Serveur minecraft

"Analyse des événements Sysmon pour les indicateurs IR" – Resoudre les problemes d’un serveur MineCraft

Le 18 janvier 2020 - 10 minutes de lecture

Introduction et installation

Un outil dédié de surveillance des points finaux devient rapidement une nécessité pour les organisations afin d'augmenter la visibilité, la journalisation et les alertes pour lutter contre les attaques ciblées et les logiciels malveillants de base. Sysmon est un outil gratuit de surveillance des points finaux de Microsoft Sysinternals et a été récemment mis à jour vers la version 2.0. Sysmon est un excellent outil pour un usage domestique, comme un autre moyen de suivre les logiciels malveillants dans un bac à sable, et pour toute personne intéressée à découvrir la valeur de la surveillance des terminaux.

Sysmon surveille un système informatique pour plusieurs actions: création de processus avec ligne de commande et hachage, terminaison de processus, connexions réseau, modifications des horodatages de création de fichiers et chargement du pilote / de l'image. Sysmon enregistre ces informations dans un format de journal des événements Windows standard qui peut également être envoyé à un SIEM s'il est utilisé dans une entreprise. Bien que Sysmon offre certaines capacités de surveillance, il peut être facilement arrêté par les attaquants et ne fournit aucune alerte automatisée. Sysmon est disponible sur http://technet.microsoft.com/en-us/sysinternals/dn798348.

Bien que la journalisation soit agréable, elle n'apporte aucune valeur si le journal n'est pas examiné. Le but de cet article est de fournir un moyen simple et automatisé de présenter le journal des événements Sysmon pour examen et un script de commandes utilisant les outils et techniques décrits dans cet article sera disponible en téléchargement. Si Sysmon n'est pas déjà installé, téléchargez-le à partir de Microsoft Sysinternals et installez-le à l'aide d'une ligne de commande telle que:

sysmon —i —accepteula —h md5 —n -l

Cela installe Sysmon en tant que service qui survivra aux redémarrages, collectera les informations de connexion réseau, enregistrera les hachages MD5 pour tous les processus créés et enregistrera le chargement des modules.

Le fichier journal

Une fois Sysmon installé, il enregistre tout dans un journal des événements Windows standard. Sur un système Windows 7 et supérieur, ce fichier se trouve ici:

C: WindowsSystem32winevtLogsMicrosoft-Windows-Sysmon% 4Operational.evtx

Ce fichier journal est dans un format de journal des événements standard et donc difficile à lire. Un exemple d'entrée de journal peut être vu sur la page Sysmon de Sysinternal. L'Observateur d'événements Microsoft peut ouvrir le journal, mais chaque entrée doit être examinée individuellement; une analyse correcte nécessite quelque chose d'un peu plus automatisé. Pour voir des exemples d'utilisation de l'Observateur d'événements et d'autres informations Sysmon en général, consultez Carlos PerezLe message de. Pour copier le fichier journal pour une analyse ultérieure, utilisez une commande comme celle-ci:

robocopy C: Windowssystem32winevtLogs C: UsersUserDesktopsysmon Microsoft-Windows-Sysmon% 4Operational.evtx

Cette commande copiera simplement le fichier journal et le placera sur le bureau de l'utilisateur dans un dossier nommé sysmon.

Analyse

Pour transformer le journal des événements XML en un fichier plus facile à digérer, nous pouvons utiliser Microsoft Logparser. Logparser analysera le journal des événements dans un fichier CSV à l'aide de cette commande:

logparser -i: evt -o: csv "Select RecordNumber, TO_UTCTIME (TimeGenerated), EventID, SourceName, ComputerName, SID, Strings from% src% WHERE EventID in (? 1?; '2?;' 3?; '4' ; '5'; '6'; '7') "> sysmonsysmon_parsed.txt

Nous avons maintenant un fichier texte brut que nous pouvons facilement ouvrir dans Excel ou utiliser pour une analyse automatisée supplémentaire. Si vous passez en revue dans Excel, ouvrez-le en tant que fichier délimité avec à la fois «,» et «|» choisis comme délimiteurs.

