Ин мақола қисми аввали силсилаи таҳлили таҳдидҳои Sysmon мебошад. Ҳамаи қисмҳои дигари силсила:
Қисми 1: Муқаддима ба таҳлили Sysmon Log (мо дар ин ҷо ҳастем)
Қисми 2: Истифодаи маълумотҳои рӯйдодҳои Sysmon барои муайян кардани таҳдидҳо
Қисми 3. Таҳлили амиқи таҳдидҳои Sysmon бо истифода аз графикҳо
Агар шумо дар соҳаи амнияти иттилоотӣ кор кунед, эҳтимолан шумо бояд ҳамлаҳои давомдорро дарк кунед. Агар шумо аллакай чашми омӯзонидашуда дошта бошед, шумо метавонед дар гузоришҳои "хом" коркарднашуда фаъолияти ғайристандартиро ҷустуҷӯ кунед - масалан, скрипти PowerShell иҷрошаванда ё скрипти VBS, ки худро файли Word вонамуд мекунад - танҳо паймоиш тавассути охирин фаъолият дар сабти рӯйдодҳои Windows. Аммо ин дар ҳақиқат як дарди сар аст. Хушбахтона, Microsoft Sysmon-ро офаридааст, ки таҳлили ҳамларо хеле осон мекунад.
Мехоҳед ғояҳои асосии таҳдидҳоеро, ки дар гузориши Sysmon нишон дода мешаванд, бифаҳмед? Дастури моро зеркашӣ кунед ва шумо мефаҳмед, ки чӣ тавр инсайдерҳо метавонанд ба таври пинҳонӣ кормандони дигарро мушоҳида кунанд. Мушкилоти асосии кор бо сабти рӯйдодҳои Windows ин набудани маълумот дар бораи равандҳои волидайн аст, яъне. аз он иерархияи процессхоро фахмидан мумкин нест. Аз тарафи дигар, сабтҳои журнали Sysmon дорои ID-и протсесси волидайн, номи он ва сатри фармони оғозшаванда мебошанд. Ташаккур ба шумо, Microsoft.
Дар қисми аввали силсилаи мо мо дида мебароем, ки шумо бо маълумоти асосӣ аз Sysmon чӣ кор карда метавонед. Дар қисми XNUMX, мо аз маълумоти раванди волидайн пурра истифода мебарем, то сохторҳои мураккабтари мутобиқатро, ки ҳамчун графикҳои таҳдид маълуманд, эҷод кунем. Дар қисми сеюм, мо як алгоритми оддиеро дида мебароем, ки графики таҳдидро барои ҷустуҷӯи фаъолияти ғайриоддӣ тавассути таҳлили “вазн”-и график скан мекунад. Ва дар ниҳоят, шумо бо усули дақиқ (ва фаҳмо) эҳтимолияти ошкор кардани таҳдид мукофот хоҳед гирифт.
Қисми 1: Муқаддима ба таҳлили Sysmon Log
Чӣ ба шумо кӯмак карда метавонад, ки мураккабии сабти рӯйдодҳоро фаҳмед? Дар ниҳоят - SIEM. Он рӯйдодҳоро ба эътидол меорад ва таҳлили минбаъдаи онҳоро осон мекунад. Аммо мо набояд ин қадар дур равем, ҳадди аққал дар аввал не. Дар аввал, барои фаҳмидани принсипҳои SIEM, санҷидани утилитаи аҷиби Sysmon кифоя хоҳад буд. Ва кор кардан бо вай тааҷҷубовар осон аст. Онро давом диҳед, Microsoft!
Sysmon кадом хусусиятҳоро дорад?
Хулоса - маълумоти муфид ва хондашаванда дар бораи равандҳо (ба расмҳои зер нигаред). Шумо як қатор тафсилоти муфидро хоҳед ёфт, ки дар Рӯйхати рӯйдодҳои Windows мавҷуд нестанд, аммо муҳимтар аз ҳама майдонҳои зерин мебошанд:
- ID-и раванд (бо даҳӣ, на шонздаҳӣ!)
