一、Sysmon介紹

Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系統(tǒng)監(jiān)視器（Sysmon）是Windows系統(tǒng)服務(wù)和設(shè)備驅(qū)動(dòng)程序，一旦安裝在系統(tǒng)上，便會(huì)駐留在系統(tǒng)重新引導(dǎo)期間，以監(jiān)視系統(tǒng)活動(dòng)并將其記錄到Windows事件日志中。它提供有關(guān)進(jìn)程創(chuàng)建，網(wǎng)絡(luò)連接以及文件創(chuàng)建時(shí)間更改的詳細(xì)信息。可以使用相關(guān)日志收集工具，收集事件并隨后對(duì)其進(jìn)行分析，可以識(shí)別惡意或異常活動(dòng)，并了解入侵者和惡意軟件如何在您的網(wǎng)絡(luò)上運(yùn)行。

Sysmon包括以下功能：

1、使用完整的命令行記錄當(dāng)前行為的父進(jìn)程的進(jìn)程創(chuàng)建；

2、使用SHA1（默認(rèn)值），MD5，SHA256或IMPHASH記錄過(guò)程映像文件的哈希；

3、可以同時(shí)使用多個(gè)哈希；

4、在進(jìn)程創(chuàng)建事件中包含進(jìn)程GUID，即使Windows重用進(jìn)程ID時(shí)也可以使事件相關(guān)；

5、在每個(gè)事件中都包含一個(gè)會(huì)話(huà)GUID，以允許在同一登錄會(huì)話(huà)上關(guān)聯(lián)事件；

6、使用簽名和哈希記錄驅(qū)動(dòng)程序或DLL的加載；

7、日志打開(kāi)以進(jìn)行磁盤(pán)和卷的原始讀取訪(fǎng)問(wèn)；

8、可選的記錄網(wǎng)絡(luò)連接，包括每個(gè)連接的源進(jìn)程，IP地址，端口號(hào)，主機(jī)名和端口名。

9、檢測(cè)文件創(chuàng)建時(shí)間的更改，以了解真正創(chuàng)建文件的時(shí)間。修改文件創(chuàng)建時(shí)間戳是惡意軟件通常用來(lái)掩蓋其蹤跡的技術(shù)；

10、如果注冊(cè)表中發(fā)生更改，則自動(dòng)重新加載配置；

11、規(guī)則過(guò)濾以動(dòng)態(tài)包括或排除某些事件；

12、從啟動(dòng)過(guò)程的早期開(kāi)始生成事件，以捕獲甚至復(fù)雜的內(nèi)核模式惡意軟件進(jìn)行的活動(dòng)。

二、日志事件ID解析介紹

事件ID 1：流程創(chuàng)建

流程創(chuàng)建事件提供有關(guān)新創(chuàng)建流程的擴(kuò)展信息。完整的命令行提供了有關(guān)流程執(zhí)行的上下文。ProcessGUID字段是整個(gè)域中此過(guò)程的唯一值，以簡(jiǎn)化事件關(guān)聯(lián)。哈希是文件的完整哈希，其中包含HashType字段中的算法。

事件ID 2：一個(gè)進(jìn)程更改了文件創(chuàng)建時(shí)間

當(dāng)進(jìn)程顯式修改文件創(chuàng)建時(shí)間時(shí)，將注冊(cè)更改文件創(chuàng)建時(shí)間事件。此事件有助于跟蹤文件的實(shí)際創(chuàng)建時(shí)間。攻擊者可能會(huì)更改后門(mén)的文件創(chuàng)建時(shí)間，以使其看起來(lái)像與操作系統(tǒng)一起安裝。請(qǐng)注意，許多進(jìn)程會(huì)合理地更改文件的創(chuàng)建時(shí)間。它不一定表示惡意活動(dòng)。

事件ID 3：網(wǎng)絡(luò)連接

網(wǎng)絡(luò)連接事件記錄計(jì)算機(jī)上的TCP / UDP連接。默認(rèn)情況下禁用。每個(gè)連接都通過(guò)ProcessId和ProcessGUID字段鏈接到流程。該事件還包含源和目標(biāo)主機(jī)名IP地址，端口號(hào)和IPv6狀態(tài)。