Pour extraire des informations supplémentaires du fichier, nous pouvons nous tourner vers le script python TekCollect de TekDefense. Ce script nous aidera à rassembler toutes les adresses IP, les hachages MD5, les noms de domaine et les noms exécutables. TekCollect nécessite Python 2.7 et nous pouvons lancer le script en utilisant une commande comme:

python tekcollect.py -f sysmonsysmon_parsed.txt -t MD5> sysmonHashes.txt

Cette commande recherche automatiquement dans le journal Sysmon analysé tous les hachages MD5 qu'il peut trouver. Le fichier Hashes.txt résultant contiendra une liste dédupliquée de tous les hachages MD5 trouvés. Le commutateur —t nous permet également de désigner les informations que nous voulons extraire du fichier. Nous pouvons répéter la commande en utilisant «ip4», «exe» et «domaine» pour terminer la collecte des informations souhaitées et créer des fichiers texte supplémentaires faciles à lire pour examen.

Une analyse

Nous avons maintenant des fichiers texte agréables et soignés analysés à partir du journal des événements Sysmon, adaptés à l'analyse. Un examen manuel des fichiers texte créés pourrait conduire à une découverte ou à des indicateurs auparavant inconnus.

Cependant, comme la révision manuelle peut parfois prendre du temps, nous pouvons utiliser quelques astuces automatisées pour faciliter notre travail.

Recherche par mot clé

Le fichier qui accompagne cet article de blog contient un fichier appelé «sysmon_keywords.tx». Ce fichier contient 15 exemples de mots clés qui pourraient nécessiter un suivi supplémentaire. Les mots clés incluent des recherches de termes tels que «whoami», «liste de tâches» et «quser» ainsi que des extensions de fichier comme «.bat», «.cmd» et «.rar». Tous les résultats de ces termes seront placés dans un fichier séparé nommé Keywords.csv.

Le fichier «sysmon_keywords.txt» est facilement modifiable et peut contenir des adresses IP, des noms de domaine, des noms de fichiers ou tout autre terme de recherche Regex que vous voudrez peut-être surveiller pour des gains rapides et faciles lors de l'examen de l'activité en cours sur le système. Ce type de recherche automatisée pourrait aider à réduire le processus de chasse Jack Crook décrit dans son récent article de blog.

Analyse de hachage

Le premier fichier à examiner est la liste des hachages MD5. Bien qu'une liste de hachages à elle seule ne signifie pas grand-chose, nous pouvons utiliser une recherche automatisée de VirusTotal pour déterminer si l'un des hachages justifie un examen plus approfondi. Je préfère utiliser le virustotalchecker de WoanWare, cependant, il nécessite Net 4.5 et une clé API VirusTotal. Une autre option consiste à utiliser Didier Stevens‘Script virustotal-search.py, mais une clé API est toujours nécessaire.

La grande chose à propos de cet outil est l'utilisation de la mise en cache. Si vous utilisez la mise en cache et avez recherché le même hachage au cours des 30 derniers jours, vous obtenez le résultat mis en cache, ce qui peut accélérer considérablement l'analyse. C'est une excellente option si vous finissez par terminer ce processus d'analyse Sysmon une fois par semaine. Après l'exécution initiale, l'outil n'aura qu'à rechercher de nouveaux hachages qu'il n'a pas vérifiés récemment.

L'utilisation de cette commande automatisera les recherches VirusTotal et nous donnera deux fichiers à examiner:

virustotalchecker.exe -m c -f sysmonHashes.txt —o.

