使用Sysmon和Splunk探測網絡環境中橫向滲透

本文轉載自查看原文 2017-01-23 10:16 3744 安全防護/ 安全/ windows/ 安全防御

當前很難在網絡中探測攻擊者橫向滲透，其中原因有很難獲取必要的日志和區別正常與惡意行為。本篇文章介紹通過部署Sysmon並將日志發送到SIEM來探測橫向滲透。

工具：

Sysmon + Splunk light

安裝配置：

sysmon -i -n

本地查看sysmon事件日志，打開事件查看器- Microsoft - Windows - Sysmon - Operational。如下圖可以看到sysmon記錄到powershell.exe進程創建：

將下列配置寫入inputs.conf文件：

[WinEventLog://Microsoft-Windows-Sysmon/Operational]

disabled = false

renderXml = true

在splunk中查詢當前主機的sysmon日志：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

安裝Splunk插件（Splunk "Add-on for MicrosoftSysmon"

）插件下載地址：https://splunkbase.splunk.com/app/1914/#/overview

下載加壓插件並將插件放到：

C:\ProgramFiles\Splunk\etc\apps

重啟Splunk Light.

然后在Splunk中可以看到Sysmon事件已經導入：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

Sysmon事件ID

在下面的案例中，我們關注如下了兩類事件

Event ID 1: Process creation 進程創建

Event ID 3: Network connection 網絡連接

時間ID完整介紹見Sysmon官方文檔：https://technet.microsoft.com/en-us/sysinternals/sysmon

檢測到攻擊者建立了SMB會話：

攻擊者使用了類似的命令建立SMB會話：

net use \\192.168.1.88

在splunk中搜索Sysmon事件，識別出可疑的ＳＭＢ會話（４４５端口）：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

在被攻擊機器上面執行下面的命令，看到攻擊者建立的SMB會話：

netstat nao | find"ESTABLISHED"

然后通過分析當前的Windows事件日志，辨別進程的創建/終止，網絡連接的建立/銷毀來區別正常與異常的SMB會話。

探測攻擊者使用PowerShell進行橫向滲透

PowerShell初始化 Windows RemoteManagement (WinRM) 的時候會通過5985和5986端口。在這個例子中，攻擊者在被攻擊機器上面遠程執行腳本，或者連接了受害者機器。

在Splunk中，我們可以通過下面的Sysmon事件來辨識出惡意的行為，我們可以攻擊者使用WinRM

遠程連接了被攻擊機器的5896端口：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"5985 OR 5986 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

我們可以看到受害者機器上面WinRM Remote PowerShell 進程（wsmprovhost.exe）啟動了ping.exe和systeminfo.exe這兩個進程，而且我們可以看到執行的命令參數。

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"wsmprovhost.exe | table _time, EventCode, EventDescription, host, Image,ProcessID, ParentProcessId, CommandLine

上面的案例經常會發生在大家的網絡環境中，有時候攻擊者會使用原生的系統工具來使隱藏惡意行為，所以熟悉自己網絡環境中的正常行為非常重要。

原文： <http://www.incidentresponderblog.com/2016/09/detecting-lateral-movement-using-sysmon.html>

Syslog+NXlog 簡單的windows安全監控部署

tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 如何檢測Windows中的橫向滲透攻擊 Splunk 基本使用使用Microsoft-Windows-RPC監控橫向滲透 Windows域橫向滲透網絡安全-企業環境滲透1 Splunk DBConnect使用 Splunk簡介,部署,使用 nmap網絡探測工具內網橫向滲透的部分思路什么是 Splunk？