使用Sysmon和Splunk探測網路環境中橫向滲透

新聞 02-04

當前很難在網路中探測攻擊者橫向滲透，其中原因有很難獲取必要的日誌和區別正常與惡意行為。本篇文章介紹通過部署Sysmon並將日誌發送到SIEM來探測橫向滲透。

工具：

Sysmon + Splunk light

安裝配置：

sysmon -i -n

本地查看sysmon事件日誌，打開事件查看器

- Microsoft - Windows - Sysmon - Operational

如下圖可以看到sysmon記錄到powershell.exe進程創建：

將下列配置寫入inputs.conf文件：

[WinEventLog://Microsoft-Windows-Sysmon/Operational]

disabled = false


 
renderXml = true

在splunk中查詢當前主機的sysmon日誌：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

安裝Splunk插件（Splunk 「Add-on for MicrosoftSysmon」）

插件下載地址：

https://splunkbase.splunk.com/app/1914/#/overview

下載加壓插件並將插件放到：

C:ProgramFilesSplunketcapps

重啟Splunk Light.

然後在Splunk中可以看到Sysmon事件已經導入：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

Sysmon事件ID

在下面的案例中，我們關注如下了兩類事件

Event ID 1: Process creation 進程創建

Event ID 3: Network connection 網路連接

時間

完整介紹點擊閱讀原文查看

Sysmon

官方文檔

檢測到攻擊者建立了SMB會話：

攻擊者使用了類似的命令建立SMB會話：

net use

\192.168.1.88

在splunk中搜索Sysmon事件，識別出可疑的ＳＭＢ會話（４４５埠）：

sourcetype=」XmlWinEventLog:Microsoft-Windows-Sysmon/Operational」192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

在被攻擊機器上面執行下面的命令，看到攻擊者建立的SMB會話：

netstat nao | find"ESTABLISHED"

然後通過分析當前的Windows事件日誌，辨別進程的創建/終止，網路連接的建立/銷毀來區別正常與異常的SMB會話。

探測攻擊者使用PowerShell進行橫向滲透。

PowerShell初始化 Windows RemoteManagement (WinRM) 的時候會通過5985和5986埠。在這個例子中，攻擊者在被攻擊機器上面遠程執行腳本，或者連接了受害者機器。

在Splunk中，我們可以通過下面的Sysmon事件來辨識出惡意的行為，我們可以攻擊者使用WinRM

遠程連接了被攻擊機器的5896埠：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"5985 OR 5986 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

我們可以看到受害者機器上面WinRM Remote PowerShell 進程（wsmprovhost.exe）啟動了ping.exe和systeminfo.exe這兩個進程，而且我們可以看到執行的命令參數。

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"wsmprovhost.exe | table _time, EventCode, EventDescription, host, Image,ProcessID, ParentProcessId, CommandLine

上面的案例經常會發生在大家的網路環境中，有時候攻擊者會使用原生的系統工具來使隱藏惡意行為，所以熟悉自己網路環境中的正常行為非常重要。

點擊閱讀原文查看原文

Syslog+NXlog 簡單的windows安全監控部署

tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

*本文由evileo編譯，轉載請註明來自FreeBuf.COM

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章:

※MBR勒索木馬再度來襲：GoldenEye分析
※2016年的黑客活動對政治造成了哪些影響 | FreeBuf年終策劃

TAG:FreeBuf |

您可能感興趣

※Marktech Optoelectronics 和 Digi-Key 合作推出定製型光電探測器
※objection-基於 Frida的iOS APP Runtime 探測工具
※美軍M4/M4E1聯合化學戰劑探測器 Joint Chemical Agent Detector
※華中科技大學唐江團隊Nature Photonics：Cs2AgBiBr6單晶X射線探測器
※Origin Wireless可藉助Wi-Fi信號來探測人在室內的輕微移動
※一款能在GitHub代碼庫中探測密鑰的工具：Truffle Hog
※歐航局公布火星探測器Schiaparell墜毀報告：系軟體故障
※Schiaparelli探測器公布著陸地點，或有助於發現火星生命
※Adv.Funct.Mater.：基於多層二維NiPS3納米片的高性能紫外光電探測器
※NASA使用HoloLens來研發下一代火星探測器
※NASA加速應用機器學習探測太空，英特爾攜Nervana參與其中
※斯坦福大學Nat.Nanotech.：探測活細胞內吞作用膜曲率的納米級操作
※為NASA火星探測器研發人工智慧大腦:NeuralaA輪融資
※TFboys成為中國火星探測工程大使？
※宇宙神火箭攜OSIRIS-Rex探測器發射
※美國11億美元木星探測器「朱諾」號Have problem！
※Facebook要用AI提前探測恐怖主義，到哪一步了？
※用個人輻射探測器Dosime躲避輻射
※NASA 2018 年讓探測器飛向太陽，華為新旗艦外形曝光，Android 新系統鬧鈴出問題 | 極客早知道