作者 | 周克
Sysmon 是 Windows Sysinternals 系列中的一款工具。如果你想實時監控 Windows 系統又對其他第三方軟體有顧慮,使用 Sysmon 這款輕量級 Microsoft 自帶內部軟體是最好的選擇。
1
Sysmon 有啥用?
在開啟應用或者任何程序建立的行為發生時,Sysmon 會使用 sha1(預設),MD5,SHA256 或 IMPHASH 記錄程序映象檔案的 hash 值,包含程序建立過程中的程序 GUID,每個事件中包含 session 的 GUID。除此之外記錄磁碟和卷的讀取請求 / 網路連線(包括每個連線的源程序,IP 地址,埠號,主機名和埠名),重要的是還可在生成初期程序事件能記錄在複雜的核心模式執行的惡意軟體。
2
安裝步驟
透過此連結下載 Sysmon,開啟 CMD(Admin 許可權) 到放置路徑下執行
https://download。sysinternals。com/files/Sysmon。zip
3
Sysmon 啟動
在實際生產環境應用時,根據不同的配置,這時候自定義監控規則顯得尤為重要,又由於避免產生龐大的資料記錄,需要透過精簡配置來達到高效率日誌生成。
Sysmon 提供了 xml 格式的配置檔案來讓使用者自定義過濾規則,配置檔案的東西比較多,以下提供一個測試用例。(xml 大小寫敏感)
完成了 XML 的編寫,即可上傳到 Sysmon
預設配置
上傳配置
配置檢查
在上面我們看到了不同標識的 tag 用來定義 xml 配置檔案,下面列出可選擇的事件過濾器 (tag)
具體詳細內容可參考
https://technet。microsoft。com/en-us/sysinternals/sysmon
onmatch 選項只能設定為 include 或 exclude。
condition 根據不同的需求可設定為如下值:
在實際生產中請根據實際情況調整,以下為個人用例
4
Sysmon 日誌
Process Event
在 EventViewer->Applications and Services ->Microsoft->Windows->Sysmon 即可找到 Sysmon 監控得到的日誌,如下圖以 QQ 瀏覽器為例 (非 Microsoft 三方軟體,因為 Microsoft 軟體已被列入白名單):
記錄下來 QQ 瀏覽器訪問了程序,屬於程序訪問事件。
關鍵的一點就是 GrantedAccess 的值為 0x1410,這個值表示 QQ 瀏覽器對 lsass 擁有上述受限制的訪問許可權,包括寫程序記憶體和讀程序記憶體,這樣就能獲取到使用者口令。
Network Event
訪問網站,可以看到連線的詳細資訊,包括 ip,埠,pid 等,如圖透過 Sysmon 監控到 Outlook 對網路的訪問
透過 CMD 對自己進行 ping 操作
5
日誌記錄
目前的惡意軟體為了對抗檢測很多都有日誌刪除功能,Sysmon 跟 EventView 的配合可以更好的將日誌定製儲存位置。
6
總結
Sysmon 作為 Microsoft 自創配合 Windows 的監控軟體,結合其他 Windows 工具能讓監控系統變得更容易和更效率,相對於其他第三方的監控軟體提供了更安全高效和最輕量級的服務。
點個在看少個 bug