• ایرانشل
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
  • اخبار
  • دوره‌های امنیت
    • مسیرهای شغلی امنیت سایبری

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
  • ایرانشل
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
  • اخبار
  • دوره‌های امنیت
    • مسیرهای شغلی امنیت سایبری
فهرست
  • ایرانشل
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
  • اخبار
  • دوره‌های امنیت
    • مسیرهای شغلی امنیت سایبری

وبلاگ

وبلاگ > آموزش‌‌ راهکارهای امنیت شبکه > نحوه بررسی بدافزار با استفاده از Splunk و Sysmon

نحوه بررسی بدافزار با استفاده از Splunk و Sysmon

آموزش‌‌ راهکارهای امنیت شبکه
ارسال شده توسط ایرانشل
۷ فروردین ۱۴۰۱
1.71k بازدید

System Monitor یا sysmon یک نرم‌افزار کوچک می‌باشد که به صورت سرویسی و درایور بر روی سیستم عامل نصب می‌شود. Sysmon بعد از یک بار نصب در راه‌اندازی‌های مجدد سیستم عامل به صورت دائمی فعال باقی می‌ماند. این نرم‌افزار در واقع اطلاعات دقیقی در مورد نحوه ایجاد و ماهیت پردازه‌ها، اتصالات شبکه و تغییرات در زمان ایجاد فایل‌ها و سایر اقدامات حول این موضوعات ارائه می‌دهد. ما می‌توانیم با جمع‌آوری و تجزیه تحلیل این رویدادها از طریق ایجنت‌های مربوط به SIEM ها از جمله Universal Forwarder اسپلانک، فعالیت‌های مخرب یا غیرعادی را شناسایی و نحوه فعالیت مهاجمان و بدافزارها در شبکه خود را به درستی درک کنیم.

قابلیت‌های Sysmon

  • رویدادنگاری ایجاد پردازه‌ها با کلیه دستورات Command line مربوط به پردازه فعلی و پردازه والد آن.
  • ایجاد hash از image فایل مربوط به پردازه با استفاده از متدهای md5, sha1 و sha256.
  • قابلیت استفاده از چندین hash به صورت همزمان.
  • هر رویداد شامل یک GUID برای هر پردازه در رویدادنگاری می‌باشد که از این طریق امکان همبستگی رویدادها در صورت استفاده مجدد از شماره رویدادها فراهم می‌شود.
  • هر رویداد شامل یک GUID نشست می‌باشد که از آن جهت پردازش رویدادهای مربوط به logon session های یکسان استفاده می‌شود.
  • امکان رویدادنگاری بارگیری هر نوع درایور یا DLL به همراه hash و signature آنها.
  • رویدادنگاری دسترسی‌های مربوط به خواندن دیتا از دیسک‌ها و درایوها.
  • رویدادنگاری اتصالات شبکه‌ای ازجمله پردازه مربوط به هر اتصال، آدرس IP مبدا و مقصد، شماره پورت مبدا و مقصد، اسم هاست و اسم پورت.
  • شناسایی تغییر در زمان ایجاد فایل برای شناسایی اینکه فایل دقیقا کی ایجاد شده است. تغییر در زمان ایجاد فایل تکنیکی است که معمولا توسط بدافزارها برای پاک کردن ردپایشان انجام می‌شود.
  • بارگیری اتوماتیک تنظیمات در صورت تغییر در رجیستری.
  • رویدادنگاری از فرآیند boot شدن سیستم عامل برای ثبت فعالیت‌های بدافزارهای پشرفته در کرنل.

نصب Sysmon بر روی ویندوز

برای نصب Sysmon ابتدا نسخه مورد نظر را از سایت microsoft دانلود و با استفاده از دستور زیر نصب می‌کنیم.

sysmon -accepteula -i

بعد از نصب، Sysmon به صورت اتوماتیک بر روی سیستم فعال و رویدادهای خود را در مسیر Applications and Services Logs/Microsoft/Windows/Sysmon/Operational ذخیره می‌کند. جدول زیر شامل همه Event ID های مربوط به Sysmon می‌باشد.

ID Tag
۱ ProcessCreate  ProcessCreate
۲ FileCreateTime File creation time
۳ NetworkConnect Network connection detected
۴ n/a Sysmon service state change (cannot be filtered)
۵ ProcessTerminate Process terminated
۶ DriverLoad Driver Loaded
۷ ImageLoad Image loaded
۸ CreateRemoteThread CreateRemoteThread detected
۹ RawAccessRead RawAccessRead detected
۱۰ ProcessAccess Process accessed
۱۱ FileCreate File created
۱۲ RegistryEvent Registry object added or deleted
۱۳ RegistryEvent Registry value set
۱۴ RegistryEvent Registry object renamed
۱۵ FileCreateStreamHash File stream created
۱۶ n/a Sysmon configuration change (cannot be filtered)
۱۷ PipeEvent Named pipe created
۱۸ PipeEvent Named pipe connected
۱۹ WmiEvent WMI filter
۲۰ WmiEvent WMI consumer
۲۱ WmiEvent WMI consumer
۲۲ DNSQuery DNS query
۲۳ FileDelete File Delete archived
۲۴ ClipboardChange New content in the clipboard
۲۵ ProcessTampering Process image change
۲۶ FileDeleteDetected File Delete logged

نحوه بررسی بدافزار با استفاده از Splunk و Sysmon

اشتراک گذاری:
برچسب ها: Sysmonاسپلانک
درباره ایرانشل

تیم ایرانشل با این هدف تشکیل شده است‌ تا بتوانند با کمک شما همراهان عزیز اقدامات مثبتی در جهت شفاف‌سازی نیازمندی‌های امنیتی، معرفی سرویس‌ها و راهکارهای امنیتی انجام دهد.

اطلاعات تماس
  • تهران - خیابان شریعتی - بالاتر از پل سیدخندان
  • 09125162976
  • [email protected]
شبکه‌های اجتماعی
کلیه حقوق این وب سایت متعلق به ایرانشل می‌باشد.
جستجو

جستجو با زدن Enter و بستن با زدن ESC