Το Microsoft Sysmon πλέον εντοπίζει πότε δημιουργούνται εκτελέσιμα αρχεία

Η

Microsoft

κυκλοφόρησε το Sysmon 15, μετατρέποντάς το σε προστατευμένη διαδικασία και προσθέτοντας τη νέα επιλογή «FileExecutableDetected» για καταγραφή όταν δημιουργούνται εκτελέσιμα αρχεία.

Για όσους δεν γνωρίζουν

Sysmon

(ή System Monitor), είναι ένα δωρεάν εργαλείο Microsoft Sysinternals που μπορεί να παρακολουθεί και να αποκλείει κακόβουλη/ύποπτη δραστηριότητα και να καταγράφει συμβάντα στο αρχείο καταγραφής συμβάντων των

Windows

.

Από προεπιλογή, το Sysmon παρακολουθεί βασικά συμβάντα, όπως η δημιουργία νέας διεργασίας και ο τερματισμός των διεργασιών. Ωστόσο, είναι δυνατό να δημιουργήσετε σύνθετα αρχεία διαμόρφωσης που σας επιτρέπουν να παρακολουθείτε διάφορες συμπεριφορές, όπως διαγραφές αρχείων, αλλαγές στο πρόχειρο των Windows και τον εντοπισμό και τον αποκλεισμό του τεμαχισμού αρχείων.

Οι χρήστες μπορούν να βρουν την πλήρη λίστα οδηγιών στο σχήμα Sysmon, το οποίο μπορεί να προβληθεί εκτελώντας την εντολή sysmon -s στη γραμμή εντολών.

Χθες, η Microsoft κυκλοφόρησε το Sysmon 15.0, το οποίο περιλαμβάνει δύο νέες δυνατότητες – τη σκλήρυνση του προγράμματος μετατρέποντάς το σε προστατευμένη διαδικασία και τη δυνατότητα ανίχνευσης πότε δημιουργούνται εκτελέσιμα αρχεία στο σύστημα παρακολούθησης.

Το Sysmon είναι πλέον μια προστατευμένη διαδικασία

Καθώς το Sysmon χρησιμοποιείται συνήθως για τον εντοπισμό κακόβουλης συμπεριφοράς, είναι προς το συμφέρον των παραγόντων της απειλής να παραβιάσουν ή να απενεργοποιήσουν το λογισμικό.

Με αυτήν την έκδοση, η Microsoft μετέτρεψε το εκτελέσιμο αρχείο Sysmon.exe σε μια προστατευμένη διαδικασία για να αποτρέψει την έγχυση κακόβουλου κώδικα στη διαδικασία.

“Στα Windows 8.1, μια νέα έννοια της προστατευμένης υπηρεσίας έχει εισαχθεί για να επιτρέψει την εκκίνηση υπηρεσιών κατά του κακόβουλου λογισμικού σε λειτουργία χρήστη ως προστατευμένη υπηρεσία”, εξηγεί

άρθρο της Microsoft

σχετικά με το χαρακτηριστικό.

“Μετά την εκκίνηση της υπηρεσίας ως προστατευμένης λειτουργίας, τα Windows χρησιμοποιούν την ακεραιότητα κώδικα για να επιτρέπουν μόνο τη φόρτωση του αξιόπιστου κώδικα στην προστατευμένη υπηρεσία. Τα Windows προστατεύουν επίσης αυτές τις διεργασίες από την εισαγωγή κώδικα και άλλες επιθέσεις από διεργασίες διαχειριστή.”

Μετά την εκκίνηση του Sysmon, μπορείτε να δείτε ότι είναι μια προστατευμένη διαδικασία χρησιμοποιώντας την Εξερεύνηση διεργασιών και εξετάζοντας τις ιδιότητες ασφαλείας του, όπως φαίνεται παρακάτω.

Βάσει του Process Explorer, το Sysmon εκτελείται ως διαδικασία PPL (

PROTECTED_ANTIMALWARE_LIGHT

), το οποίο περιγράφεται περαιτέρω στο

αυτό το άρθρο

από την Elastic.

Ανίχνευση νέων εκτελέσιμων αρχείων

Το σύστημα 15.0 αναβαθμίζει επίσης το σχήμα Sysmon στην έκδοση 4.90, η οποία περιλαμβάνει πλέον την επιλογή διαμόρφωσης “FileExecutableDetected” για τον εντοπισμό της δημιουργίας εκτελέσιμων αρχείων στη συσκευή παρακολούθησης.

Για παράδειγμα, για να χρησιμοποιήσετε τη νέα οδηγία FileExecutableDetected για τον εντοπισμό νέων εκτελέσιμων αρχείων που δημιουργήθηκαν στους φακέλους C:ProgramData και C:Users, μπορείτε να χρησιμοποιήσετε το ακόλουθο αρχείο διαμόρφωσης:

  
  MD5,SHA256
  
    
    
    C:ProgramData
        C:Users
    
  

Για να ξεκινήσετε το Sysmon και να το κατευθύνετε να χρησιμοποιήσει το παραπάνω αρχείο ρυθμίσεων, θα πρέπει να εκτελέσετε το

sysmon -i

εντολή και περάστε το όνομα του αρχείου διαμόρφωσης.

