一、使用说明¶
1)EDR:监视和收集可能存在的威胁的终端活动数据,结合分析平台对采集到的的数据进行关联识别
2)应急响应:作为取证和分析的工具,以研究锁定的威胁和搜索可疑活动
二、Sysmon介绍¶
Sysmon Sysmon是微软的一款轻量级的系统监控工具,提供有关进程创建,网络连接以及文件创建时间更改的详细信息,是安全事件检测、分析和溯源的神器,sysmon 13 增加了一个Event ID 25,可用于检测高级恶意攻击策略Process Hollowing和Process Herpaderping sysmon功能概述
(1)使用完整的命令行记录当前行为的父进程的进程创建;
(2)使用SHA1(默认值),MD5,SHA256或IMPHASH记录过程映像文件的哈希;
(3)可以同时使用多个哈希;
(4)在进程创建事件中包含进程GUID,即使Windows重用进程ID时也可以使事件相关;
(5)在每个事件中都包含一个会话GUID,以允许在同一登录会话上关联事件;
(6)使用签名和哈希记录驱动程序或DLL的加载;
(7)日志打开以进行磁盘和卷的原始读取访问;
(8)(可选)记录网络连接,包括每个连接的源进程,IP地址,端口号,主机名和端口名。
(9)检测文件创建时间的更改,以了解真正创建文件的时间。修改文件创建时间戳是恶意软件通常用来掩盖其踪迹的技术;
(10)如果注册表中发生更改,则自动重新加载配置;
(11)规则过滤以动态包括或排除某些事件;
Process Hollowing
攻击者可以删除可执行文件中的代码,然后将其替换为恶意代码。黑客使用进程空心化攻击(类似于进程注入)来导致原本合法的进程执行恶意代码。可以在逃避潜在防御措施(例如检测分析软件)的情况下进行此攻击,执行流程为:map->modify section -> exeute
Process Herpaderping
一种通过在映像映射后修改磁盘上的内容来掩盖进程意图的方法,执行流程为:writer->map-modify ->execute -> close.
项目地址
项目Docs
三、安装使用¶
1.sysmon下载:
sysmon13.23下载地址
配置文件下载地址
2.sysmon安装:
- 以管理员权限打开cmd或powershell,切换到Sysmon程序目录下。
- 运行安装Sysmon程序,安装后,该服务会立即记录事件,并且该驱动程序将作为启动驱动程序进行安装,以捕获从启动初期开始的活动(该服务在启动时将其写入事件日志)中的活动。sysmon.exe -i
- 更新配置文件sysmon.exe -c sysmonconfig-export.xm
3.批量安装脚本:
@echo off
setlocal
set hour=%time:~0,2%
set minute=%time:~3,2%
set /A minute+=2
if %minute% GTR 59 (
set /A minute-=60
set /A hour+=1
)
if %hour%==24 set hour=00
if "%hour:~0,1%"==" " set hour=0%hour:~1,1%
if "%hour:~1,1%"=="" set hour=0%hour%
if "%minute:~1,1%"=="" set minute=0%minute%
set tasktime=%hour%:%minute%
mkdir C:\windows\sysmon
pushd "C:\windows\sysmon\"
echo [+] Downloading Sysmon...
@powershell (new-object System.Net.WebClient).DownloadFile('https://gitee.com/njcx86/sysmon-config/raw/master/Sysmon64.exe','C:\windows\sysmon\sysmon64.exe')"
echo [+] Downloading Sysmon config...
@powershell (new-object System.Net.WebClient).DownloadFile('https://gitee.com/njcx86/sysmon-config/raw/master/sysmonconfig-export.xml','C:\windows\sysmon\sysmonconfig-export.xml')"
@powershell (new-object System.Net.WebClient).DownloadFile('https://gitee.com/njcx86/sysmon-config/raw/master/Auto_Update.bat','C:\windows\sysmon\Auto_Update.bat')"
sysmon64.exe -accepteula -i sysmonconfig-export.xml
sc failure Sysmon64 actions= restart/10000/restart/10000// reset= 120
echo [+] Sysmon Successfully Installed!
echo [+] Creating Auto Update Task set to Hourly..
SchTasks /Create /RU SYSTEM /RL HIGHEST /SC HOURLY /TN Update_Sysmon_Rules /TR C:\ProgramData\sysmon\Auto_Update.bat /F /ST %tasktime%
timeout /t 10
exit
4.批量更新脚本(Auto_Update.bat)
@echo on
cd C:\ProgramData\sysmon\
@powershell (new-object System.Net.WebClient).DownloadFile('https://gitee.com/njcx86/sysmon-config/raw/master/sysmonconfig-export.xml','C:\windows\sysmon\sysmonconfig-export.xml')"
sysmon64 -c sysmonconfig-export.xml
exit
四、sysmon辅助分析工具¶
Sysmon View:离线Sysmon日志可视化工具。
Sysmon Shell: Sysmon配置实用程序。
Sysmon Box: Sysmon和网络捕获日志实用程序。
五、参考资料¶
1.sysmon事件定义
2.利用Sysmon定位域名解析进程
3.在Windows平台利用sysmon进行安全分析
4.sysmon-dfir
5.sysmon分析工具博客
6.TrustedSec公司的Sysmon配置向导
7.Olaf Hartong Sysmon配置模块库(支持ATT&CK)