Threat Hunting com System Monitor (Sysmon)

O System Monitor (Sysmon) é um serviço do sistema Windows e um driver de dispositivo que, uma vez instalado no sistema permite monitorar e registrar a atividades gravando os logs do Windows

Ele fornece informações detalhadas sobre:

  • Criação de processo – A linha de comando completa fornece contexto sobre a execução do processo.
    Grava o hash dos arquivos de imagem do processo usando SHA1 (o padrão), MD5, SHA256 ou IMPHASH.
  • O evento de conexão de rede registra conexões TCP/UDP na máquina.
  • Registra o carregamento de drivers ou DLLs com suas assinaturas e hashes.
  • Registra conexões de rede, incluindo o processo de origem de cada conexão, endereços IP, números de porta, nomes de host e nomes de porta.
  • Detecta alterações no tempo de criação do arquivo para entender quando um arquivo foi realmente criado.
  • Gera eventos desde o início do processo de inicialização para capturar atividades feitas até mesmo por malwares de modo kernel sofisticados.

Ao coletar os eventos gerados usando Eventos do Windows ou agentes SIEM você pode identificar atividades maliciosas ou anômalas e entender como invasores e malwares operam em sua rede.

Na imagem acima é possível ver um evento de um arquivo criado do tipo .bat no eventos ADS\Sysmon que recebe LOGs de dois servidores.

O processo é simples, mas não esqueça de visitar o artigo Windows Event Forwarding para estratégia de alertas e detecções

Crie um XML de configuração

Você pode fazer manualmente usando o exemplo do site oficial https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Ou você pode baixar um pronto como por exemplo https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml super completo. Tem 1200 linhas.

Ou você pode baixar XML modular no https://github.com/olafhartong/sysmon-modular

Recomendo usar o Notepad++ ou o próprio editor de PowerShell, o PowerShell ISE para editar arquivos XML

Eu criei esse modelo pensando em monitorar arquivos de SCRIPT sendo executados.

Note que eu criei um grupo apenas para “filecreate” mas você pode usar diversos outros identificadores:

Baixe o Sysmon

Baixe o SYSMON https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

A instalação será através do CMD como administrador:

sysmon.exe -accepteula -i sysmonconfig.xml

Configurando o Event Viewer

Você pode executar as configurações do SYSMON e monitorar apenas a maquina local usando o visualizados de eventos do Windows.

Event Viewer Microsoft\Windows\Sysmon\Operacional

Ou para ambientes de produção é interessante usar o recursos no Encaminhamento de Eventos do Windows (WEF) e no meu ambiente eu estou usando esse recurso e ainda tenho configurações de canais, porém você pode usar o “canal” padrão chamado “Forward Events”

No ambiente abaixo eu tenho os canais específicos criados para Threat Hunting e você pode encontrar detalhes de como configurar em Windows Event Forwarding para estratégia de alertas e detecções

Para criar o encaminhando sem ter ainda instalado o SYSMON marque a opção de “Edit Query Manually” e copie o XML

<QueryList>
    <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
      <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
    </Query>
  </QueryList>

Referências:

Sysmon Download: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Lares LLC PrintNightmare Detection: https://github.com/LaresLLC/CVE-2021-1675

SwiftOnSecurity:https://github.com/SwiftOnSecurity/sysmon-config

Sysmon-modular | A Sysmon configuration repository for everybody to customise https://github.com/olafhartong/sysmon-modular

MalwareArchaeology

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*