Στο παράδειγμά μας, το όνομα του αρχείου διαμόρφωσης είναι

sysmon.conf

επομένως θα χρησιμοποιούσαμε την ακόλουθη εντολή από μια Γραμμή εντολών διαχείρισης για να ξεκινήσουμε το Sysmon:

sysmon -i sysmon.conf

Μόλις ξεκινήσει, το Sysmon θα εγκαταστήσει το πρόγραμμα οδήγησης και θα συλλέξει αθόρυβα δεδομένα στο παρασκήνιο.

Όλα τα συμβάντα Sysmon θα καταγράφονται στο ‘

Αρχεία καταγραφής εφαρμογών και υπηρεσιών/Microsoft/Windows/Sysmon/Λειτουργικό

‘ στο πρόγραμμα προβολής συμβάντων.

Με ενεργοποιημένη τη δυνατότητα FileExecutableDetected, όταν δημιουργείται ένα νέο εκτελέσιμο αρχείο κάτω από το φάκελο C:ProgramData ή C:Users (και οποιονδήποτε από τους υποφάκελους τους), το Sysmon θα δημιουργήσει ένα εκτελέσιμο αρχείο που δημιουργείται και ταιριάζει με έναν κανόνα, το Sysmon θα αποκλείσει το αρχείο και δημιουργήστε μια καταχώρηση «Συμβάν 29, Εντοπίστηκε εκτελέσιμο αρχείο» στο

Event

Viewer.

Οι δημιουργημένες καταχωρήσεις του αρχείου καταγραφής συμβάντων θα περιέχουν πολλές πολύτιμες πληροφορίες, οι οποίες εξηγούνται παρακάτω:

• 
  UtcTime
  
  : Ώρα εντοπισμού του συμβάντος.
• 
  Αναγνωριστικό διεργασίας
  
  : Το PID της διαδικασίας που προσπαθεί να δημιουργήσει το εκτελέσιμο αρχείο.
• 
  Χρήστης
  
  : Ο χρήστης που σχετίζεται με τη διαδικασία δημιουργίας του αρχείου.
• 
  Εικόνα
  
  : Το όνομα αρχείου του προγράμματος που δημιουργεί το αρχείο.
• 
  Όνομα αρχείου στόχου
  
  : Το εκτελέσιμο αρχείο που δημιουργήθηκε. Σημείωση: Στις δοκιμές μας, το αρχείο εμφανιζόταν πάντα με ένα προσωρινό όνομα αρχείου.
• 
  Χασίσι
  
  : Ο κατακερματισμός του αρχείου που δημιουργήθηκε. Οι κατακερματισμοί που εμφανίζονται θα εξαρτηθούν από τη ρύθμιση παραμέτρων HashAlgorithms.

Για ακόμη περισσότερες πληροφορίες και δημιουργικές συμβουλές σχετικά με τη χρήση αυτής της νέας δυνατότητας, συνιστάται ανεπιφύλακτα να διαβάσετε το άρθρο του Olaf Hartong

εξαιρετική συγγραφή

σε αυτήν τη νέα έκδοση του Sysmon.

Για όσους θέλουν ένα προκατασκευασμένο αρχείο διαμόρφωσης Sysmon που χρησιμοποιεί αυτή τη δυνατότητα για να ανιχνεύει πότε δημιουργούνται γνωστά εκτελέσιμα προγράμματα κακόβουλου λογισμικού ή εργαλείων χακαρίσματος, μπορείτε να χρησιμοποιήσετε τον ερευνητή ασφαλείας Florian Roth

Sysmon config

.

Μάθετε περισσότερα για το Sysmon

Το Sysmon είναι ένα προηγμένο εργαλείο παρακολούθησης δικτύου με έναν τόνο οδηγιών που σας επιτρέπουν να δημιουργείτε αρχεία διαμόρφωσης που ανταποκρίνονται στις ανάγκες του οργανισμού σας.

Λόγω της πολυπλοκότητας του προγράμματος, συνιστάται να διαβάσετε το

Τεκμηρίωση Sysmon

και παίξτε με τις επιλογές διαμόρφωσης για να δείτε πώς λειτουργούν οι διάφορες οδηγίες.

Δυστυχώς, το Sysmon δεν είναι ένα καλά τεκμηριωμένο πρόγραμμα, το οποίο απαιτεί από τους χρήστες να διεξάγουν δοκιμή και σφάλματα για να δοκιμάσουν τις λειτουργίες και να δουν ποια συμβάντα είναι γραμμένα στο αρχείο καταγραφής συμβάντων.

Τα καλά νέα είναι ότι το Sysmon δεν θα φορτώσει ένα αρχείο διαμόρφωσης με εσφαλμένη ρύθμιση παραμέτρων, επομένως εάν δείτε ένα μήνυμα “Το αρχείο διαμόρφωσης επικυρώθηκε” κατά τη φόρτωση του Sysmon, γνωρίζετε ότι τουλάχιστον βρίσκεστε στο σωστό δρόμο.

Θα πρέπει επίσης να διαβάσετε

Οι αναρτήσεις στο blog του Olaf Hartong

για τον Sysmon, καθώς τεκμηριώνει τα νέα χαρακτηριστικά καθώς κυκλοφορούν.

Τέλος, οι διαχειριστές μπορούν να χρησιμοποιήσουν ή να διαβάσουν τα προκατασκευασμένα αρχεία διαμόρφωσης Sysmon από

Φλόριαν Ροθ

και

SwiftOnSecurity

για να δείτε πώς μπορούν να χρησιμοποιηθούν οδηγίες για τον αποκλεισμό κακόβουλου λογισμικού.