Sysmon Threat Analysis Guide, טייל 1

דער אַרטיקל איז דער ערשטער טייל פון אַ סעריע אויף Sysmon סאַקאָנע אַנאַליסיס. אַלע אנדערע טיילן פון דער סעריע:

טייל 1: הקדמה צו Sysmon לאָג אַנאַליסיס (אונז זענען דא)
טייל 2: ניצן Sysmon Event Data צו ידענטיפיצירן טרעץ
טייל 3. אין-טיפקייַט אַנאַליסיס פון Sysmon טרעץ ניצן גראַפס

אויב איר אַרבעט אין אינפֿאָרמאַציע זיכערהייט, איר מיסטאָמע אָפט האָבן צו פֿאַרשטיין אָנגאָינג אנפאלן. אויב איר שוין האָבן אַ טריינד אויג, איר קענען קוקן פֿאַר ניט-נאָרמאַל טעטיקייט אין די "רוי" אַנפּראַסעסט לאָגס - זאָגן, אַ PowerShell שריפט פליסנדיק מיט די DownloadString באַפֿעל אָדער אַ VBS שריפט פּריטענדינג צו זיין אַ וואָרט טעקע - פשוט סקראָללינג דורך די לעצטע טעטיקייט אין די Windows געשעעניש קלאָץ. אבער דאָס איז אַ טאַקע גרויס קאָפּווייטיק. צומ גליק, מייקראָסאָפֿט באשאפן Sysmon, וואָס מאכט באַפאַלן אַנאַליסיס פיל גרינגער.

ווילן צו פֿאַרשטיין די יקערדיק געדאנקען הינטער די טרעץ געוויזן אין די Sysmon קלאָץ? אראפקאפיע אונדזער פירער WMI events ווי אַ מיטל פון ספּייינג און איר פאַרשטיין ווי ינסידערז קענען סוררעפּטיטיאָוסלי אָבסערווירן אנדערע עמפּלוייז. דער הויפּט פּראָבלעם מיט ארבעטן מיט די Windows געשעעניש קלאָץ איז די פעלן פון אינפֿאָרמאַציע וועגן פאָטער פּראַסעסאַז, י.ע. עס איז אוממעגלעך צו פֿאַרשטיין די כייעראַרקי פון פּראַסעסאַז דערפון. Sysmon קלאָץ איינסן, אויף די אנדערע האַנט, אַנטהאַלטן די פאָטער פּראָצעס שייַן, זיין נאָמען און די באַפֿעלן שורה צו זיין לאָנטשט. דאַנקען דיר, מייקראָסאָפֿט.

אין דער ערשטער טייל פון אונדזער סעריע, מיר וועלן קוקן אין וואָס איר קענען טאָן מיט יקערדיק אינפֿאָרמאַציע פֿון Sysmon. אין טייל XNUMX, מיר וועלן נוצן די פאָטער פּראָצעס אינפֿאָרמאַציע צו שאַפֿן מער קאָמפּליצירט העסקעם סטראַקטשערז באקאנט ווי סאַקאָנע גראַפס. אין די דריט טייל, מיר וועלן קוקן אין אַ פּשוט אַלגערידאַם וואָס סקאַנז אַ סאַקאָנע גראַפיק צו זוכן פֿאַר ומגעוויינטלעך טעטיקייט דורך אַנאַלייזינג די "וואָג" פון די גראַפיק. און אין די סוף, איר וועט זיין ריוואָרדיד מיט אַ ציכטיק (און פאַרשטיייק) פּראָבאַביליסטיק סאַקאָנע דיטעקשאַן אופֿן.

טייל 1: הקדמה צו Sysmon לאָג אַנאַליסיס

וואָס קענען העלפֿן איר פֿאַרשטיין די קאַמפּלעקסיטיז פון די געשעעניש קלאָץ? לעסאָף - SIEM. עס נאָרמאַלייזיז געשעענישן און סימפּלאַפייז זייער סאַבסאַקוואַנט אַנאַליסיס. אבער מיר דארפן נישט גיין אזוי ווייט, אמווייניגסטנס נישט ערשט. אין די אָנהייב, צו פֿאַרשטיין די פּרינסאַפּאַלז פון SIEM, עס וועט זיין גענוג צו פּרובירן די ווונדערלעך פריי Sysmon נוצן. און זי איז סאַפּרייזינגלי גרינג צו אַרבעטן מיט. האַלטן עס אַרויף, מייקראָסאָפֿט!