事件ID 4：Sysmon服務(wù)狀態(tài)已更改

服務(wù)狀態(tài)更改事件報(bào)告Sysmon服務(wù)的狀態(tài)（已啟動(dòng)或已停止）。

事件ID 5：進(jìn)程終止

進(jìn)程終止時(shí)報(bào)告進(jìn)程終止事件。它提供了進(jìn)程的UtcTime，ProcessGuid和ProcessId。

事件ID 6：驅(qū)動(dòng)程序已加載

驅(qū)動(dòng)程序加載事件提供有關(guān)在系統(tǒng)上加載驅(qū)動(dòng)程序的信息。提供配置的哈希值以及簽名信息。出于性能原因，簽名是異步創(chuàng)建的，并指示在加載后是否刪除了文件。

事件ID 7：圖像已加載

圖像加載事件記錄在特定過(guò)程中加載模塊的時(shí)間。默認(rèn)情況下，此事件是禁用的，需要使用–l選項(xiàng)進(jìn)行配置。它指示模塊的加載過(guò)程，哈希和簽名信息。出于性能原因，簽名是異步創(chuàng)建的，并指示在加載后是否刪除了文件。應(yīng)仔細(xì)配置此事件，因?yàn)楸O(jiān)視所有圖像加載事件將生成大量事件。

事件ID 8：CreateRemoteThread

CreateRemoteThread事件檢測(cè)一個(gè)進(jìn)程何時(shí)在另一個(gè)進(jìn)程中創(chuàng)建線(xiàn)程。惡意軟件使用此技術(shù)來(lái)注入代碼并隱藏在其他進(jìn)程中。該事件指示源和目標(biāo)進(jìn)程。它提供了有關(guān)將在新線(xiàn)程中運(yùn)行的代碼的信息：StartAddress，StartModule和StartFunction。請(qǐng)注意，將推斷StartModule和StartFunction字段，如果起始地址在已加載的模塊或已知的導(dǎo)出函數(shù)之外，則它們可能為空。

事件ID 9：RawAccessRead

RawAccessRead事件檢測(cè)進(jìn)程何時(shí)使用\。\表示從驅(qū)動(dòng)器進(jìn)行讀取操作。惡意軟件通常使用此技術(shù)來(lái)對(duì)已鎖定以供讀取的文件進(jìn)行數(shù)據(jù)泄漏，并避免使用文件訪(fǎng)問(wèn)審核工具。該事件指示源進(jìn)程和目標(biāo)設(shè)備。

事件ID 10：ProcessAccess

當(dāng)一個(gè)進(jìn)程打開(kāi)另一個(gè)進(jìn)程時(shí)，該進(jìn)程訪(fǎng)問(wèn)事件報(bào)告，該操作通常伴隨著信息查詢(xún)或讀寫(xiě)目標(biāo)進(jìn)程的地址空間。這樣可以檢測(cè)黑客工具，這些工具讀取諸如本地安全機(jī)構(gòu)（Lsass.exe）之類(lèi)的進(jìn)程的內(nèi)存內(nèi)容，以竊取憑據(jù)以用于“哈希傳遞”攻擊。如果存在活動(dòng)的診斷實(shí)用程序，這些實(shí)用程序會(huì)反復(fù)打開(kāi)進(jìn)程以查詢(xún)其狀態(tài)，則啟用它可能會(huì)產(chǎn)生大量的日志記錄，因此通常只應(yīng)使用刪除預(yù)期訪(fǎng)問(wèn)的過(guò)濾器來(lái)啟用它。

事件ID 11：FileCreate

創(chuàng)建或覆蓋文件時(shí)，將記錄文件創(chuàng)建操作。該事件對(duì)于監(jiān)視自動(dòng)啟動(dòng)位置（如啟動(dòng)文件夾）以及臨時(shí)目錄和下載目錄很有用，這些位置是惡意軟件在初始感染期間掉落的常見(jiàn)位置。

事件ID 12：RegistryEvent（對(duì)象創(chuàng)建和刪除）

注冊(cè)表項(xiàng)和值的創(chuàng)建和刪除操作映射到此事件類(lèi)型，這對(duì)于監(jiān)視注冊(cè)表自動(dòng)啟動(dòng)位置的更改或特定的惡意軟件注冊(cè)表修改很有用。

