来自 安全 2021-07-13 08:22 的文章

防ddos_香港高防云主机_如何防

防ddos_香港高防云主机_如何防

如果您已经在您的环境中使用了Microsoft Sysmon,那么您可能想知道是否可以在启用了Sysmon的Windows主机上检测到WannaCry活动。答案是肯定的,这个博客将解释如何!什么是Sysmon?"系统监视器(Sysmon)是一个Windows系统服务和设备驱动程序,六种防御ddos攻击的绝招,一旦安装在系统上,它将在系统重新启动时保持驻留,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建、网络连接和文件创建时间更改的详细信息。通过使用Windows事件收集或SIEM代理收集它生成的事件并随后进行分析,您可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。"资料来源:https://technet.microsoft.com/en-gb/sysinternals/sysmonSysmon配置Sysmon和Sysmon的源代码已经被安装到Sysmon日志中了。作为参考,用于安装Sysmon基本实例的命令只需(取决于您是在保护x86和/或x64主机):Sysmon64–接受EULA–i或者:Sysmon–接受EULA–i如果已经在使用自定义Sysmon配置,则需要确保将以下事件标记添加到XML配置中:下面是我们可以用来检测WannaCry的两个事件id。请注意,国内cc防御,系统管理员可能会使用其他事件ID,但对于以下示例,我们主要使用事件ID 1和2。其他事件ID及其相应的解释,以及指向Sysmon实用程序的下载链接可以在以下位置找到:https://technet.microsoft.com/en-gb/sysinternals/sysmon事件ID姓名说明1流程创建当进程显式修改文件创建时间时,将注册"更改文件创建时间"事件。此事件有助于跟踪文件的实际创建时间。攻击者可以更改后门的文件创建时间,使其看起来像是与操作系统一起安装的。请注意,许多进程都会合法地更改文件的创建时间;它不一定表示恶意活动。2进程更改了文件创建时间当进程显式修改文件创建时间时,将注册"更改文件创建时间"事件。此事件有助于跟踪文件的实际创建时间。攻击者可以更改后门的文件创建时间,使其看起来像是与操作系统一起安装的。请注意,许多进程都会合法地更改文件的创建时间;它不一定表示恶意活动。表1。事件ID及其意义对数律构型如果您已经在使用Sysmon,可以跳过这一节。但是,对于logrymetry配置步骤,下面是一个日志源的默认配置示例,配置为使用"MS Windows Event Logging–Sysmon"日志消息源类型进行收集。在下面的示例中,我们使用默认的Sysmon XML配置从Microsoft Windows Server 2012 R2 x64主机收集Sysmon输出。图1:日志消息源属性基本配置窗口对于平面文件设置,您需要确保正确指定文件路径:图2:日志消息源属性平面文件设置窗口注意:如果您想知道从何处获取文件路径,只需打开"事件查看器">"应用程序和服务日志">"Microsoft">"Windows">"Sysmon">"操作日志"中包含的任何事件ID即可找到此路径。通过单击Details选项卡并选择XML视图,只需记下频道名称,并将其复制/粘贴到flatfilesettings>filepath字段中。图3:事件属性XML视图WannaCry Sysmon工件首先,我们在桌面上新创建的"msg"文件夹中看到每个语言文件(前缀为.wncry文件扩展名)的一组事件ID 2。对于每个单独的语言文件,您可能会看到大约28个这样的事件被编写。它们是在首次运行WannaCry加密器组件后创建的(通常使用文件名任务调度.exe,但可以用不同的名称),dropper开始提取文件并将文件写入这个新的"msg"文件夹wcry.exe文件过程。请注意,此路径将取决于运行初始可执行文件的位置。例如,如果WannaCry可执行文件是从桌面运行的,那么msg文件夹(以及提取的其他文件)将存储在桌面上。前几个事件id提供了丰富的取证知识,例如日志源主机、MPE规则名称、对象、对象名称以及常见事件。图4:正在创建的Msg文件夹语言文件下面我们可以看到桌面上正在创建的"r.wnry"文件,其中包括解密工具使用的附加解密指令。同样,如下面的截图所示wcry.exe文件进程负责在用户的桌面上创建此文件。下面重点介绍一些更有用的指标。图5:正在创建的r.wncry配置文件还将创建"s.wnry"(未显示),其中包含TOR软件可执行文件。这是用来稍后与TOR隐藏服务通信,以向受感染的用户提供使用比特币支付赎金的能力。"的"taskse.exe"文件,它负责枚举远程桌面协议(RDP)会话,然后创建。这是由创建的另一个文件wcry.exe文件,并放在桌面上。"s.wnry"和taskse.exe"也使用与上面所示示例相同的事件ID。图6:taskse.exe正在创建的文件"的"任务dl.exe然后创建(未显示),这是文件删除工具。此进程负责文件的加密,然后使用".WNCRYT"文件扩展名写入加密文件。接下来创建"t.wnry"文件(未显示),其中包含部分AES加密和一个DLL文件。然后创建解密程序文件"u.wnry"(未显示)。再说一遍,那个"任务dl.exe、""t.wnry"和"u.wnry"文件生成与上述相同的事件ID。现在运行"attrib+h."命令,它隐藏当前目录。在这里,DDOS防御需要宽带吗,我们可以看到填充了其他元数据字段,例如哈希、会话等。这是一个很好的例子,使用现成的Sysmon解析规则和标准Sysmon配置快速获得一组丰富的指标,这些指标不仅可以用作指标,而且可以在以后使用AI引擎构建检测规则。图7:Attrib命令执行现在我们看到了"icacls"。/授予所有人:F/T/C/Q"命令正在运行。这将授予系统上的所有用户对当前目录及其下所有子目录中的文件的完全访问权限。图8:icacls命令执行接下来,我们看到CScript执行VBS脚本"m.VBS"。这实际上是勒索软件的一部分,它提供持久性,并创建到批处理文件的链接(未显示)。图9:cscript执行m.vbs文件接下来我们会看到更多类似的情况,这表明WannaCry现在正在加密受感染主机上的文件,并将合法文件的文件扩展名替换为".wncryt"扩展名。图10:文件加密过程开始后面还有很多很多事件ID(确切地说总共是1028个事件ID,尽管这可能因操作系统而异),但希望上面的代码片段足以利用Sysmon在logrythresystem Monitor代理收集的计算机上生成的日志数据。使用默认的Sysmon配置和简单的日志收集设置,可以使用现成的默认Sysmon日志处理策略解析出整个数据主机。基于logrythreshold和Sysmon的WannaCry检测使用诸如对象、对象名、供应商消息ID、进程名、散列等元数据字段,您可以使用AI引擎快速构建简单的检测规则。寻找任何提到的字段,ddos域名攻击防御,并以规则为目标来查看支持Sysmon的日志源,可以创建简单的日志观察规则块来查找是否存在任何这些指标,这些指标可以进一步报警,ddos防御中的七层防御技术,并帮助SOC团队减少WannaCry的影响和蔓延。下面是一个例子。注意:如果您已经在收集Sysmon日志源,那么您应该首先检查日志数据是如何表示的,因为它可能与上面显示的示例不同。图11:AI引擎检测致谢特别感谢这些额外的LogRthym实验室团队成员,感谢他们继续分析和报告WannaCry和其他影响LogRthym客户的威胁:Brian Coulson、Erika Noerenberg、Kim Raburn、Matt Willems、Nathanial Quist和Rob McGovern。LinkedIn Twitter Facebook Reddit电子邮件