Sysmon w monitoringu bezpieczeństwa stacji roboczych

Zastosowanie Sysmon w rejestrowaniu filtrów WMI

Po zarejestrowaniu filtru zdarzeń usługi WMI, czyli metody używanej przez złośliwe oprogramowanie do wykonania, to zdarzenie rejestruje wykorzystaną przestrzeń nazw usługi WMI, nazwę filtru i wyrażenie filtru. Atakujący – co prawda - opracowali szczególnie wyrafinowany sposób na utrwalanie złośliwego oprogramowania, podnosząc uprawnienia za pomocą filtrów zdarzeń WMI i użytkowników, aczkolwiek we współczesnych systemach Windows technika ta jest blokowana i trudno ją zasymulować.

Wykryto działanie WmiEvent (WmiEventConsumer) to zdarzenie rejestruje rejestrację użytkowników usługi WMI, rejestrowanie nazwy klienta, dziennika i miejsca docelowego. Jak w przypadku zdarzenia o ID 19 – współcześnie trudne do zasymulowania.

Działanie WmiEvent (WmiEventConsumerToFilter) zostaje wykryte,  gdy użytkownik powiąże z filtrem, to zdarzenie w obszarze WMI rejestruje nazwę użytkownika i ścieżkę filtru.

Monitoring zapytań DNS

To zdarzenie generuje się, gdy proces wykonuje zapytanie DNS, niezależnie od tego, czy wynik zakończył się pomyślnie, czy nazwę bądź adres IP rozwiązano czy nie. Można wykryć w ten sposób aktywność złośliwego oprogramowania względem zapytań o rozwiązywanie nazwy stron o słabej reputacji – oczywiście po wcześniejszym uwzględnieniu listy takich stron w filtrach. Ten rodzaj rejestrowania daje też potencjał wykrywania ataków polegających na spoofowaniu niepodpisanych odpowiedzi DNS.

Rysunek 10 Odnotowanie zdarzenia polegającego na odpytaniu o rozwiązanie nazwy usługi DNS

Monitoring usuniętych plików

Zdarzenie FileDelete (plik usunięty zarchiwizowany) sygnalizuje, że plik ze śledzonej ścieżki usunięto. Ponadto w celu rejestrowania zdarzenia usunięty plik również zapisuje się w konfigurowanym katalogu Archiwum. Jeśli atakujący usunie pliki złośliwego oprogramowania, administratorzy nadal będą mieli do nich dostęp.  W normalnych warunkach operacyjnych ten katalog może wzrosnąć do dużych rozmiarów, dlatego ważne jest jednak, aby odpowiednio skonfigurować reguły tego zdarzenia. Nie doprowadzi to do zapełnienia pamięci.

Rejestr nowych zawartości w schowku

Zdarzenie ClipboardChange generuje się po zmianie zawartości schowka systemowego. Tak jak w przypadku usuniętych plików, informacje o zmianach w schowku także zostają skopiowane do określonego katalogu archiwizacji. Monitorowanie danych przechowywanych w schowku może dostarczyć przydatnych informacji o tym, jak prowadzony był atak.

Rejestracja operacji na plikach

1. FileDeleteDetected (zarejestrowane usuwanie pliku) – To podobne zdarzenie jak w przypadku zdarzenia ID23, ale bez zapisywania usuniętych plików. Plik usunięto bez przenoszenia do archiwum.
2. FileBlockExecutable - zdarzenie generowane, gdy system Sysmon wykrywa i blokuje tworzenie plików wykonywalnych.
3. FileBlockShredding - Tzdarzenie generowane, gdy program Sysmon wykrywa i blokuje usuwanie plików z użyciem narzędzi, takich jak SDelete.
4. FileExecutableDetected - To zdarzenie generowane, gdy program Sysmon wykryje utworzenie nowego pliku wykonywalnego (format PE).

Błąd programu Sysmon

To ostatnie zdarzenie z dostępnej puli - generowane tylko, gdy wystąpił błąd w Sysmonie. Może wystąpić, gdy system operacyjny jest w znacznym stopniu obciążony, przez co sam Sysmon może nie nadążyć z bieżącym zapisywaniem logów. Również gdy istnieje usterka w funkcjonowaniu rozwiązania (także zamierzona podczas ataku, choć Sysmon w ostatnich aktualizacjach uzbrojono w mechanizmy przeciwdziałające atakom), a nawet jeśli niektóre warunki integralności nie zostaną spełnione. Warto wychwytywać tego typu zdarzenia w systemach, bowiem również może to być wskaźnik ataku.

Podsumowanie najważniejszych cech Sysmon

Sysmon to niewątpliwie zaawansowane i kompleksowe narzędzie monitorujące i rejestrujące aktywności systemu. Dostarcza szczegółowych informacji o procesach, sieciach, sterownikach i innych kluczowych aspektach systemu operacyjnego. Do kluczowych cech należą:

• Elastyczność względem nowych/uaktualnianych także zdalnie konfiguracji: Sysmon automatycznie przeładowuje konfigurację, jeśli zmieniono ją w rejestrze. Taka zmiana odnotowuje się w logu Sysmona.
• Filtrowanie reguł: Sysmon umożliwia dynamiczne dołączanie lub wykluczanie określonych zdarzeń, a filtry zapisano przejrzyście w formacie xml. Dostosowanie filtrów pozwala na wyeliminowanie informacji bezużytecznych, a dodawanie takich, które stanowią wskaźnik na znane techniki i taktyki ataku zwłaszcza w korelacji między poszczególnym ciągiem odnotowanych zdarzeń.
• Generowanie zdarzeń od wczesnej fazy rozruchu: Sysmon generuje zdarzenia już od wczesnej fazy rozruchu. Pozwala to na przechwytywanie aktywności nawet zaawansowanego złośliwego oprogramowania działającego na poziomie jądra systemu operacyjnego.

Warto zauważyć, że Sysmon nie dostarcza analizy czy interpretacji wygenerowanych przez niego zdarzeń. To zadanie należy do zintegrowanego z nim systemu SIEM. Sysmon nie próbuje ukryć się przed atakującymi – jego obecność jest łatwo wykrywalna podczas fazy aktywnego rekonesansu.