使用Sysmon和Splunk探测网络环境中横向渗透

时间  2019-12-06
标签 使用 sysmon splunk 探测 网络环境 横向 渗透 栏目 系统安全 繁體版
原文   原文链接

当前很难在网络中探测攻击者横向渗透,其中缘由有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍经过部署Sysmon并将日志发送到SIEM来探测横向渗透。html

工具:python

Sysmon + Splunk lightshell

安装配置:windows

sysmon -i -n

01.png

本地查看sysmon事件日志,打开事件查看器- Microsoft  - Windows - Sysmon - Operational。以下图能够看到sysmon记录到powershell.exe进程建立:安全

02.png

 

将下列配置写入inputs.conf文件:网络

[WinEventLog://Microsoft-Windows-Sysmon/Operational]

disabled = false

renderXml = true

02-5.png

在splunk中查询当前主机的sysmon日志:app

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

03.PNG

安装Splunk插件(Splunk "Add-on for MicrosoftSysmon"ide

)插件下载地址:https://splunkbase.splunk.com/app/1914/#/overview工具

下载加压插件并将插件放到:插件

C:\ProgramFiles\Splunk\etc\apps

04.PNG

重启Splunk Light.

而后在Splunk中能够看到Sysmon事件已经导入:

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

05.PNG

Sysmon事件ID

在下面的案例中,咱们关注以下了两类事件

 

Event ID 1: Process creation  进程建立

Event ID 3: Network connection 网络链接

 

时间ID完整介绍见Sysmon官方文档:https://technet.microsoft.com/en-us/sysinternals/sysmon

检测到攻击者创建了SMB会话:

06.PNG

攻击者使用了相似的命令创建SMB会话:

net use \\192.168.1.88

07.png

在splunk中搜索Sysmon事件,识别出可疑的SMB会话(445端口):

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

08.PNG

在被攻击机器上面执行下面的命令,看到攻击者创建的SMB会话:

netstat nao | find"ESTABLISHED"

09.png

而后经过分析当前的Windows事件日志,辨别进程的建立/终止,网络链接的创建/销毁来区别正常与异常的SMB会话。

探测攻击者使用PowerShell进行横向渗透

PowerShell初始化 Windows RemoteManagement (WinRM) 的时候会经过5985和5986端口。在这个例子中,攻击者在被攻击机器上面远程执行脚本,或者链接了受害者机器。

10.PNG

在Splunk中,咱们能够经过下面的Sysmon事件来辨识出 恶意的行为,咱们能够攻击者使用WinRM

远程链接了被攻击机器的5896端口:

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"5985 OR 5986 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

11.PNG

咱们能够看到受害者机器上面WinRM Remote PowerShell 进程(wsmprovhost.exe)启动了ping.exe和systeminfo.exe这两个进程,并且咱们能够看到执行的命令参数。

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"wsmprovhost.exe | table _time, EventCode, EventDescription, host, Image,ProcessID, ParentProcessId, CommandLine

12.PNG

上面的案例常常会发生在你们的网络环境中,有时候攻击者会使用原生的系统工具来使隐藏恶意行为,因此熟悉本身网络环境中的正常行为很是重要。

 

 

原文: <http://www.incidentresponderblog.com/2016/09/detecting-lateral-movement-using-sysmon.html

相关文章:

Syslog+NXlog 简单的windows安全监控部署

tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程