Cela produit deux fichiers CSV, un fichier contient des correspondances et un fichier contient des hachages sans correspondances. La recherche dans le fichier avec des correspondances nous dira s'il y a eu des hachages sur VirusTotal avec une confiance élevée des détections anti-virus positives. Si un hachage est suspect, copiez-le et recherchez le fichier sysmon_parsed.txt pour voir quel processus et ligne de commande sont responsables de l'entrée. Gardez à l'esprit que tous les hachages suspects ne correspondront pas à VirusTotal.

Analyse d'adresse IP

Le deuxième fichier à vérifier est celui contenant les adresses IP. Une bonne façon de les vérifier en bloc est d'utiliser le programme GUI IPNetInfo de NirSoft. Le programme permet à l'utilisateur de coller une liste d'adresses IP en entrée et filtrera automatiquement toutes les adresses IP non publiques. Pour les scripts, vous pouvez lancer automatiquement le programme avec la liste en entrée à l'aide d'une commande comme:

ipnetinfo.exe / ipfile sysmonIPs.txt

Cette commande lancera toujours l'interface graphique pour permettre un examen en masse des résultats WhoIs. Avec une énorme liste d'adresses IP à vérifier, il pourrait être avantageux d'utiliser l'option «Pause de 30 secondes après la récupération de 50 adresses IP». Cela empêchera le programme de faire trop de demandes et d'obtenir votre adresse IP temporairement sur liste noire pour effectuer des requêtes supplémentaires. Il existe également une option pour réessayer les requêtes ayant échoué.

Une deuxième option dans la recherche automatique des adresses IP consiste à utiliser le serveur de Team Cymru pour les recherches en masse. Ce processus implique l'utilisation d'une connexion NetCat pour envoyer la liste des adresses IP pour un traitement automatique. Le processus est très rapide et la commande à utiliser ressemble à ceci:

ncat.exe whois.cymru.com 43 < sysmonIPs.txt > sysmonWhois_Results.txt

Une fois les adresses IP résolues et les informations WhoIs collectées, il est facile de visualiser et de trier les résultats. Après avoir terminé ce processus une ou deux fois et collecté une belle base de résultats, il devrait être facile de sélectionner des informations qui semblent hors de propos. Par exemple, il est facile de trier par pays pour voir si des connexions inattendues ont été établies. Si une adresse IP justifie un suivi supplémentaire, recherchez le fichier sysmon_parsed.txt pour voir quel processus établit la connexion.

Conclusion

Sysmon est idéal pour fournir des informations de surveillance simples sur le système hôte et la version récente permet l'utilisation de fichiers de configuration et de filtrage. Le processus décrit ci-dessus nous donne une analyse automatisée pour la surveillance des points finaux que Sysmon termine. Les données présentées par l'analyse sont faciles à examiner et devraient aider lors de la recherche d'indicateurs d'activité de l'attaquant.

Pour rendre ce processus encore plus facile, les commandes répertoriées ci-dessus sont compilées dans un script batch facile à utiliser. Le script collectera et analysera automatiquement le journal des événements Sysmon lors de son exécution sur le système pour enquêter ou vous pouvez éventuellement désigner un fichier journal déjà collecté. Le script suivra ensuite le processus décrit en analysant le journal des événements, en exécutant TekCollect pour récupérer des indicateurs spécifiques, en recherchant des mots clés, en lançant une comparaison de hachage VirusTotal et en effectuant une recherche groupée de WhoIs.

Le script batch peut être téléchargé sur https://github.com/CrowdStrike/Forensics. Cet article est initialement apparu sur le blog CrowdStrike.

Matt Churchill est un consultant principal pour CrowdStrike spécialisé dans la criminalistique d'intervention en cas d'incident. Matt était auparavant enquêteur sur la cybercriminalité pour une agence locale d'application de la loi et a également effectué des examens médico-légaux pour le FBI. Il détient les certifications SANS GCFA, GCFE et GREM et peut être contacté à l'adresse suivante: @matt_churchill.

6.2.5

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.