积跬步 行千里 穿花摇裤

利用Sysmon和Splunk探测网络环境中横向渗透

当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。

工具:

Sysmon + Splunk light

安装配置:


1
<span>sysmon </span><span>-</span><span>i </span><span>-</span><span>n</span>

本地查看sysmon事件日志,打开事件查看器


1
<span>-</span> <span>Microsoft</span><span> &nbsp;</span><span>-</span> <span>Windows</span> <span>-</span> <span>Sysmon</span> <span>-</span> <span>Operational</span>

如下图可以看到sysmon记录到powershell.exe进程创建:

将下列配置写入inputs.conf文件:


1
<span>[</span><span>WinEventLog</span><span>:</span><span>//Microsoft-Windows-Sysmon/Operational]</span>

1
<span>disabled </span><span>=</span> <span>false</span>

1
<span>renderXml </span><span>=</span> <span>true</span>


在splunk中查询当前主机的sysmon日志:


1
<span>sourcetype</span><span>=</span><span>"XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"</span>

安装Splunk插件(Splunk “Add-on for MicrosoftSysmon”)插件下载地址:https://splunkbase.splunk.com/app/1914/#/overview

下载加压插件并将插件放到:


1
<span>C</span><span>:</span><span>/ProgramFiles/</span><span>Splunk</span><span>/</span><span>etc</span><span>/</span><span>apps</span>

重启Splunk Light.

然后在Splunk中可以看到Sysmon事件已经导入:


1
<span>sourcetype</span><span>=</span><span>"XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"</span>

Sysmon事件ID

在下面的案例中,我们关注如下了两类事件

Event ID 1: Process creation  进程创建

Event ID 3: Network connection 网络连接

时间ID完整介绍见Sysmon官方文档

检测到攻击者建立了SMB会话:

攻击者使用了类似的命令建立SMB会话:


1
<span>net </span><span>use</span>

//192.168.1.88


在splunk中搜索Sysmon事件,识别出可疑的SMB会话(445端口):
sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational”192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

在被攻击机器上面执行下面的命令,看到攻击者建立的SMB会话:


1
<span>netstat nao </span><span>|</span><span> find</span><span>"ESTABLISHED"</span>

然后通过分析当前的Windows事件日志,辨别进程的创建/终止,网络连接的建立/销毁来区别正常与异常的SMB会话。

探测攻击者使用PowerShell进行横向渗透。

PowerShell初始化 Windows RemoteManagement (WinRM) 的时候会通过5985和5986端口。在这个例子中,攻击者在被攻击机器上面远程执行脚本,或者连接了受害者机器。

在Splunk中,我们可以通过下面的Sysmon事件来辨识出 恶意的行为,我们可以攻击者使用WinRM

远程连接了被攻击机器的5896端口:


1
<span>sourcetype</span><span>=</span><span>"XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"</span><span>5985</span><span> OR </span><span>5986</span> <span>|</span><span> table _time</span><span>,</span> <span>EventCode</span><span>,</span> <span>EventDescription</span><span>,</span><span> host</span><span>,</span> <span>SourceIp</span><span>,</span><span>src_port</span><span>,</span> <span>User</span><span>,</span> <span>DestinationIp</span><span>,</span> <span>DestinationPort</span><span>,</span> <span>Image</span><span>,</span> <span>ProcessID</span><span>,</span> <span>Protocol</span>

我们可以看到受害者机器上面WinRM Remote PowerShell 进程(wsmprovhost.exe)启动了ping.exe和systeminfo.exe这两个进程,而且我们可以看到执行的命令参数。


1
<span>sourcetype</span><span>=</span><span>"XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"</span><span>wsmprovhost</span><span>.</span><span>exe </span><span>|</span><span> table _time</span><span>,</span> <span>EventCode</span><span>,</span> <span>EventDescription</span><span>,</span><span> host</span><span>,</span> <span>Image</span><span>,</span><span>ProcessID</span><span>,</span> <span>ParentProcessId</span><span>,</span> <span>CommandLine</span><span>&nbsp;</span>

上面的案例经常会发生在大家的网络环境中,有时候攻击者会使用原生的系统工具来使隐藏恶意行为,所以熟悉自己网络环境中的正常行为非常重要。

原文链接

1
*本文原创作者:ArkTeam/w0lf,转载请注明来自FreeBuf

赞(0)
未经允许不得转载:花摇裤 » 利用Sysmon和Splunk探测网络环境中横向渗透
分享到: 更多 (0)