转载

使用Sysmon和Splunk探测网络环境中横向渗透

当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。

工具:

Sysmon + Splunk light

安装配置: 

sysmon -i -n

使用Sysmon和Splunk探测网络环境中横向渗透

本地查看sysmon事件日志,打开事件查看器

- Microsoft  - Windows - Sysmon - Operational

如下图可以看到sysmon记录到powershell.exe进程创建:

使用Sysmon和Splunk探测网络环境中横向渗透

将下列配置写入inputs.conf文件: 

[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = false
renderXml = true

使用Sysmon和Splunk探测网络环境中横向渗透

在splunk中查询当前主机的sysmon日志: 

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

使用Sysmon和Splunk探测网络环境中横向渗透

安装Splunk插件(Splunk “Add-on for MicrosoftSysmon”) 插件下载地址: https://splunkbase.splunk.com/app/1914/#/overview

下载加压插件并将插件放到: 

C:/ProgramFiles/Splunk/etc/apps

使用Sysmon和Splunk探测网络环境中横向渗透

重启Splunk Light.

然后在Splunk中可以看到Sysmon事件已经导入:

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

使用Sysmon和Splunk探测网络环境中横向渗透

Sysmon事件ID

在下面的案例中,我们关注如下了两类事件

Event ID 1: Process creation  进程创建

Event ID 3: Network connection 网络连接

时间 ID 完整介绍见 Sysmon 官方文档

检测到攻击者建立了SMB会话:

使用Sysmon和Splunk探测网络环境中横向渗透

攻击者使用了类似的命令建立SMB会话: 

net use //192.168.1.88

使用Sysmon和Splunk探测网络环境中横向渗透

在splunk中搜索Sysmon事件,识别出可疑的SMB会话(445端口):

sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational”192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

使用Sysmon和Splunk探测网络环境中横向渗透

在被攻击机器上面执行下面的命令,看到攻击者建立的SMB会话:

netstat nao | find"ESTABLISHED"

使用Sysmon和Splunk探测网络环境中横向渗透

然后通过分析当前的Windows事件日志,辨别进程的创建/终止,网络连接的建立/销毁来区别正常与异常的SMB会话。

探测攻击者使用PowerShell进行横向渗透。

PowerShell初始化 Windows RemoteManagement (WinRM) 的时候会通过5985和5986端口。在这个例子中,攻击者在被攻击机器上面远程执行脚本,或者连接了受害者机器。

使用Sysmon和Splunk探测网络环境中横向渗透

在Splunk中,我们可以通过下面的Sysmon事件来辨识出 恶意的行为,我们可以攻击者使用WinRM

远程连接了被攻击机器的5896端口:

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"5985 OR 5986 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

使用Sysmon和Splunk探测网络环境中横向渗透

我们可以看到受害者机器上面WinRM Remote PowerShell 进程(wsmprovhost.exe)启动了ping.exe和systeminfo.exe这两个进程,而且我们可以看到执行的命令参数。

*本文原创作者:ArkTeam/w0lf,转载请注明来自FreeBuf sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"wsmprovhost.exe | table _time, EventCode, EventDescription, host, Image,ProcessID, ParentProcessId, CommandLine*本文原创作者:ArkTeam/w0lf,转载请注明来自FreeBuf

使用Sysmon和Splunk探测网络环境中横向渗透

原文  http://www.freebuf.com/sectool/125846.html
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:683 人
  • 运行天数:4,408天
  • 最后更新:2024年11月21日19点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG