Nkan yii jẹ apakan akọkọ ti jara lori itupalẹ irokeke Sysmon. Gbogbo awọn ẹya miiran ti jara:
Apá 1: Ifihan si Sysmon Log Analysis (a wa nibi)
Apá 2: Lilo Sysmon Iṣẹlẹ Data lati Da awọn irokeke
Apá 3. Ayẹwo ti o jinlẹ ti awọn irokeke Sysmon nipa lilo awọn aworan
Ti o ba ṣiṣẹ ni aabo alaye, o ṣee ṣe nigbagbogbo ni lati loye awọn ikọlu ti nlọ lọwọ. Ti o ba ti ni oju ikẹkọ tẹlẹ, o le wa iṣẹ ṣiṣe ti kii ṣe deede ni awọn iwe-ipamọ “aise” ti ko ni ilana - sọ, iwe afọwọkọ PowerShell nṣiṣẹ tabi iwe afọwọkọ VBS kan ti n dibọn pe o jẹ faili Ọrọ kan - nirọrun yi lọ nipasẹ iṣẹ ṣiṣe tuntun ni akọọlẹ iṣẹlẹ Windows. Ṣugbọn eyi jẹ orififo nla gaan. Ni Oriire, Microsoft ṣẹda Sysmon, eyiti o jẹ ki itupalẹ ikọlu rọrun pupọ.
Ṣe o fẹ lati ni oye awọn imọran ipilẹ lẹhin awọn irokeke ti o han ninu log Sysmon? Ṣe igbasilẹ itọsọna wa ati pe o mọ bi awọn alamọdaju ṣe le ṣe akiyesi awọn oṣiṣẹ miiran ni surreptitiously. Iṣoro akọkọ pẹlu ṣiṣẹ pẹlu akọọlẹ iṣẹlẹ Windows ni aini alaye nipa awọn ilana obi, ie. ko ṣee ṣe lati ni oye awọn ilana ti awọn ilana lati ọdọ rẹ. Awọn titẹ sii log Sysmon, ni apa keji, ni ID ilana ilana obi, orukọ rẹ, ati laini aṣẹ lati ṣe ifilọlẹ. O ṣeun, Microsoft.
Ni apakan akọkọ ti jara wa, a yoo wo kini o le ṣe pẹlu alaye ipilẹ lati Sysmon. Ni Apá XNUMX, a yoo lo anfani kikun ti alaye ilana ilana obi lati ṣẹda awọn ẹya ifaramọ eka diẹ sii ti a mọ si awọn aworan irokeke. Ni apakan kẹta, a yoo wo algoridimu ti o rọrun kan ti o ṣe ayẹwo aworan irokeke kan lati wa iṣẹ ṣiṣe dani nipa ṣiṣe ayẹwo “iwuwo” ti iwọn. Ati ni ipari, iwọ yoo san ẹsan pẹlu afinju (ati oye) ọna wiwa irokeke iṣeeṣe.
Apá 1: Ifihan si Sysmon Log Analysis
Kini o le ṣe iranlọwọ fun ọ ni oye awọn idiju ti akọọlẹ iṣẹlẹ naa? Ni ipari - SIEM. O ṣe deede awọn iṣẹlẹ ati simplifies itupalẹ atẹle wọn. Ṣugbọn a ko ni lati lọ jinna yẹn, o kere ju kii ṣe ni akọkọ. Ni ibẹrẹ, lati loye awọn ipilẹ ti SIEM, yoo to lati gbiyanju ohun elo Sysmon ọfẹ ti iyalẹnu. Ati pe o jẹ iyalẹnu rọrun lati ṣiṣẹ pẹlu rẹ. Jeki o soke, Microsoft!
Awọn ẹya wo ni Sysmon ni?
Ni kukuru - alaye ti o wulo ati kika nipa awọn ilana (wo awọn aworan ni isalẹ). Iwọ yoo wa opo awọn alaye to wulo ti ko si ni Wọle Iṣẹlẹ Windows, ṣugbọn pataki julọ ni awọn aaye wọnyi:
- ID ilana (ni eleemewa, kii ṣe hex!)
