ளது - இதற்கு சரியான உச்சித் தேடலைச் செய்ய வேண்டும்.
எப்பொழுதும் எங்கள் DYI வலைப்பதிவு திட்டங்களுடன், சிறிய அளவில் அச்சுறுத்தல்களின் விவரங்களை பகுப்பாய்வு செய்வதில் நீங்கள் எவ்வளவு அதிகமாக வேலை செய்கிறீர்களோ, அந்த அளவுக்கு நிறுவன அளவில் அச்சுறுத்தல் கண்டறிதல் எவ்வளவு சிக்கலானது என்பதை நீங்கள் உணருவீர்கள். மேலும் இந்த விழிப்புணர்வு மிகவும் அதிகமாக உள்ளது முக்கியமான புள்ளி.
கட்டுரையின் இரண்டாம் பகுதியில் முதல் சுவாரஸ்யமான சிக்கல்களை நாங்கள் சந்திப்போம், அங்கு சிஸ்மோன் நிகழ்வுகளை ஒருவருக்கொருவர் மிகவும் சிக்கலான கட்டமைப்புகளுடன் இணைக்கத் தொடங்குவோம்.
ஆதாரம்: www.habr.com