- ID раванди волидайн
- Сатри фармонро коркард кунед
- Сатри фармони раванди волидайн
- Хеши тасвири файл
- Номҳои тасвири файл
Sysmon ҳам ҳамчун драйвери дастгоҳ ва ҳам ҳамчун хидмат насб шудааст - тафсилоти бештар Бартарии асосии он қобилияти таҳлили гузоришҳо аз он аст якчанд манбаъҳо, таносуби иттилоот ва баромади арзишҳои натиҷавӣ ба як папкаи сабти рӯйдодҳо, ки дар роҳ ҷойгир аст Microsoft -> Windows -> Sysmon -> Амалӣ. Дар таҳқиқоти мӯи худам дар бораи гузоришҳои Windows, ман худамро пайдо кардам, ки ҳамеша бояд байни ҷузвдони гузоришҳои PowerShell ва ҷузвдони Амният гузарам ва дар як кӯшиши далерона ба варақаи гузоришҳои рӯйдодҳо гузарам, то ки арзишҳои байни ин дуро муқоиса кунам. . Ин ҳеҷ гоҳ кори осон нест ва тавре ки ман баъдтар фаҳмидам, беҳтар аст, ки фавран аспирин захира кунед.
Sysmon бо пешниҳоди иттилооти муфид (ё тавре ки фурӯшандагон мегӯянд, қобили амал) барои фаҳмидани равандҳои аслӣ як ҷаҳиши квантиро пеш мебарад. Масалан, ман сессияи махфиро сар кардам , тақлид кардани ҳаракати инсайдери интеллектуалӣ дар дохили шабака. Ин аст он чизе ки шумо дар гузориши рӯйдодҳои Windows мебинед:
Рӯйхати Windows баъзе маълумотро дар бораи раванд нишон медиҳад, аммо он каме истифода мешавад. Плюс ID-ҳои раванд дар шонздаҳӣ???
Барои мутахассиси касбии IT бо фаҳмиши асосҳои ҳакерӣ, сатри фармон бояд шубҳанок бошад. Истифодаи cmd.exe барои иҷро кардани фармони дигар ва равона кардани натиҷа ба файл бо номи аҷиб ба амалҳои нармафзори назорат ва назорат ба таври возеҳ монанд аст. : Бо ин роҳ, псевдо-шелл бо истифода аз хидматҳои WMI сохта мешавад.
Акнун биёед эквиваленти вуруди Sysmonро дида бароем ва қайд кунем, ки он ба мо чӣ қадар маълумоти иловагӣ медиҳад:
Хусусиятҳои Sysmon дар як скриншот: маълумоти муфассал дар бораи раванд дар шакли хондашаванда
Шумо на танҳо сатри фармон, балки номи файл, роҳ ба барномаи иҷрошаванда, он чизеро, ки Windows дар бораи он медонад ("Windows Command Processor"), идентификаторро мебинед. падару модар раванд, сатри фармон падару модар, ки қабати cmd-ро оғоз кард, инчунин номи файли воқеии раванди волидайн. Ҳама чиз дар як ҷо, ниҳоят!
Аз гузориши Sysmon мо метавонем ба хулосае ояд, ки бо эҳтимолияти баланд ин сатри фармони шубҳанок, ки мо дар гузоришҳои "хом" дидем, натиҷаи кори муқаррарии корманд нест. Баръакс, он тавассути як раванди ба C2 монанд - wmiexec, тавре ки ман қаблан зикр кардам - тавлид шудааст ва мустақиман тавассути раванди хидматрасонии WMI (WmiPrvSe) тавлид шудааст. Ҳоло мо нишон медиҳем, ки ҳамлагари дурдаст ё инсайдер инфрасохтори корпоративиро озмоиш мекунад.
Муаррифии Get-Sysmonlogs
Вақте ки Sysmon гузоришҳоро дар як ҷо мегузорад, албатта хеле хуб аст. Аммо эҳтимолан беҳтар мебуд, агар мо метавонем ба майдонҳои инфиродии гузориш ба таври барномавӣ дастрасӣ пайдо кунем - масалан, тавассути фармонҳои PowerShell. Дар ин ҳолат, шумо метавонед як скрипти хурди PowerShell нависед, ки ҷустуҷӯи таҳдидҳои эҳтимолиро автоматӣ кунад!
Ман аввалин касе набудам, ки чунин фикре доштам. Ва хуб аст, ки дар баъзе паёмҳои форум ва GitHub Он аллакай шарҳ дода шудааст, ки чӣ гуна PowerShell-ро барои таҳлили гузориши Sysmon истифода бурдан мумкин аст. Дар ҳолати ман, ман мехостам аз навиштани сатрҳои алоҳидаи скрипти таҳлил барои ҳар як майдони Sysmon худдорӣ кунам. Ҳамин тавр, ман принсипи танбалро истифода кардам ва фикр мекунам, ки дар натиҷа чизи ҷолибе пайдо кардам.