- ID ilana obi
- Laini aṣẹ ilana
- Òfin ila ti awọn obi ilana
- Hash aworan faili
- Awọn orukọ aworan faili
Sysmon ti fi sori ẹrọ mejeeji bi awakọ ẹrọ ati bi iṣẹ kan - awọn alaye diẹ sii Awọn anfani bọtini rẹ ni agbara lati ṣe itupalẹ awọn akọọlẹ lati pupọ awọn orisun, ibamu ti alaye ati abajade ti awọn iye abajade si folda iṣẹlẹ iṣẹlẹ kan ti o wa ni ọna Microsoft -> Windows -> Sysmon -> Ṣiṣẹ. Ninu awọn iwadii igbega irun ti ara mi sinu awọn iforukọsilẹ Windows, Mo rii pe MO ni nigbagbogbo lati yipada laarin, sọ, folda awọn akọọlẹ PowerShell ati folda Aabo, lilọ nipasẹ awọn akọọlẹ iṣẹlẹ ni igbiyanju akikanju lati bakan ṣe atunṣe awọn iye laarin awọn meji. . Eyi kii ṣe iṣẹ-ṣiṣe ti o rọrun rara, ati bi mo ṣe rii nigbamii, o dara lati ṣaja lẹsẹkẹsẹ lori aspirin.
Sysmon gba fifo kuatomu siwaju nipa ipese iwulo (tabi bi awọn olutaja ṣe fẹ lati sọ, ṣiṣe) alaye lati ṣe iranlọwọ ni oye awọn ilana abẹlẹ. Fun apẹẹrẹ, Mo bẹrẹ ipade ikoko kan , simulating awọn ronu ti a smati Oludari laarin awọn nẹtiwọki. Eyi ni ohun ti iwọ yoo rii ninu akọọlẹ iṣẹlẹ Windows:
Iwe akọọlẹ Windows fihan alaye diẹ nipa ilana naa, ṣugbọn kii ṣe lilo diẹ. Plus ilana ID ni hexadecimal???
Fun ọjọgbọn IT ọjọgbọn pẹlu oye ti awọn ipilẹ ti gige sakasaka, laini aṣẹ yẹ ki o jẹ ifura. Lilo cmd.exe lati lẹhinna ṣiṣe aṣẹ miiran ki o ṣe atunṣe abajade si faili kan pẹlu orukọ ajeji jẹ kedere iru awọn iṣe ti ibojuwo ati sọfitiwia iṣakoso. : Ni ọna yii, a ṣẹda pseudo-ikarahun nipa lilo awọn iṣẹ WMI.
Bayi jẹ ki a wo deede titẹsi Sysmon, ṣe akiyesi iye alaye afikun ti o fun wa:
Awọn ẹya Sysmon ni sikirinifoto kan: alaye alaye nipa ilana ni fọọmu kika
Iwọ kii ṣe laini aṣẹ nikan, ṣugbọn tun orukọ faili, ọna si ohun elo ti o ṣiṣẹ, kini Windows mọ nipa rẹ (“Windows Command Processor”), idamo obi ilana, pipaṣẹ ila obi, eyiti o ṣe ifilọlẹ ikarahun cmd, bakanna bi orukọ faili gidi ti ilana obi. Ohun gbogbo ni ibi kan, nipari!
Lati akọọlẹ Sysmon a le pinnu pe pẹlu iwọn giga ti iṣeeṣe laini aṣẹ ifura yii ti a rii ninu awọn akọọlẹ “aise” kii ṣe abajade ti iṣẹ deede ti oṣiṣẹ. Ni ilodisi, o jẹ ipilẹṣẹ nipasẹ ilana bii C2 - wmiexec, gẹgẹ bi mo ti mẹnuba tẹlẹ - ati pe o jẹ itunnu taara nipasẹ ilana iṣẹ WMI (WmiPrvSe). Ni bayi a ni afihan pe atako jijin tabi onimọran n ṣe idanwo awọn amayederun ile-iṣẹ.
Ifihan Gba-Sysmonlogs
Dajudaju o jẹ nla nigbati Sysmon fi awọn akọọlẹ si ibi kan. Ṣugbọn o ṣee ṣe paapaa dara julọ ti a ba le wọle si awọn aaye akọọlẹ kọọkan ni eto - fun apẹẹrẹ, nipasẹ awọn aṣẹ PowerShell. Ni ọran yii, o le kọ iwe afọwọkọ PowerShell kekere kan ti yoo ṣe adaṣe adaṣe fun awọn irokeke ti o pọju!
Emi kii ṣe ẹni akọkọ lati ni iru imọran bẹẹ. Ati pe o dara pe ni diẹ ninu awọn ifiweranṣẹ apejọ ati GitHub O ti ṣe alaye tẹlẹ bi o ṣe le lo PowerShell lati ṣe itupalẹ akọọlẹ Sysmon naa. Ninu ọran mi, Mo fẹ lati yago fun nini lati kọ awọn laini lọtọ ti iwe afọwọkọ fun aaye Sysmon kọọkan. Nitorinaa Mo lo ilana eniyan ọlẹ ati pe Mo ro pe Mo wa pẹlu nkan ti o nifẹ bi abajade.