וואָס פֿעיִקייטן האט Sysmon?

אין קורץ - נוציק און ליינעוודיק אינפֿאָרמאַציע וועגן די פּראַסעסאַז (זען בילדער אונטן). איר וועט געפֿינען אַ בינטל פון נוציק דעטאַילס וואָס זענען נישט אין די Windows Event Log, אָבער די מערסט וויכטיק זענען די פאלגענדע פעלדער:

• פּראָצעס שייַן (אין דעצימאַל, נישט העקס!)
• פּאַרענט פּראָצעס שייַן
• פּראָצעס באַפֿעלן שורה
• באַפֿעלן שורה פון דער פאָטער פּראָצעס
• טעקע בילד האַש
• טעקע בילד נעמען

Sysmon איז אינסטאַלירן ביידע ווי אַ מיטל דרייווער און ווי אַ דינסט - מער דעטאַילס דאָ. זייַן הויפּט מייַלע איז די פיייקייט צו פונאַנדערקלייַבן לאָגס פון עטלעכע קוואלן, קאָראַליישאַן פון אינפֿאָרמאַציע און רעזולטאַט פון ריזאַלטינג וואַלועס צו איין געשעעניש קלאָץ טעקע אויף דעם דרך מייקראָסאָפֿט -> Windows -> Sysmon -> אַפּעריישאַנאַל. אין מיין אייגענע האָר-רייזינג ינוועסטאַגיישאַנז אין Windows לאָגס, איך געפֿונען זיך קעסיידער צו באַשטימען צווישן, זאָגן, די PowerShell לאָגס טעקע און די זיכערהייט טעקע, פליקינג דורך די געשעעניש לאָגס אין אַ וואַליאַנט פּרווון צו עפעס קאָראַלייט די וואַלועס צווישן די צוויי. . דאָס איז קיינמאָל אַן גרינג אַרבעט, און ווי איך שפּעטער איינגעזען, עס איז בעסער צו מיד לאַגער אַרויף מיט אַספּירין.

Sysmon נעמט אַ קוואַנטום שפּרינגען פאָרויס דורך פּראַוויידינג נוציק (אָדער ווי ווענדאָרס ווי צו זאָגן, אַקטיאָנאַבלע) אינפֿאָרמאַציע צו העלפן פֿאַרשטיין די אַנדערלייינג פּראַסעסאַז. פֿאַר בייַשפּיל, איך סטאַרטעד אַ סוד סעסיע wmiexec, סימיאַלייטינג די באַוועגונג פון אַ קלוג ינסיידער ין דער נעץ. דאָס איז וואָס איר וועט זען אין די Windows געשעעניש קלאָץ:

די Windows קלאָץ ווייזט עטלעכע אינפֿאָרמאַציע וועגן דעם פּראָצעס, אָבער עס איז פון קליין נוצן. פּלוס פּראָצעס ידס אין העקסאַדעסימאַל???

פֿאַר אַ פאַכמאַן עס פאַכמאַן מיט אַ פארשטאנד פון די באַסיקס פון כאַקינג, די באַפֿעל שורה זאָל זיין סאַספּישאַס. ניצן cmd.exe צו לויפן אן אנדער באַפֿעל און רידערעקט די רעזולטאַט צו אַ טעקע מיט אַ מאָדנע נאָמען איז קלאר ענלעך צו די אַקשאַנז פון מאָניטאָרינג און קאָנטראָל ווייכווארג באַפֿעלן און קאָנטראָל (C2): אין דעם וועג, אַ פּסעוודאָ-שאָל איז באשאפן מיט WMI באַדינונגס.
איצט לאָמיר נעמען אַ קוק אין די Sysmon פּאָזיציע עקוויוואַלענט, נאָוטיסינג ווי פיל נאָך אינפֿאָרמאַציע עס גיט אונדז:

Sysmon פֿעיִקייטן אין איין סקרעענשאָט: דיטיילד אינפֿאָרמאַציע וועגן דעם פּראָצעס אין אַ ליינעוודיק פאָרעם

