یہ مضمون Sysmon خطرے کے تجزیہ پر ایک سیریز کا پہلا حصہ ہے۔ سیریز کے دیگر تمام حصے:
حصہ 1: سیسمون لاگ تجزیہ کا تعارف (ہم یہاں ہیں)
حصہ 2: خطرات کی شناخت کے لیے سیسمون ایونٹ ڈیٹا کا استعمال
حصہ 3۔ گرافس کا استعمال کرتے ہوئے سیسمون خطرات کا گہرائی سے تجزیہ
اگر آپ معلومات کی حفاظت میں کام کرتے ہیں، تو شاید آپ کو اکثر جاری حملوں کو سمجھنا پڑتا ہے۔ اگر آپ کے پاس پہلے سے ہی تربیت یافتہ آنکھ ہے، تو آپ "کچی" غیر پروسیس شدہ لاگز میں غیر معیاری سرگرمی تلاش کر سکتے ہیں - کہہ لیں، پاور شیل اسکرپٹ چل رہا ہے یا ایک VBS اسکرپٹ جو ورڈ فائل ہونے کا بہانہ کرتی ہے - صرف ونڈوز ایونٹ لاگ میں تازہ ترین سرگرمی کے ذریعے سکرول کرنا۔ لیکن یہ واقعی ایک بڑا سر درد ہے۔ خوش قسمتی سے، مائیکروسافٹ نے سیسمون بنایا، جو حملے کے تجزیہ کو بہت آسان بناتا ہے.
Sysmon لاگ میں دکھائے گئے خطرات کے پیچھے بنیادی خیالات کو سمجھنا چاہتے ہیں؟ ہماری گائیڈ ڈاؤن لوڈ کریں۔ اور آپ کو احساس ہوتا ہے کہ اندرونی لوگ کس طرح خفیہ طور پر دوسرے ملازمین کا مشاہدہ کر سکتے ہیں۔ ونڈوز ایونٹ لاگ کے ساتھ کام کرنے میں بنیادی مسئلہ والدین کے عمل کے بارے میں معلومات کی کمی ہے، یعنی اس سے عمل کے درجہ بندی کو سمجھنا ناممکن ہے۔ دوسری طرف، Sysmon لاگ انٹریز میں پیرنٹ پروسیس ID، اس کا نام، اور لانچ کی جانے والی کمانڈ لائن ہوتی ہے۔ شکریہ، مائیکروسافٹ۔
ہماری سیریز کے پہلے حصے میں، ہم دیکھیں گے کہ آپ Sysmon سے بنیادی معلومات کے ساتھ کیا کر سکتے ہیں۔ حصہ XNUMX میں، ہم مزید پیچیدہ تعمیل کے ڈھانچے بنانے کے لیے پیرنٹ پروسیس کی معلومات سے بھرپور فائدہ اٹھائیں گے جنہیں تھریٹ گرافس کہا جاتا ہے۔ تیسرے حصے میں، ہم ایک سادہ الگورتھم دیکھیں گے جو گراف کے "وزن" کا تجزیہ کرکے غیر معمولی سرگرمی کو تلاش کرنے کے لیے خطرے کے گراف کو اسکین کرتا ہے۔ اور آخر میں، آپ کو ایک صاف (اور قابل فہم) ممکنہ خطرے کا پتہ لگانے کے طریقہ سے نوازا جائے گا۔
حصہ 1: سیسمون لاگ تجزیہ کا تعارف
ایونٹ لاگ کی پیچیدگیوں کو سمجھنے میں آپ کو کیا مدد مل سکتی ہے؟ بالآخر - SIEM۔ یہ واقعات کو معمول بناتا ہے اور ان کے بعد کے تجزیے کو آسان بناتا ہے۔ لیکن ہمیں اس دور تک جانے کی ضرورت نہیں ہے، کم از کم پہلے تو نہیں۔ شروع میں، SIEM کے اصولوں کو سمجھنے کے لیے، شاندار مفت Sysmon افادیت کو آزمانا کافی ہوگا۔ اور اس کے ساتھ کام کرنا حیرت انگیز طور پر آسان ہے۔ اسے جاری رکھیں، مائیکروسافٹ!
