利用Sysmon定位域名解析進程

一、使用說明

1、使用場景

（1）在殺軟不能查殺的情況下，用戶也沒有相關經驗去找到解析惡意域名所對應的進程文件時；

（2）某些惡意樣本對遠控域名的請求並不是持續的，有可能是一小時一次、一天一次或者幾天一次，可以利用Sysmon來查看事件日志並定為進程文件。

2、適用范圍

本文所提供的方法只用於定位IOC域名解析所對應的進程文件，且只對擁有單獨的進程、不依賴系統進程的普通惡意樣本有效，對無進程和線程注入類的樣本是不適用的。

二、 Sysmon介紹

1、Sysmon簡介

Sysmon是一個Windows系統服務和設備驅動程序，安裝后，會在系統啟動時保持駐留狀態，實時監視和記錄系統活動，並記錄在Windows事件日志中。它提供有關進程創建，網絡連接，文件創建時間更改等詳細信息。

我們可以通過對Sysmon記錄的事件日志進行分析，並了解入侵者和惡意軟件如何在用戶網絡上運行。

2、運行環境：

客戶端：Windows 7及更高版本。

服務器：Windows Server 2008 R2和更高版本。

3、Sysmon功能概述

（1）使用完整的命令行記錄當前行為的父進程的進程創建；

（2）使用SHA1（默認值），MD5，SHA256或IMPHASH記錄過程映像文件的哈希；

（3）可以同時使用多個哈希；

（4）在進程創建事件中包含進程GUID，即使Windows重用進程ID時也可以使事件相關；

（5）在每個事件中都包含一個會話GUID，以允許在同一登錄會話上關聯事件；

（6）使用簽名和哈希記錄驅動程序或DLL的加載；

（7）日志打開以進行磁盤和卷的原始讀取訪問；

（8）（可選）記錄網絡連接，包括每個連接的源進程，IP地址，端口號，主機名和端口名。

（9）檢測文件創建時間的更改，以了解真正創建文件的時間。修改文件創建時間戳是惡意軟件通常用來掩蓋其蹤跡的技術；

（10）如果注冊表中發生更改，則自動重新加載配置；

（11）規則過濾以動態包括或排除某些事件；

（12）從啟動過程的早期開始生成事件，以捕獲甚至復雜的內核模式惡意軟件進行的活動。

三、 Sysmon安裝

1、Sysmon下載

Sysmon下載地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon

配置文件下載地址：https://github.com/SwiftOnSecurity/sysmon-config

2、Sysmon安裝

1、以管理員權限打開cmd或powershell，切換到Sysmon程序目錄下。

2、運行安裝Sysmon程序，安裝后，該服務會立即記錄事件，並且該驅動程序將作為啟動驅動程序進行安裝，以捕獲從啟動初期開始的活動（該服務在啟動時將其寫入事件日志）中的活動。

sysmon.exe -i

3、更新配置文件:

sysmon.exe -c sysmonconfig-export.xml

四、 Sysmon日志分析

1、Sysmon的事件日志需要在Windows事件查看器中查看：

事件管理器打開方式：

方法一：win + R——>運行 compmgmt.msc

方法二：“計算機”右鍵——>管理

2、Sysmon事件日志的存儲路徑為：

​ 應用程序和服務日志/ Microsoft / Windows / Sysmon / Operational

2、事件分析：我們需要分析域名解析對應的程序，這里我使用瀏覽器訪問一個勒索軟禁的遠控域名做測試：

1）瀏覽器訪問勒索軟件IOC域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

2）對Sysmon的事件日志進行篩選，篩選事件ID為“22”的事件，表示DNS查詢事件，如有需要，也可以對記錄時間進行限制：

3）Ctrl + F 對IOC 域名進行關鍵字搜索：

4）檢索結果可以發現請求該域名的程序為“TheWorld.exe”這個瀏覽器程序，並且對域名、PID、訪問時間等都進行了展示，定位到訪問該域名的進程文件后，便可以對該文件進一步分析或查殺處理。

五、 參考鏈接

https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon、