یہ مضمون Sysmon خطرے کے تجزیہ پر ایک سیریز کا پہلا حصہ ہے۔ سیریز کے دیگر تمام حصے:
حصہ 1: سیسمون لاگ تجزیہ کا تعارف (ہم یہاں ہیں)
حصہ 2: خطرات کی شناخت کے لیے سیسمون ایونٹ ڈیٹا کا استعمال
حصہ 3۔ گرافس کا استعمال کرتے ہوئے سیسمون خطرات کا گہرائی سے تجزیہ
اگر آپ معلومات کی حفاظت میں کام کرتے ہیں، تو شاید آپ کو اکثر جاری حملوں کو سمجھنا پڑتا ہے۔ اگر آپ کے پاس پہلے سے ہی تربیت یافتہ آنکھ ہے، تو آپ "کچی" غیر پروسیس شدہ لاگز میں غیر معیاری سرگرمی تلاش کر سکتے ہیں - کہہ لیں، پاور شیل اسکرپٹ چل رہا ہے
Sysmon لاگ میں دکھائے گئے خطرات کے پیچھے بنیادی خیالات کو سمجھنا چاہتے ہیں؟ ہماری گائیڈ ڈاؤن لوڈ کریں۔
ہماری سیریز کے پہلے حصے میں، ہم دیکھیں گے کہ آپ Sysmon سے بنیادی معلومات کے ساتھ کیا کر سکتے ہیں۔ حصہ XNUMX میں، ہم مزید پیچیدہ تعمیل کے ڈھانچے بنانے کے لیے پیرنٹ پروسیس کی معلومات سے بھرپور فائدہ اٹھائیں گے جنہیں تھریٹ گرافس کہا جاتا ہے۔ تیسرے حصے میں، ہم ایک سادہ الگورتھم دیکھیں گے جو گراف کے "وزن" کا تجزیہ کرکے غیر معمولی سرگرمی کو تلاش کرنے کے لیے خطرے کے گراف کو اسکین کرتا ہے۔ اور آخر میں، آپ کو ایک صاف (اور قابل فہم) ممکنہ خطرے کا پتہ لگانے کے طریقہ سے نوازا جائے گا۔
حصہ 1: سیسمون لاگ تجزیہ کا تعارف
ایونٹ لاگ کی پیچیدگیوں کو سمجھنے میں آپ کو کیا مدد مل سکتی ہے؟ بالآخر - SIEM۔ یہ واقعات کو معمول بناتا ہے اور ان کے بعد کے تجزیے کو آسان بناتا ہے۔ لیکن ہمیں اس دور تک جانے کی ضرورت نہیں ہے، کم از کم پہلے تو نہیں۔ شروع میں، SIEM کے اصولوں کو سمجھنے کے لیے، شاندار مفت Sysmon افادیت کو آزمانا کافی ہوگا۔ اور اس کے ساتھ کام کرنا حیرت انگیز طور پر آسان ہے۔ اسے جاری رکھیں، مائیکروسافٹ!
سیسمون میں کیا خصوصیات ہیں؟
مختصر میں - عمل کے بارے میں مفید اور پڑھنے کے قابل معلومات (نیچے دی گئی تصاویر دیکھیں)۔ آپ کو مفید تفصیلات کا ایک گروپ مل جائے گا جو ونڈوز ایونٹ لاگ میں نہیں ہے، لیکن سب سے اہم درج ذیل فیلڈز ہیں:
- پروسیس ID (اعشاریہ میں، ہیکس نہیں!)