سیسمون میں کیا خصوصیات ہیں؟
مختصر میں - عمل کے بارے میں مفید اور پڑھنے کے قابل معلومات (نیچے دی گئی تصاویر دیکھیں)۔ آپ کو مفید تفصیلات کا ایک گروپ مل جائے گا جو ونڈوز ایونٹ لاگ میں نہیں ہے، لیکن سب سے اہم درج ذیل فیلڈز ہیں:
- پروسیس ID (اعشاریہ میں، ہیکس نہیں!)
- پیرنٹ پروسیس ID
- کمانڈ لائن پر عمل کریں۔
- والدین کے عمل کی کمانڈ لائن
- فائل امیج ہیش
- فائل تصویر کے نام
Sysmon ایک ڈیوائس ڈرائیور کے طور پر اور سروس کے طور پر انسٹال کیا گیا ہے - مزید تفصیلات اس کا اہم فائدہ لاگس کا تجزیہ کرنے کی صلاحیت ہے۔ کئی راستے کے ساتھ واقع ایک ایونٹ لاگ فولڈر سے ذرائع، معلومات کا ارتباط اور نتیجے میں ہونے والی اقدار کا آؤٹ پٹ مائیکروسافٹ -> ونڈوز -> سیسمون -> آپریشنل. ونڈوز لاگز کے بارے میں اپنی بالوں کو بڑھانے والی تحقیقات میں، میں نے اپنے آپ کو پاور شیل لاگز فولڈر اور سیکیورٹی فولڈر کے درمیان مستقل طور پر تبدیل ہونا محسوس کیا، دونوں کے درمیان قدروں کو کسی نہ کسی طرح سے منسلک کرنے کی ایک بہادر کوشش میں ایونٹ لاگز کے ذریعے جھٹکا لگا۔ . یہ کبھی بھی آسان کام نہیں ہے، اور جیسا کہ میں نے بعد میں محسوس کیا، فوری طور پر اسپرین کا ذخیرہ کرنا بہتر تھا۔
Sysmon بنیادی عمل کو سمجھنے میں مدد کے لیے مفید (یا جیسا کہ وینڈرز کہنا پسند کرتے ہیں، قابل عمل) معلومات فراہم کر کے کوانٹم چھلانگ لگاتے ہیں۔ مثال کے طور پر، میں نے ایک خفیہ اجلاس شروع کیا ، نیٹ ورک کے اندر ایک سمارٹ اندرونی کی نقل و حرکت کی نقل کرنا۔ یہ وہی ہے جو آپ ونڈوز ایونٹ لاگ میں دیکھیں گے:
ونڈوز لاگ اس عمل کے بارے میں کچھ معلومات دکھاتا ہے، لیکن اس کا کوئی فائدہ نہیں ہے۔ پلس پروسیس IDs ہیکساڈیسیمل میں؟؟؟
ایک پیشہ ور آئی ٹی پروفیشنل کے لیے جو ہیکنگ کی بنیادی باتوں کی سمجھ رکھتا ہے، کمانڈ لائن مشکوک ہونی چاہیے۔ cmd.exe کا استعمال کرتے ہوئے پھر ایک اور کمانڈ چلانا اور آؤٹ پٹ کو ایک عجیب نام والی فائل میں ری ڈائریکٹ کرنا واضح طور پر مانیٹرنگ اور کنٹرول سافٹ ویئر کی کارروائیوں سے ملتا جلتا ہے۔ : اس طرح، WMI خدمات کا استعمال کرتے ہوئے ایک چھدم شیل بنایا جاتا ہے۔
اب آئیے Sysmon اندراج کے مساوی پر ایک نظر ڈالتے ہیں، یہ دیکھتے ہوئے کہ یہ ہمیں کتنی اضافی معلومات فراہم کرتا ہے:
ایک اسکرین شاٹ میں سیسمون کی خصوصیات: پڑھنے کے قابل شکل میں عمل کے بارے میں تفصیلی معلومات
آپ نہ صرف کمانڈ لائن دیکھیں گے، بلکہ فائل کا نام، قابل عمل ایپلیکیشن کا راستہ، ونڈوز اس کے بارے میں کیا جانتا ہے ("ونڈوز کمانڈ پروسیسر")، شناخت کنندہ والدین عمل، کمانڈ لائن والدین، جس نے cmd شیل کے ساتھ ساتھ والدین کے عمل کا اصل فائل نام بھی لانچ کیا۔ سب کچھ ایک جگہ، آخر میں!