איר קענט נישט בלויז זען די באַפֿעלן שורה, אָבער אויך די טעקע נאָמען, דער דרך צו די עקסעקוטאַבלע אַפּלאַקיישאַן, וואָס Windows ווייסט וועגן אים ("ווינדאָוז קאַמאַנד פּראַסעסער"), די אידענטיטעט פּאַרענטאַל פּראָצעס, באַפֿעלן שורה פאָטער, וואָס לאָנטשט די קמד שאָל, ווי געזונט ווי די פאַקטיש טעקע נאָמען פון די פאָטער פּראָצעס. אַלץ אין איין אָרט, לעסאָף!
פֿון די Sysmon קלאָץ מיר קענען פאַרענדיקן אַז מיט אַ הויך מאַשמאָעס די סאַספּישאַס באַפֿעלן שורה וואָס מיר געזען אין די "רוי" לאָגס איז נישט דער רעזולטאַט פון דער אָנגעשטעלטער ס נאָרמאַל אַרבעט. גאַנץ פאַרקערט, עס איז געווען דזשענערייטאַד דורך אַ C2-ווי פּראָצעס - wmiexec, ווי איך דערמאנט פריער - און איז גלייך געפֿירט דורך די WMI סערוויס פּראָצעס (WmiPrvSe). איצט מיר האָבן אַ גראדן אַז אַ ווייַט אַטאַקער אָדער ינסיידער איז טעסטינג די פֿירמע ינפראַסטראַקטשער.

ינטראָודוסינג Get-Sysmonlogs

דאָך עס איז גרויס ווען Sysmon שטעלן די לאָגס אין איין אָרט. אָבער עס וואָלט מיסטאָמע זיין אפילו בעסער אויב מיר קען אַקסעס יחיד קלאָץ פעלדער פּראָגראַממאַטיקאַללי - פֿאַר בייַשפּיל, דורך PowerShell קאַמאַנדז. אין דעם פאַל, איר קען שרייַבן אַ קליין PowerShell שריפט וואָס וואָלט אָטאַמייט די זוכן פֿאַר פּאָטענציעל טרעץ!
איך בין נישט געווען דער ערשטער וואָס האָט געהאַט אַזאַ געדאַנק. און עס איז גוט אַז אין עטלעכע פאָרום אַרטיקלען און GitHub פראיעקטן עס איז שוין דערקלערט ווי צו נוצן PowerShell צו פּאַרס די Sysmon קלאָץ. אין מיין פאַל, איך געוואלט צו ויסמיידן צו שרייַבן באַזונדער שורות פון פּאַרסינג שריפט פֿאַר יעדער Sysmon פעלד. אַזוי איך געוויינט דעם פויל מענטש פּרינציפּ און איך טראַכטן איך געקומען אַרויף מיט עפּעס טשיקאַווע ווי אַ רעזולטאַט.
דער ערשטער וויכטיק פונט איז די פיייקייַט פון די מאַנשאַפֿט באַקומען-ווינווענט לייענען Sysmon לאָגס, פילטער די נייטיק געשעענישן און רעזולטאַט די רעזולטאַט צו די PS בייַטעוודיק, ווי דאָ:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

אויב איר ווילן צו פּרובירן די באַפֿעל זיך, דורך ווייַזנדיק דעם אינהאַלט אין דער ערשטער עלעמענט פון די $ events array, $ events[0]. אָנזאָג, דער רעזולטאַט קענען זיין אַ סעריע פון ​​טעקסט סטרינגס מיט אַ זייער פּשוט פֿאָרמאַט: די נאָמען פון די באַפֿעל. Sysmon פעלד, אַ צווייפּינטל, און דעמאָלט דער ווערט זיך.