Sysmon使用注冊(cè)表根鍵名的縮寫(xiě)版本，具有以下映射：

事件ID 13：RegistryEvent（值集）

此注冊(cè)表事件類(lèi)型標(biāo)識(shí)注冊(cè)表值修改。該事件記錄為DWORD和QWORD類(lèi)型的注冊(cè)表值寫(xiě)入的值。

事件ID 14：RegistryEvent（鍵和值重命名）

注冊(cè)表鍵和值重命名操作映射到此事件類(lèi)型，記錄重命名的鍵或值的新名稱(chēng)。

事件ID 15：FileCreateStreamHash

此事件在創(chuàng)建命名文件流時(shí)記錄，并生成事件，該事件記錄該流所分配到的文件內(nèi)容（未命名流）以及命名流的內(nèi)容的哈希。有一些惡意軟件變體會(huì)通過(guò)下載瀏覽器來(lái)刪除其可執(zhí)行文件或配置設(shè)置，并且該事件旨在基于基于附加了Zone.Identifier“網(wǎng)絡(luò)標(biāo)記”流的瀏覽器來(lái)捕獲它們。

事件ID 16：ServiceConfigurationChange

此事件記錄Sysmon配置中的更改-例如，更新過(guò)濾規(guī)則時(shí)。

事件ID 17：PipeEvent（已創(chuàng)建管道）

創(chuàng)建命名管道時(shí)，將生成此事件。惡意軟件通常使用命名管道進(jìn)行進(jìn)程間通信。

事件ID 18：PipeEvent（已連接管道）

在客戶(hù)端和服務(wù)器之間建立命名管道連接時(shí)，將記錄此事件。

事件ID 19：WmiEvent（檢測(cè)到WmiEventFilter活動(dòng)）

注冊(cè)WMI事件篩選器（惡意軟件執(zhí)行該方法）后，此事件將記錄WMI名稱(chēng)空間，篩選器名稱(chēng)和篩選器表達(dá)式。

事件ID 20：WmiEvent（檢測(cè)到WmiEventConsumer活動(dòng)）

此事件記錄WMI使用者的注冊(cè)，記錄使用者名稱(chēng)，日志和目的地。

事件ID 21：WmiEvent（檢測(cè)到WmiEventConsumerToFilter活動(dòng)）

當(dāng)使用者綁定到過(guò)濾器時(shí)，此事件記錄使用者名稱(chēng)和過(guò)濾器路徑。

事件ID 22：DNSEvent（DNS查詢(xún)）

當(dāng)進(jìn)程執(zhí)行DNS查詢(xún)時(shí)，無(wú)論結(jié)果是否成功，是否緩存，都會(huì)生成此事件。Windows 8.1已添加此事件的遙測(cè)，因此在Windows 7和更早版本中不可用。

事件ID 23：FileDelete（檢測(cè)到文件刪除）

文件已刪除

事件ID 255：錯(cuò)誤

Sysmon中發(fā)生錯(cuò)誤時(shí)，將生成此事件。如果系統(tǒng)負(fù)載沉重，某些任務(wù)無(wú)法執(zhí)行，或者Sysmon服務(wù)中存在錯(cuò)誤，則可能發(fā)生這種情況。您可以在Sysinternals論壇或Twitter（@markrussinovich）上報(bào)告任何錯(cuò)誤。

三、Sysmon安裝

經(jīng)常使用命令 說(shuō)明

Sysmon?-i 最基本的安裝命令

Sysmon.exe -accepteula -i Sysmonconfig-export.xml 指定規(guī)則文件安裝

Sysmon.exe -c Sysmonconfig-export.xml 更新配置

Sysmon.exe -u 卸載

注意：在window下安裝要以管理員方式打開(kāi)終端，配置文件要以XML格式存儲(chǔ)。?

Sysmon的采集日志查看：運(yùn)行命令eventvwr.msc

事件查看器-->應(yīng)用程序和服務(wù)日志-->Microsoft-->Windows->Sysmon-->Operational

四、與Nxlog結(jié)合進(jìn)行日志收集

Sysmon監(jiān)控系統(tǒng)并生成windows event log，Sysmon將監(jiān)控到的數(shù)據(jù)保存在：C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx，NXlog將windows event log傳輸?shù)絪yslog服務(wù)器。

NXLog能夠在各種不同的設(shè)備上進(jìn)行各種不同格式的日志消息的采集以及處理，NXLog能夠接收從TCP、UDP、文件、數(shù)據(jù)庫(kù)以及其他不同來(lái)源的日志消息，例如Syslog，Windows的EventLog。