سیسمون لاگ سے ہم یہ نتیجہ اخذ کر سکتے ہیں کہ یہ مشکوک کمانڈ لائن جو ہم نے "کچے" لاگز میں دیکھی ہے، بہت زیادہ امکان کے ساتھ ملازم کے معمول کے کام کا نتیجہ نہیں ہے۔ اس کے بالکل برعکس، یہ ایک C2 جیسے عمل کے ذریعے تیار کیا گیا تھا - wmiexec، جیسا کہ میں نے پہلے ذکر کیا ہے - اور اسے براہ راست WMI سروس پروسیس (WmiPrvSe) نے جنم دیا تھا۔ اب ہمارے پاس ایک اشارہ ہے کہ دور دراز سے حملہ آور یا اندرونی کارپوریٹ انفراسٹرکچر کی جانچ کر رہا ہے۔
Get-Sysmonlogs کا تعارف
یقیناً یہ بہت اچھا ہے جب سیسمون لاگز کو ایک جگہ پر رکھتا ہے۔ لیکن یہ شاید اور بھی بہتر ہو گا اگر ہم انفرادی لاگ فیلڈز کو پروگرام کے لحاظ سے رسائی حاصل کر سکیں - مثال کے طور پر، پاور شیل کمانڈز کے ذریعے۔ اس صورت میں، آپ ایک چھوٹا پاور شیل اسکرپٹ لکھ سکتے ہیں جو ممکنہ خطرات کی تلاش کو خودکار کر دے گا!
میں ایسا خیال رکھنے والا پہلا شخص نہیں تھا۔ اور یہ اچھا ہے کہ کچھ فورم پوسٹس اور GitHub میں یہ پہلے ہی بتایا جا چکا ہے کہ سیسمون لاگ کو پارس کرنے کے لیے پاور شیل کو کیسے استعمال کیا جائے۔ میرے معاملے میں، میں ہر سیسمن فیلڈ کے لیے پارسنگ اسکرپٹ کی الگ الگ لائنیں لکھنے سے گریز کرنا چاہتا تھا۔ لہذا میں نے سست آدمی کے اصول کا استعمال کیا اور مجھے لگتا ہے کہ میں اس کے نتیجے میں کچھ دلچسپ لے کر آیا ہوں۔
پہلا اہم نکتہ ٹیم کی صلاحیت ہے۔ Sysmon لاگز پڑھیں، ضروری واقعات کو فلٹر کریں اور نتیجہ کو PS متغیر میں آؤٹ پٹ کریں، جیسے یہاں:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
اگر آپ کمانڈ کو خود جانچنا چاہتے ہیں تو، $events array، $events[0] کے پہلے عنصر میں مواد کو ظاہر کر کے، آؤٹ پٹ ایک بہت ہی آسان فارمیٹ کے ساتھ ٹیکسٹ سٹرنگز کا ایک سلسلہ ہو سکتا ہے: نام سیسمون فیلڈ، ایک بڑی آنت، اور پھر قدر خود۔
ہورے! JSON کے لیے تیار فارمیٹ میں Sysmon لاگ آؤٹ پٹ کرنا
کیا آپ بھی میری طرح سوچ رہے ہیں؟ تھوڑی زیادہ کوشش کے ساتھ، آپ آؤٹ پٹ کو JSON فارمیٹ شدہ سٹرنگ میں تبدیل کر سکتے ہیں اور پھر طاقتور کمانڈ کا استعمال کرتے ہوئے اسے براہ راست PS آبجیکٹ میں لوڈ کر سکتے ہیں۔ .
