首页 » 系统攻防 » Windows » 浏览内容

使用Sysmon和Splunk探测网络环境中横向渗透

464 1 发表评论
当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。

工具:
Sysmon + Splunk light
安装配置:

使用Sysmon和Splunk探测网络环境中横向渗透

本地查看sysmon事件日志,打开事件查看器

如下图可以看到sysmon记录到powershell.exe进程创建:

使用Sysmon和Splunk探测网络环境中横向渗透

将下列配置写入inputs.conf文件:

使用Sysmon和Splunk探测网络环境中横向渗透

在splunk中查询当前主机的sysmon日志:

sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational”

使用Sysmon和Splunk探测网络环境中横向渗透

安装Splunk插件(Splunk “Add-on for MicrosoftSysmon”)
插件下载地址:https://splunkbase.splunk.com/app/1914/#/overview

下载加压插件并将插件放到:

C:\ProgramFiles\Splunk\etc\apps

使用Sysmon和Splunk探测网络环境中横向渗透

重启Splunk Light.

然后在Splunk中可以看到Sysmon事件已经导入:

sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational”

使用Sysmon和Splunk探测网络环境中横向渗透

Sysmon事件ID

在下面的案例中,我们关注如下了两类事件

  • Event ID 1: Process creation 进程创建
  • Event ID 3: Network connection 网络连接

时间ID完整介绍见Sysmon官方文档

检测到攻击者建立了SMB会话:

使用Sysmon和Splunk探测网络环境中横向渗透

攻击者使用了类似的命令建立SMB会话:

使用Sysmon和Splunk探测网络环境中横向渗透

在splunk中搜索Sysmon事件,识别出可疑的SMB会话(445端口):

使用Sysmon和Splunk探测网络环境中横向渗透

在被攻击机器上面执行下面的命令,看到攻击者建立的SMB会话:

使用Sysmon和Splunk探测网络环境中横向渗透

然后通过分析当前的Windows事件日志,辨别进程的创建/终止,网络连接的建立/销毁来区别正常与异常的SMB会话。

探测攻击者使用PowerShell进行横向渗透。

PowerShell初始化 Windows RemoteManagement (WinRM) 的时候会通过5985和5986端口。在这个例子中,攻击者在被攻击机器上面远程执行脚本,或者连接了受害者机器。

使用Sysmon和Splunk探测网络环境中横向渗透

在Splunk中,我们可以通过下面的Sysmon事件来辨识出 恶意的行为,我们可以攻击者使用WinRM
远程连接了被攻击机器的5896端口:

使用Sysmon和Splunk探测网络环境中横向渗透

我们可以看到受害者机器上面WinRM Remote PowerShell 进程(wsmprovhost.exe)启动了ping.exe和systeminfo.exe这两个进程,而且我们可以看到执行的命令参数。

sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational”wsmprovhost.exe | table _time, EventCode, EventDescription, host, Image,ProcessID, ParentProcessId, CommandLine

使用Sysmon和Splunk探测网络环境中横向渗透

上面的案例经常会发生在大家的网络环境中,有时候攻击者会使用原生的系统工具来使隐藏恶意行为,所以熟悉自己网络环境中的正常行为非常重要。

原文地址:http://www.incidentresponderblog.com/2016/09/detecting-lateral-movement-using-sysmon.html

评论 共 1 条 (RSS 2.0) 发表 评论

  1. 会员头像 ddos说道:

    什么玩意 根本呢不能用啊

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥如果你有意向广告合作点击广

关注微信

订阅博客

站内广告

博客统计

  • 日志总数:521 篇
  • 评论数目:1868 条
  • 标签总数:42 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:24 个
  • 建站日期:2011-02-13
  • 运行天数:2444 天
  • 最后更新:2017-10-23