Nxlog配置文件修改：在<Input in>中添加采集的路徑，以及日志服務(wù)器的IP和接收端口。如下圖：

?Sysmon配置文件：圖中紅框內(nèi)規(guī)則為監(jiān)控注冊(cè)表內(nèi)全部信息。可指定對(duì)應(yīng)的注冊(cè)表鍵名。可參考事件日志ID解析介紹，進(jìn)行自定義規(guī)則編寫(xiě)

五、威脅場(chǎng)景檢測(cè)告警

1.影子賬戶(hù)

影子賬戶(hù)是指系統(tǒng)隱藏帳戶(hù)，在“控制面板-本地用戶(hù)和組”里面看不見(jiàn)，但卻有管理員權(quán)限的帳戶(hù)（影子帳戶(hù)可以做任何想做的事），一般存儲(chǔ)在注冊(cè)表中，多數(shù)情況下都和黑客入侵掛鉤。

告警發(fā)生場(chǎng)景：黑客在入侵系統(tǒng)后常常會(huì)建立一個(gè)影子賬戶(hù)。之所以稱(chēng)其為“影子賬戶(hù)”，是因?yàn)檫@種賬戶(hù)用系統(tǒng)中提供的工具或方法都無(wú)法看到，并且無(wú)論是“用戶(hù)賬戶(hù)”、“計(jì)算機(jī)管理”，還是命令行中，都無(wú)法刪除此賬戶(hù)。

攻擊方式：

1）通過(guò)相關(guān)攻擊方式，獲得管理員權(quán)限；

2）創(chuàng)建賬戶(hù)；

3）替換注冊(cè)表對(duì)應(yīng)文件等相關(guān)操作，使影子賬戶(hù)獲得管理員權(quán)限。

4）刪除賬號(hào)，將導(dǎo)出的reg文件重新導(dǎo)入。

5）通過(guò)命令行和控制面板均發(fā)現(xiàn)創(chuàng)建的影子賬號(hào)

6）使用影子賬號(hào)進(jìn)行登錄測(cè)試

檢測(cè)思路：

1）?通過(guò)查看相關(guān)主機(jī)的原始日志文件進(jìn)行篩查；

2）?通過(guò)日志審計(jì)工具解析原始日志；

3）?收集修改對(duì)應(yīng)注冊(cè)表文件的日志。

日志來(lái)源：以Windows2008r2的日志統(tǒng)計(jì)為例：

Apr 28 15:17:14 WIN-94A29A4Q0RK MSWinEventLog 1 Microsoft-Windows-Sysmon/Operational 18629 Wed Apr 28 15:17:14 2021 1 Microsoft-Windows-Sysmon?SYSTEM User Information WIN-94A29A4Q0RK Process Create (rule: ProcessCreate) Process Create: RuleName: - UtcTime: 2021-04-28 07:17:14.105 ProcessGuid: {046930C2-0BFA-6089-5F47-E30400000000} ProcessId: 1320 Image: C:\Windows\System32\net1.exe FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850) Description: Net Command Product: Microsoft? Windows? Operating System Company: Microsoft Corporation OriginalFileName: net1.exe CommandLine: C:\Windows\system32\net1 user test$ test123!@# /add CurrentDirectory: C:\Users\Administrator\ User: WIN-94A29A4Q0RK\Administrator LogonGuid: {046930C2-962D-6077-50BD-050000000000} LogonId: 0x5bd50 TerminalSessionId: 1 IntegrityLevel: High Hashes: SHA1=B885470C69CAEA77043B96DC1875C346EC3DA0B0,MD5=3B6928BC39E5530CEAD1E99269E7B1EE,SHA256=0F084CCC40CBF7C3C7472DDAD609B5FD31AACAFA44E23F9EC7E9E2184713B986,IMPHASH=72AA515B1963995C201E36DE48594F61 ParentProcessGuid: {046930C2-0BFA-6089-E846-E30400000000} ParentProcessId: 2824 ParentImage: C:\Windows\System32\net.exe?ParentCommandLine: net user?cmd$ test123!@# /add 63027?