Аввалин нуктаи муҳим ин қобилияти даста аст гузоришҳои Sysmon-ро хонед, рӯйдодҳои заруриро филтр кунед ва натиҷаро ба тағирёбандаи PS бароред, ба монанди ин ҷо:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Агар шумо хоҳед, ки фармонро худатон санҷед, бо намоиш додани мундариҷа дар элементи массиви $events, $events[0].Message, натиҷа метавонад як қатор сатрҳои матнӣ бо формати хеле содда бошад: номи Майдони Sysmon, нуқта ва сипас худи арзиш.
Ура! Баровардани сабти Sysmon ба формати JSON омода
Оё шумо бо ман фикр мекунед? Бо кӯшиши каме, шумо метавонед натиҷаро ба сатри форматшудаи JSON табдил диҳед ва сипас бо истифода аз фармони пурқувват онро мустақиман ба объекти PS бор кунед .
Ман рамзи PowerShell-ро барои табдил нишон медиҳам - ин хеле содда аст - дар қисми оянда. Ҳоло биёед бубинем, ки фармони нави ман бо номи get-sysmonlogs, ки ман ҳамчун модули PS насб кардаам, чӣ кор карда метавонад.
Ба ҷои ғарқ шудан ба таҳлили гузориши Sysmon тавассути интерфейси сабти рӯйдодҳои номувофиқ, мо метавонем бемаънӣ фаъолияти афзояндаро мустақиман аз сессияи PowerShell ҷустуҷӯ кунем ва инчунин фармони PS-ро истифода барем. (тахаллус - "?") барои кӯтоҳ кардани натиҷаҳои ҷустуҷӯ:
Рӯйхати снарядҳои cmd, ки тавассути WMI оғоз шудаанд. Таҳлили таҳдидҳо дар арзон бо дастаи Get-Sysmonlogs
Аҷиб! Ман асбоберо барои пурсиш дар гузориши Sysmon сохтам, ки гӯё он пойгоҳи додаҳо бошад. Дар мақолаи мо дар бораи Қайд карда шуд, ки ин функсия аз ҷониби утилитаи аҷибе, ки дар он тавсиф шудааст, иҷро хоҳад шуд, гарчанде ки расман ҳанӯз тавассути интерфейси воқеии ба SQL монанд аст. Бале, EQL шево, вале мо дар кисми сеюм ба он дахл мекунем.
Таҳлили Sysmon ва графикӣ
Биёед ба ақиб қадам гузорем ва дар бораи он чизе ки мо офаридаем, фикр кунем. Аслан, мо ҳоло як пойгоҳи додаи рӯйдодҳои Windows дорем, ки тавассути PowerShell дастрас аст. Тавре ки ман қаблан қайд кардам, байни сабтҳо робитаҳо ё муносибатҳо мавҷуданд - тавассути ParentProcessId - аз ин рӯ, иерархияи пурраи равандҳоро метавон ба даст овард.
Агар шумо ин силсиларо хонда бошед шумо медонед, ки ҳакерҳо эҷод кардани ҳамлаҳои мураккаби бисёрмарҳиларо дӯст медоранд, ки дар онҳо ҳар як раванд нақши хурди худро мебозад ва трамплинро барои қадами оянда омода мекунад. Чунин чизҳоро танҳо аз журнали "хом" гирифтан ниҳоят душвор аст.
Аммо бо фармони Get-Sysmonlogs ва сохтори иловагии додаҳо, ки мо баъдтар дар матн дида мебароем (албатта график), мо роҳи амалии ошкор кардани таҳдидҳоро дорем, ки танҳо ҷустуҷӯи дурусти қулларо талаб мекунад.
Тавре ки ҳамеша бо лоиҳаҳои блоги DYI мо, ҳар қадар бештар шумо оид ба таҳлили тафсилоти таҳдидҳо дар миқёси хурд кор кунед, ҳамон қадар бештар дарк хоҳед кард, ки ошкоркунии таҳдид дар сатҳи корхона то чӣ андоза мураккаб аст. Ва ин огоҳӣ бениҳоят аст нуктаи муҳим.
Мо бо аввалин мушкилиҳои ҷолиб дар қисми дуюми мақола дучор мешавем, ки дар он мо ба пайваст кардани рӯйдодҳои Sysmon бо ҳамдигар ба сохторҳои хеле мураккабтар шурӯъ мекунем.
Манбаъ: will.com