Use Sysmon para determinar el proceso de resolución de nombre de dominio

Others 2020-04-10 11:04:43 views: null

Usando Sysmon para localizar el proceso de resolución de nombres de dominio

1. Instrucciones

1. Usa escenarios

(1) En el caso de que el software de eliminación no pueda eliminarse, el usuario no tiene experiencia relevante para encontrar el archivo de proceso correspondiente a la resolución del nombre de dominio malicioso;

(2) La solicitud de algunas muestras maliciosas para el nombre de dominio del control remoto no es continua. Puede ser una vez por hora, una vez por día o una vez por varios días. Puede usar Sysmon para ver el registro de eventos y configurarlo como un archivo de proceso.

2. Ámbito de aplicación

El método provisto en este artículo solo se usa para localizar el archivo de proceso correspondiente a la resolución de nombre de dominio de COI, y solo es válido para muestras maliciosas ordinarias que tienen procesos separados y no se basan en procesos del sistema, y ​​no son aplicables a muestras sin procesos e inyección de hilo.

Segundo, introducción de Sysmon

1. Introducción a Sysmon

Sysmon es un servicio de sistema de Windows y un controlador de dispositivo. Después de la instalación, permanecerá residente durante el inicio del sistema, supervisará y registrará las actividades del sistema en tiempo real, y se registrará en el registro de eventos de Windows. Proporciona información detallada sobre la creación de procesos, la conexión de red y los cambios de hora de creación de archivos.

Podemos analizar los registros de eventos registrados por Sysmon y comprender cómo los intrusos y el malware se ejecutan en la red del usuario.

2. Entorno operativo:

Cliente: Windows 7 y superior.

Servidor: Windows Server 2008 R2 y superior.

3. Descripción general de la función Sysmon

(1) Use la línea de comando completa para registrar la creación del proceso del proceso padre del comportamiento actual;

(2) Use SHA1 (predeterminado), MD5, SHA256 o IMPHASH para grabar el hash del archivo de imagen del proceso;

(3) Se pueden usar múltiples hashes simultáneamente;

(4) Incluya el GUID del proceso en el evento de creación del proceso, incluso si Windows reutiliza la ID del proceso, el evento también puede estar relacionado;

(5) Se incluye un GUID de sesión en cada evento para permitir que los eventos se asocien en la misma sesión de inicio de sesión;

(6) Use firmas y hashes para registrar la carga de controladores o archivos DLL;

(7) El registro se abre para acceso de lectura sin formato a discos y volúmenes;

(8) (Opcional) Registre la conexión de red, incluido el proceso de origen, la dirección IP, el número de puerto, el nombre de host y el nombre de puerto de cada conexión.

(9) Detecta el cambio en el tiempo de creación del archivo para comprender cuándo se creó realmente el archivo. La modificación de la marca de tiempo de creación de archivos es una técnica comúnmente utilizada por el malware para cubrir sus huellas;

(10) Si hay un cambio en el registro, la configuración se vuelve a cargar automáticamente;

(11) Filtrado de reglas para incluir o excluir dinámicamente ciertos eventos;

(12) Los eventos se generan al principio del proceso de arranque para capturar las actividades realizadas incluso por el malware en modo kernel complejo.

Tres, instalación de Sysmon

1. Descarga de Sysmon

Dirección de descarga de Sysmon : https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon

Dirección de descarga del archivo de configuración : https://github.com/SwiftOnSecurity/sysmon-config

2. Instalación de Sysmon

1. Abra cmd o powershell con derechos de administrador y cambie al directorio del programa Sysmon.

2. Ejecute e instale el programa Sysmon. Después de la instalación, el servicio registrará inmediatamente el evento, y el controlador se instalará como un controlador de inicio para capturar actividades desde el comienzo del inicio (el servicio lo escribe en el registro de eventos cuando se inicia) Actividades.

sysmon.exe -i

3. Actualice el archivo de configuración:

sysmon.exe -c sysmonconfig-export.xml

Cuatro, análisis de registro de Sysmon

1. El registro de eventos de Sysmon debe verse en el Visor de eventos de Windows:

Cómo abrir el administrador de eventos:

Método uno: win + R-> ejecutar compmgmt.msc

Método 2: haga clic con el botón derecho en "Computadora" -> Administrar

2. La ruta de almacenamiento del registro de eventos de Sysmon es:

Registros de aplicaciones y servicios / Microsoft / Windows / Sysmon / Operational

2. Análisis de eventos : Necesitamos analizar el programa correspondiente a la resolución del nombre de dominio. Aquí uso un navegador para acceder a un nombre de dominio de control remoto para el rescate de arresto domiciliario para pruebas:

1) Acceso del navegador al nombre de dominio IOC del ransomware: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

2) Filtre el registro de eventos de Sysmon y filtre el evento con el ID de evento "22" para indicar el evento de consulta DNS. Si es necesario, también puede limitar el tiempo de grabación:


3) Ctrl + F para realizar una búsqueda de palabras clave en el nombre de dominio IOC:

4) El resultado de la búsqueda puede encontrar que el programa que solicita el nombre de dominio es el programa de navegador "TheWorld.exe", y se muestran el nombre de dominio, PID, tiempo de acceso, etc. Después de localizar el archivo de proceso para acceder al nombre de dominio, puede Los documentos se analizan o eliminan posteriormente.

V. Enlace de referencia

https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon 、

Supongo que te gusta

Origin www.cnblogs.com/k1ng/p/12671932.html
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com