نحوه بررسی بدافزار با استفاده از Splunk و Sysmon
System Monitor یا sysmon یک نرمافزار کوچک میباشد که به صورت سرویسی و درایور بر روی سیستم عامل نصب میشود. Sysmon بعد از یک بار نصب در راهاندازیهای مجدد سیستم عامل به صورت دائمی فعال باقی میماند. این نرمافزار در واقع اطلاعات دقیقی در مورد نحوه ایجاد و ماهیت پردازهها، اتصالات شبکه و تغییرات در زمان ایجاد فایلها و سایر اقدامات حول این موضوعات ارائه میدهد. ما میتوانیم با جمعآوری و تجزیه تحلیل این رویدادها از طریق ایجنتهای مربوط به SIEM ها از جمله Universal Forwarder اسپلانک، فعالیتهای مخرب یا غیرعادی را شناسایی و نحوه فعالیت مهاجمان و بدافزارها در شبکه خود را به درستی درک کنیم.
قابلیتهای Sysmon
- رویدادنگاری ایجاد پردازهها با کلیه دستورات Command line مربوط به پردازه فعلی و پردازه والد آن.
- ایجاد hash از image فایل مربوط به پردازه با استفاده از متدهای md5, sha1 و sha256.
- قابلیت استفاده از چندین hash به صورت همزمان.
- هر رویداد شامل یک GUID برای هر پردازه در رویدادنگاری میباشد که از این طریق امکان همبستگی رویدادها در صورت استفاده مجدد از شماره رویدادها فراهم میشود.
- هر رویداد شامل یک GUID نشست میباشد که از آن جهت پردازش رویدادهای مربوط به logon session های یکسان استفاده میشود.
- امکان رویدادنگاری بارگیری هر نوع درایور یا DLL به همراه hash و signature آنها.
- رویدادنگاری دسترسیهای مربوط به خواندن دیتا از دیسکها و درایوها.
- رویدادنگاری اتصالات شبکهای ازجمله پردازه مربوط به هر اتصال، آدرس IP مبدا و مقصد، شماره پورت مبدا و مقصد، اسم هاست و اسم پورت.
- شناسایی تغییر در زمان ایجاد فایل برای شناسایی اینکه فایل دقیقا کی ایجاد شده است. تغییر در زمان ایجاد فایل تکنیکی است که معمولا توسط بدافزارها برای پاک کردن ردپایشان انجام میشود.
- بارگیری اتوماتیک تنظیمات در صورت تغییر در رجیستری.
- رویدادنگاری از فرآیند boot شدن سیستم عامل برای ثبت فعالیتهای بدافزارهای پشرفته در کرنل.
نصب Sysmon بر روی ویندوز
برای نصب Sysmon ابتدا نسخه مورد نظر را از سایت microsoft دانلود و با استفاده از دستور زیر نصب میکنیم.
sysmon -accepteula -iبعد از نصب، Sysmon به صورت اتوماتیک بر روی سیستم فعال و رویدادهای خود را در مسیر Applications and Services Logs/Microsoft/Windows/Sysmon/Operational ذخیره میکند. جدول زیر شامل همه Event ID های مربوط به Sysmon میباشد.
| ID | Tag |
|---|---|
| ۱ ProcessCreate | ProcessCreate |
| ۲ FileCreateTime | File creation time |
| ۳ NetworkConnect | Network connection detected |
| ۴ n/a | Sysmon service state change (cannot be filtered) |
| ۵ ProcessTerminate | Process terminated |
| ۶ DriverLoad | Driver Loaded |
| ۷ ImageLoad | Image loaded |
| ۸ CreateRemoteThread | CreateRemoteThread detected |
| ۹ RawAccessRead | RawAccessRead detected |
| ۱۰ ProcessAccess | Process accessed |
| ۱۱ FileCreate | File created |
| ۱۲ RegistryEvent | Registry object added or deleted |
| ۱۳ RegistryEvent | Registry value set |
| ۱۴ RegistryEvent | Registry object renamed |
| ۱۵ FileCreateStreamHash | File stream created |
| ۱۶ n/a | Sysmon configuration change (cannot be filtered) |
| ۱۷ PipeEvent | Named pipe created |
| ۱۸ PipeEvent | Named pipe connected |
| ۱۹ WmiEvent | WMI filter |
| ۲۰ WmiEvent | WMI consumer |
| ۲۱ WmiEvent | WMI consumer |
| ۲۲ DNSQuery | DNS query |
| ۲۳ FileDelete | File Delete archived |
| ۲۴ ClipboardChange | New content in the clipboard |
| ۲۵ ProcessTampering | Process image change |
| ۲۶ FileDeleteDetected | File Delete logged |