- پیرنٹ پروسیس ID
- کمانڈ لائن پر عمل کریں۔
- والدین کے عمل کی کمانڈ لائن
- فائل امیج ہیش
- فائل تصویر کے نام
Sysmon ایک ڈیوائس ڈرائیور کے طور پر اور سروس کے طور پر انسٹال کیا گیا ہے - مزید تفصیلات
Sysmon بنیادی عمل کو سمجھنے میں مدد کے لیے مفید (یا جیسا کہ وینڈرز کہنا پسند کرتے ہیں، قابل عمل) معلومات فراہم کر کے کوانٹم چھلانگ لگاتے ہیں۔ مثال کے طور پر، میں نے ایک خفیہ اجلاس شروع کیا
ونڈوز لاگ اس عمل کے بارے میں کچھ معلومات دکھاتا ہے، لیکن اس کا کوئی فائدہ نہیں ہے۔ پلس پروسیس IDs ہیکساڈیسیمل میں؟؟؟
ایک پیشہ ور آئی ٹی پروفیشنل کے لیے جو ہیکنگ کی بنیادی باتوں کی سمجھ رکھتا ہے، کمانڈ لائن مشکوک ہونی چاہیے۔ cmd.exe کا استعمال کرتے ہوئے پھر ایک اور کمانڈ چلانا اور آؤٹ پٹ کو ایک عجیب نام والی فائل میں ری ڈائریکٹ کرنا واضح طور پر مانیٹرنگ اور کنٹرول سافٹ ویئر کی کارروائیوں سے ملتا جلتا ہے۔
اب آئیے Sysmon اندراج کے مساوی پر ایک نظر ڈالتے ہیں، یہ دیکھتے ہوئے کہ یہ ہمیں کتنی اضافی معلومات فراہم کرتا ہے:
ایک اسکرین شاٹ میں سیسمون کی خصوصیات: پڑھنے کے قابل شکل میں عمل کے بارے میں تفصیلی معلومات
آپ نہ صرف کمانڈ لائن دیکھیں گے، بلکہ فائل کا نام، قابل عمل ایپلیکیشن کا راستہ، ونڈوز اس کے بارے میں کیا جانتا ہے ("ونڈوز کمانڈ پروسیسر")، شناخت کنندہ والدین عمل، کمانڈ لائن والدین، جس نے cmd شیل کے ساتھ ساتھ والدین کے عمل کا اصل فائل نام بھی لانچ کیا۔ سب کچھ ایک جگہ، آخر میں!
سیسمون لاگ سے ہم یہ نتیجہ اخذ کر سکتے ہیں کہ یہ مشکوک کمانڈ لائن جو ہم نے "کچے" لاگز میں دیکھی ہے، بہت زیادہ امکان کے ساتھ ملازم کے معمول کے کام کا نتیجہ نہیں ہے۔ اس کے بالکل برعکس، یہ ایک C2 جیسے عمل کے ذریعے تیار کیا گیا تھا - wmiexec، جیسا کہ میں نے پہلے ذکر کیا ہے - اور اسے براہ راست WMI سروس پروسیس (WmiPrvSe) نے جنم دیا تھا۔ اب ہمارے پاس ایک اشارہ ہے کہ دور دراز سے حملہ آور یا اندرونی کارپوریٹ انفراسٹرکچر کی جانچ کر رہا ہے۔
Get-Sysmonlogs کا تعارف
یقیناً یہ بہت اچھا ہے جب سیسمون لاگز کو ایک جگہ پر رکھتا ہے۔ لیکن یہ شاید اور بھی بہتر ہو گا اگر ہم انفرادی لاگ فیلڈز کو پروگرام کے لحاظ سے رسائی حاصل کر سکیں - مثال کے طور پر، پاور شیل کمانڈز کے ذریعے۔ اس صورت میں، آپ ایک چھوٹا پاور شیل اسکرپٹ لکھ سکتے ہیں جو ممکنہ خطرات کی تلاش کو خودکار کر دے گا!