האריי! אַרויספירן Sysmon קלאָץ אין JSON-גרייט פֿאָרמאַט

איר טראַכטן די זעלבע זאַך ווי מיר? מיט אַ ביסל מער מי, איר קענען בייַטן די רעזולטאַט אין אַ JSON פאָרמאַטטעד שטריקל און דעמאָלט לאָדן עס גלייך אין אַ PS כייפעץ מיט אַ שטאַרק באַפֿעל. קאָנווערטפראָם-דזשסאָן .
איך וועט ווייַזן די PowerShell קאָד פֿאַר די קאַנווערזשאַן - דאָס איז זייער פּשוט - אין דער ווייַטער טייל. איצט, לאָמיר זען וואָס מיין נייַע באַפֿעל גערופן get-sysmonlogs, וואָס איך אינסטאַלירן ווי אַ פּס מאָדולע, קענען טאָן.
אַנשטאָט פון דייווינג טיף אין Sysmon קלאָץ אַנאַליסיס דורך אַ ומבאַקוועם געשעעניש קלאָץ צובינד, מיר קענען עפערטלאַס זוכן פֿאַר ינקראַמענטאַל טעטיקייט גלייַך פֿון אַ PowerShell סעסיע, און נוצן די PS באַפֿעל. ווו (אַליאַס - "?") צו פאַרקירצן די זוכן רעזולטאַטן:

רשימה פון קמד שעלז לאָנטשט דורך WMI. סאַקאָנע אַנאַליסיס אויף די ביליק מיט אונדזער אייגענע באַקומען-Sysmonlogs מאַנשאַפֿט

ווונדערלעך! איך באשאפן אַ געצייַג צו באַקומען די Sysmon קלאָץ ווי אויב עס איז געווען אַ דאַטאַבייס. אין אונדזער אַרטיקל וועגן IQ עס איז געווען באמערקט אַז די פונקציע וועט זיין דורכגעקאָכט דורך די קיל נוצן דיסקרייבד אין עס, כאָטש פאָרמאַלי נאָך דורך אַ פאַקטיש סקל-ווי צובינד. יאָ, EQL עלעגאַנט, אבע ר מי ר װעלע ן אי ם א דריטע ן טײל ר אנרירן .

Sysmon און גראַפיק אַנאַליסיס

זאל ס טרעטן צוריק און טראַכטן וועגן וואָס מיר נאָר באשאפן. יסענשאַלי, מיר איצט האָבן אַ Windows געשעעניש דאַטאַבייס צוטריטלעך דורך PowerShell. ווי איך באמערקט פריער, עס זענען קאַנעקשאַנז אָדער באציונגען צווישן רעקאָרדס - דורך די ParentProcessId - אַזוי אַ גאַנץ כייעראַרקי פון פּראַסעסאַז קענען זיין באקומען.

אויב איר האָט לייענען די סעריע "די אַדווענטורעס פון די ילוסיוו מאַלוואַרע" איר וויסן אַז כאַקערז ליבע צו שאַפֿן קאָמפּלעקס מאַלטי-בינע אנפאלן, אין וואָס יעדער פּראָצעס פיעסעס זיין אייגענע קליין ראָלע און פּריפּערז אַ ספּרינגבאָרד פֿאַר דער ווייַטער שריט. עס איז גאָר שווער צו כאַפּן אַזאַ זאכן פשוט פון די "רוי" קלאָץ.
אָבער מיט מיין Get-Sysmonlogs באַפֿעל און אַן נאָך דאַטן סטרוקטור וואָס מיר וועלן זען שפּעטער אין דעם טעקסט (אַ גראַפיק, פון קורס), מיר האָבן אַ פּראַקטיש וועג צו דעטעקט טרעץ - וואָס נאָר ריקווייערז די רעכט ווערטעקס זוכן.
ווי שטענדיק מיט אונדזער DYI בלאָג פּראַדזשעקס, די מער איר אַרבעט אויף אַנאַלייזינג די דעטאַילס פון טרעץ אויף אַ קליין וואָג, די מער איר וועט פאַרשטיין ווי קאָמפּלעקס סאַקאָנע דיטעקשאַן איז אויף די פאַרנעמונג מדרגה. און דעם וויסיקייַט איז גאָר וויכטיק פונט.

מיר וועלן טרעפן די ערשטע טשיקאַווע קאַמפּלאַקיישאַנז אין די רגע טייל פון דעם אַרטיקל, ווו מיר וועלן אָנהייבן צו פאַרבינדן Sysmon events מיט יעדער אנדערע אין פיל מער קאָמפּליצירט סטראַקטשערז.

מקור: www.habr.com