میں تبدیلی کے لیے پاور شیل کوڈ دکھاؤں گا - یہ بہت آسان ہے - اگلے حصے میں۔ ابھی کے لیے، آئیے دیکھتے ہیں کہ میری نئی کمانڈ جس کا نام get-sysmonlogs ہے، جسے میں نے PS ماڈیول کے طور پر انسٹال کیا ہے، کیا کر سکتا ہے۔
ایک تکلیف دہ ایونٹ لاگ انٹرفیس کے ذریعے سیسمون لاگ تجزیہ میں گہرائی میں ڈوبنے کے بجائے، ہم پاور شیل سیشن سے براہ راست بڑھتی ہوئی سرگرمی کو آسانی سے تلاش کر سکتے ہیں، اور ساتھ ہی PS کمانڈ استعمال کر سکتے ہیں۔ (عرف - "؟") تلاش کے نتائج کو مختصر کرنے کے لیے:
WMI کے ذریعے شروع کیے گئے cmd شیلوں کی فہرست۔ ہماری اپنی Get-Sysmonlogs ٹیم کے ساتھ سستے پر خطرے کا تجزیہ
شاندار! میں نے سیسمون لاگ کو پول کرنے کے لیے ایک ٹول بنایا گویا یہ ڈیٹا بیس ہے۔ کے بارے میں ہمارے مضمون میں یہ نوٹ کیا گیا تھا کہ یہ فنکشن اس میں بیان کردہ ٹھنڈی افادیت کے ذریعہ انجام دیا جائے گا، حالانکہ رسمی طور پر اب بھی ایک حقیقی ایس کیو ایل جیسے انٹرفیس کے ذریعے۔ ہاں، EQL خوبصورتلیکن ہم تیسرے حصے میں اس پر بات کریں گے۔
سیسمون اور گراف تجزیہ
آئیے پیچھے ہٹیں اور سوچیں کہ ہم نے ابھی کیا بنایا ہے۔ بنیادی طور پر، ہمارے پاس اب پاور شیل کے ذریعے قابل رسائی ونڈوز ایونٹ ڈیٹا بیس ہے۔ جیسا کہ میں نے پہلے نوٹ کیا، ریکارڈز کے درمیان روابط یا تعلقات ہیں - ParentProcessId کے ذریعے - لہذا عمل کا مکمل درجہ بندی حاصل کیا جا سکتا ہے۔
اگر آپ نے سیریز پڑھی ہے۔ آپ جانتے ہیں کہ ہیکرز پیچیدہ ملٹی اسٹیج حملے کرنا پسند کرتے ہیں، جس میں ہر عمل اپنا چھوٹا سا کردار ادا کرتا ہے اور اگلے مرحلے کے لیے اسپرنگ بورڈ تیار کرتا ہے۔ ایسی چیزوں کو صرف "کچی" لاگ سے پکڑنا بہت مشکل ہے۔
لیکن میری Get-Sysmonlogs کمانڈ اور ایک اضافی ڈیٹا ڈھانچہ کے ساتھ جسے ہم بعد میں متن میں دیکھیں گے (یقیناً ایک گراف)، ہمارے پاس خطرات کا پتہ لگانے کا ایک عملی طریقہ ہے - جس کے لیے صرف درست ورٹیکس تلاش کرنے کی ضرورت ہے۔
ہمیشہ کی طرح ہمارے DYI بلاگ پروجیکٹس کے ساتھ، آپ چھوٹے پیمانے پر خطرات کی تفصیلات کا تجزیہ کرنے پر جتنا زیادہ کام کریں گے، اتنا ہی آپ کو احساس ہوگا کہ انٹرپرائز کی سطح پر خطرے کا پتہ لگانا کتنا پیچیدہ ہے۔ اور یہ بیداری انتہائی ہے۔ اہم نقطہ.
ہم مضمون کے دوسرے حصے میں پہلی دلچسپ پیچیدگیوں کا سامنا کریں گے، جہاں ہم سیسمون کے واقعات کو ایک دوسرے سے بہت زیادہ پیچیدہ ڈھانچے میں جوڑنا شروع کریں گے۔
ماخذ: www.habr.com