使用Sysmon和Splunk探測網絡環境中橫向滲透

時間  2019-12-06
標籤 使用 sysmon splunk 探測 網絡環境 橫向 滲透 欄目 系統安全 简体版
原文   原文鏈接

當前很難在網絡中探測攻擊者橫向滲透,其中緣由有很難獲取必要的日誌和區別正常與惡意行爲。本篇文章介紹經過部署Sysmon並將日誌發送到SIEM來探測橫向滲透。html

工具:python

Sysmon + Splunk lightshell

安裝配置:windows

sysmon -i -n

01.png

本地查看sysmon事件日誌,打開事件查看器- Microsoft  - Windows - Sysmon - Operational。以下圖能夠看到sysmon記錄到powershell.exe進程建立:安全

02.png

 

將下列配置寫入inputs.conf文件:網絡

[WinEventLog://Microsoft-Windows-Sysmon/Operational]

disabled = false

renderXml = true

02-5.png

在splunk中查詢當前主機的sysmon日誌:app

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

03.PNG

安裝Splunk插件(Splunk "Add-on for MicrosoftSysmon"ide

)插件下載地址:https://splunkbase.splunk.com/app/1914/#/overview工具

下載加壓插件並將插件放到:插件

C:\ProgramFiles\Splunk\etc\apps

04.PNG

重啓Splunk Light.

而後在Splunk中能夠看到Sysmon事件已經導入:

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

05.PNG

Sysmon事件ID

在下面的案例中,咱們關注以下了兩類事件

 

Event ID 1: Process creation  進程建立

Event ID 3: Network connection 網絡鏈接

 

時間ID完整介紹見Sysmon官方文檔:https://technet.microsoft.com/en-us/sysinternals/sysmon

檢測到攻擊者創建了SMB會話:

06.PNG

攻擊者使用了相似的命令創建SMB會話:

net use \\192.168.1.88

07.png

在splunk中搜索Sysmon事件,識別出可疑的SMB會話(445端口):

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

08.PNG

在被攻擊機器上面執行下面的命令,看到攻擊者創建的SMB會話:

netstat nao | find"ESTABLISHED"

09.png

而後經過分析當前的Windows事件日誌,辨別進程的建立/終止,網絡鏈接的創建/銷燬來區別正常與異常的SMB會話。

探測攻擊者使用PowerShell進行橫向滲透

PowerShell初始化 Windows RemoteManagement (WinRM) 的時候會經過5985和5986端口。在這個例子中,攻擊者在被攻擊機器上面遠程執行腳本,或者鏈接了受害者機器。

10.PNG

在Splunk中,咱們能夠經過下面的Sysmon事件來辨識出 惡意的行爲,咱們能夠攻擊者使用WinRM

遠程鏈接了被攻擊機器的5896端口:

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"5985 OR 5986 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

11.PNG

咱們能夠看到受害者機器上面WinRM Remote PowerShell 進程(wsmprovhost.exe)啓動了ping.exe和systeminfo.exe這兩個進程,並且咱們能夠看到執行的命令參數。

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"wsmprovhost.exe | table _time, EventCode, EventDescription, host, Image,ProcessID, ParentProcessId, CommandLine

12.PNG

上面的案例常常會發生在你們的網絡環境中,有時候攻擊者會使用原生的系統工具來使隱藏惡意行爲,因此熟悉本身網絡環境中的正常行爲很是重要。

 

 

原文: <http://www.incidentresponderblog.com/2016/09/detecting-lateral-movement-using-sysmon.html

相關文章:

Syslog+NXlog 簡單的windows安全監控部署

tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程