میں ایسا خیال رکھنے والا پہلا شخص نہیں تھا۔ اور یہ اچھا ہے کہ کچھ فورم پوسٹس اور GitHub میں
پہلا اہم نکتہ ٹیم کی صلاحیت ہے۔
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
اگر آپ کمانڈ کو خود جانچنا چاہتے ہیں تو، $events array، $events[0] کے پہلے عنصر میں مواد کو ظاہر کر کے، آؤٹ پٹ ایک بہت ہی آسان فارمیٹ کے ساتھ ٹیکسٹ سٹرنگز کا ایک سلسلہ ہو سکتا ہے: نام سیسمون فیلڈ، ایک بڑی آنت، اور پھر قدر خود۔
ہورے! JSON کے لیے تیار فارمیٹ میں Sysmon لاگ آؤٹ پٹ کرنا
کیا آپ بھی میری طرح سوچ رہے ہیں؟ تھوڑی زیادہ کوشش کے ساتھ، آپ آؤٹ پٹ کو JSON فارمیٹ شدہ سٹرنگ میں تبدیل کر سکتے ہیں اور پھر طاقتور کمانڈ کا استعمال کرتے ہوئے اسے براہ راست PS آبجیکٹ میں لوڈ کر سکتے ہیں۔
میں تبدیلی کے لیے پاور شیل کوڈ دکھاؤں گا - یہ بہت آسان ہے - اگلے حصے میں۔ ابھی کے لیے، آئیے دیکھتے ہیں کہ میری نئی کمانڈ جس کا نام get-sysmonlogs ہے، جسے میں نے PS ماڈیول کے طور پر انسٹال کیا ہے، کیا کر سکتا ہے۔
ایک تکلیف دہ ایونٹ لاگ انٹرفیس کے ذریعے سیسمون لاگ تجزیہ میں گہرائی میں ڈوبنے کے بجائے، ہم پاور شیل سیشن سے براہ راست بڑھتی ہوئی سرگرمی کو آسانی سے تلاش کر سکتے ہیں، اور ساتھ ہی PS کمانڈ استعمال کر سکتے ہیں۔
WMI کے ذریعے شروع کیے گئے cmd شیلوں کی فہرست۔ ہماری اپنی Get-Sysmonlogs ٹیم کے ساتھ سستے پر خطرے کا تجزیہ
شاندار! میں نے سیسمون لاگ کو پول کرنے کے لیے ایک ٹول بنایا گویا یہ ڈیٹا بیس ہے۔ کے بارے میں ہمارے مضمون میں
سیسمون اور گراف تجزیہ
آئیے پیچھے ہٹیں اور سوچیں کہ ہم نے ابھی کیا بنایا ہے۔ بنیادی طور پر، ہمارے پاس اب پاور شیل کے ذریعے قابل رسائی ونڈوز ایونٹ ڈیٹا بیس ہے۔ جیسا کہ میں نے پہلے نوٹ کیا، ریکارڈز کے درمیان روابط یا تعلقات ہیں - ParentProcessId کے ذریعے - لہذا عمل کا مکمل درجہ بندی حاصل کیا جا سکتا ہے۔
اگر آپ نے سیریز پڑھی ہے۔
لیکن میری Get-Sysmonlogs کمانڈ اور ایک اضافی ڈیٹا ڈھانچہ کے ساتھ جسے ہم بعد میں متن میں دیکھیں گے (یقیناً ایک گراف)، ہمارے پاس خطرات کا پتہ لگانے کا ایک عملی طریقہ ہے - جس کے لیے صرف درست ورٹیکس تلاش کرنے کی ضرورت ہے۔
ہمیشہ کی طرح ہمارے DYI بلاگ پروجیکٹس کے ساتھ، آپ چھوٹے پیمانے پر خطرات کی تفصیلات کا تجزیہ کرنے پر جتنا زیادہ کام کریں گے، اتنا ہی آپ کو احساس ہوگا کہ انٹرپرائز کی سطح پر خطرے کا پتہ لگانا کتنا پیچیدہ ہے۔ اور یہ بیداری انتہائی ہے۔ اہم نقطہ.
ہم مضمون کے دوسرے حصے میں پہلی دلچسپ پیچیدگیوں کا سامنا کریں گے، جہاں ہم سیسمون کے واقعات کو ایک دوسرے سے بہت زیادہ پیچیدہ ڈھانچے میں جوڑنا شروع کریں گے۔
ماخذ: www.habr.com