日志中包含新增的用戶(hù)操作

Apr 28 15:36:28 WIN-94A29A4Q0RK MSWinEventLog 1 Microsoft-Windows-Sysmon/Operational 18914 Wed Apr 28 15:36:28 2021 13 Microsoft-Windows-Sysmon?SYSTEM User Information WIN-94A29A4Q0RK Registry value set (rule: RegistryEvent) Registry value set: RuleName: - EventType: SetValue UtcTime: 2021-04-28 07:36:28.180 ProcessGuid: {046930C2-0FEF-6089-58C8-E40400000000} ProcessId: 2436 Image: C:\Windows\regedit.exe?TargetObject: HKLM\SAM\SAM\DOMAINS\Account\Users\000001F4\F?Details: Binary Data 63312

日志中有修改對(duì)應(yīng)的鍵值

Apr 28 15:58:32 WIN-94A29A4Q0RK MSWinEventLog 1 Microsoft-Windows-Sysmon/Operational 199 Wed Apr 28 15:58:32 2021 1 Microsoft-Windows-Sysmon?SYSTEM User Information WIN-94A29A4Q0RK Process Create (rule: ProcessCreate) Process Create: RuleName: - UtcTime: 2021-04-28 07:58:32.577 ProcessGuid: {046930C2-15A8-6089-4457-E80400000000} ProcessId: 1716 Image: C:\Windows\System32\net1.exe FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850) Description: Net Command Product: Microsoft? Windows? Operating System Company: Microsoft Corporation OriginalFileName: net1.exe CommandLine: C:\Windows\system32\net1 user test$ /del CurrentDirectory: C:\Users\Administrator\ User: WIN-94A29A4Q0RK\Administrator LogonGuid: {046930C2-962D-6077-50BD-050000000000} LogonId: 0x5bd50 TerminalSessionId: 1 IntegrityLevel: High Hashes: SHA1=B885470C69CAEA77043B96DC1875C346EC3DA0B0,MD5=3B6928BC39E5530CEAD1E99269E7B1EE,SHA256=0F084CCC40CBF7C3C7472DDAD609B5FD31AACAFA44E23F9EC7E9E2184713B986,IMPHASH=72AA515B1963995C201E36DE48594F61 ParentProcessGuid: {046930C2-15A8-6089-CD56-E80400000000} ParentProcessId: 2664 ParentImage: C:\Windows\System32\net.exe?ParentCommandLine: net user cmd$ /del 64960.

日志中短時(shí)間內(nèi)存在刪除掉創(chuàng)建的賬號(hào)操作

人工分析：?可以通過(guò)對(duì)相關(guān)設(shè)備定期檢查或者對(duì)原始日志進(jìn)行分析，判定設(shè)備異常。

工具分析：通過(guò)對(duì)原始日志解析日志事件類(lèi)型為創(chuàng)建影子賬戶(hù)操作，解析出創(chuàng)建的賬戶(hù)名稱(chēng)，以及后續(xù)將對(duì)應(yīng)的注冊(cè)表文件進(jìn)行了修改操作。并可以結(jié)合相關(guān)知識(shí)庫(kù)，了解如何進(jìn)行對(duì)影子賬戶(hù)的篩查操作，快速進(jìn)行解決問(wèn)題。

2、文件創(chuàng)建監(jiān)控檢測(cè)

指定監(jiān)控的路徑，通過(guò)Sysmon工具進(jìn)行檢測(cè)。本文監(jiān)控C盤(pán)下的文件創(chuàng)建監(jiān)控。

Sysmon配置文件：

在C盤(pán)下創(chuàng)建文件。

文件的修改

總結(jié)

以上本文介紹了Sysmon工具的基本使用。其中包括基本安裝命令和對(duì)注冊(cè)表監(jiān)控的規(guī)則文件，還有和Nxlog的結(jié)合使用，對(duì)影子賬戶(hù)的檢測(cè)定位，以及對(duì)指定的監(jiān)控路徑進(jìn)行文件操作監(jiān)控。快速的對(duì)安全威脅事件，進(jìn)行響應(yīng)，安全是不容忽視的。學(xué)習(xí)了解相關(guān)的檢測(cè)手段，再根據(jù)分析工具。可以更好的及時(shí)發(fā)現(xiàn)一些威脅，從而減少以及避免相關(guān)威脅帶來(lái)的損失。

相關(guān)分享：

Windows日志分析場(chǎng)景（一）

?

總結(jié)

以上是生活随笔為你收集整理的系统监视器(Sysmon)工具的使用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。