Ojuami pataki akọkọ ni agbara ti ẹgbẹ Ka awọn akọọlẹ Sysmon, ṣe àlẹmọ awọn iṣẹlẹ to ṣe pataki ki o jade abajade si oniyipada PS, bii nibi:
$events = Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}
Ti o ba fẹ ṣe idanwo aṣẹ naa funrararẹ, nipa fifi akoonu han ni ipin akọkọ ti $ awọn iṣẹlẹ iṣẹlẹ, $events[0] Ifiranṣẹ, abajade le jẹ lẹsẹsẹ awọn gbolohun ọrọ pẹlu ọna kika ti o rọrun pupọ: orukọ ti Aaye Sysmon, oluṣafihan, ati lẹhinna iye funrararẹ.
Hooray! Ṣiṣejade Sysmon wọle sinu ọna kika JSON-ṣetan
Ṣe o lero ohun kanna bi emi? Pẹlu igbiyanju diẹ diẹ sii, o le yi abajade pada sinu okun ti a ṣe agbekalẹ JSON ati lẹhinna gbe e taara sinu ohun PS kan nipa lilo aṣẹ ti o lagbara. .
Emi yoo fi koodu PowerShell han fun iyipada - o rọrun pupọ - ni apakan atẹle. Ni bayi, jẹ ki a wo kini aṣẹ tuntun mi ti a pe ni get-sysmonlogs, eyiti Mo fi sori ẹrọ bi module PS, le ṣe.
Dipo ki o jinle sinu itupalẹ log Sysmon nipasẹ wiwo wiwo iṣẹlẹ iṣẹlẹ ti ko ni irọrun, a le wa lainidi fun iṣẹ ṣiṣe afikun taara lati igba PowerShell kan, bakannaa lo aṣẹ PS (inagijẹ – “?”) lati kuru awọn abajade wiwa:
Akojọ ti awọn ikarahun cmd ṣe ifilọlẹ nipasẹ WMI. Iṣiro Irokeke lori Olowo poku pẹlu Ẹgbẹ Gba-Sysmonlogs Tiwa
Iyanu! Mo ṣẹda ohun elo kan lati ṣe ibo iwe Sysmon bi ẹnipe o jẹ ibi ipamọ data. Ninu nkan wa nipa a ṣe akiyesi pe iṣẹ yii yoo ṣe nipasẹ ohun elo ti o tutu ti a ṣalaye ninu rẹ, botilẹjẹpe ni deede tun nipasẹ wiwo SQL gidi kan. Bẹẹni, EQL yangan, ṣugbọn a yoo fi ọwọ kan lori rẹ ni apakan kẹta.
Sysmon ati awonya onínọmbà
Jẹ ki a pada sẹhin ki a ronu nipa ohun ti a ṣẹṣẹ ṣẹda. Ni pataki, a ni aaye data iṣẹlẹ iṣẹlẹ Windows ti o wa nipasẹ PowerShell. Gẹgẹbi Mo ti ṣe akiyesi tẹlẹ, awọn asopọ tabi awọn ibatan wa laarin awọn igbasilẹ - nipasẹ ParentProcessId - nitorinaa awọn ilana ilana pipe le ṣee gba.
Ti o ba ti ka jara o mọ pe awọn olosa nifẹ lati ṣẹda awọn ikọlu ipele pupọ, ninu eyiti ilana kọọkan ṣe ipa kekere tirẹ ati murasilẹ orisun omi fun igbesẹ ti nbọ. O nira pupọ lati mu iru awọn nkan bẹ larọwọto lati inu akọọlẹ “aise”.
Ṣugbọn pẹlu aṣẹ Get-Sysmonlogs mi ati igbekalẹ data afikun ti a yoo wo nigbamii ninu ọrọ (iya kan, nitorinaa), a ni ọna ti o wulo lati ṣawari awọn irokeke - eyiti o kan nilo ṣiṣe wiwa fatesi ọtun.
Gẹgẹ bi nigbagbogbo pẹlu awọn iṣẹ akanṣe bulọọgi DYI wa, diẹ sii ti o ṣiṣẹ lori itupalẹ awọn alaye ti awọn irokeke lori iwọn kekere, diẹ sii iwọ yoo mọ bii wiwa eewu eka ṣe wa ni ipele ile-iṣẹ. Ati pe imọ yii jẹ lalailopinpin pataki ojuami.
A yoo pade awọn ilolu ti o nifẹ akọkọ ni apakan keji ti nkan naa, nibiti a yoo bẹrẹ lati sopọ awọn iṣẹlẹ Sysmon pẹlu ara wa sinu awọn ẹya eka pupọ diẹ sii.
orisun: www.habr.com