آشنایی با قابلیتهای Sysmon و Event ID های 27 و 28
Sysmon (System Monitoring) یک سرویس ویندوزی است که پس از نصب بر روی یک سیستم، در طول راه اندازی مجدد، برای نظارت و ثبت فعالیت سیستم در Event Log ویندوز باقی میماند. این سرویس اطلاعات دقیقی در مورد ایجاد فرآیند، اتصالات شبکه و تغییرات زمان ایجاد فایل و… ارائه میدهد. با جمعآوری رویدادهایی که با استفاده از Windows Event Collection یا عوامل SIEM ایجاد میکند و متعاقباً آنها را تجزیه و تحلیل میکنید، میتوانید فعالیتهای مخرب یا غیرعادی را شناسایی کنید و متوجه شوید که بدافزارها در شبکه شما چگونه عمل میکنند.
توجه داشته باشید که Sysmon تجزیه و تحلیلی از رویدادهایی که ایجاد می کند ارائه نمی دهد، و همچنین سعی نمی کند خود را از مهاجمان محافظت یا پنهان کند.
لیست Event ID های Sysmon به تربیت در جدول زیر آورده شده است:
| Name and Description | Event ID |
| Process Creation | 1 |
| A process changed a file creation time | 2 |
| Network Connection | 3 |
| Sysmon service state changed | 4 |
| Process Terminate | 5 |
| Driver Load | 6 |
| Image Load | 7 |
| Create Remote Threat | 8 |
| Raw Access Read | 9 |
| Process Access | 10 |
| File Create | 11 |
| Registry Event (Object create and delete) | 12 |
| Registry Event (Value Set) | 13 |
| Registry Event (Key and Value Rename) | 14 |
| File Create Steam Hash | 15 |
| Service Configuration Change | 16 |
| Pipe Event (Pipe Created) | 17 |
| Pipe Event (Pipe Connected) | 18 |
| WM Event (WMI Event Filter activity detected) | 19 |
| WMI Event (WMI Event Consumer activity detected) | 20 |
| WMI Event (WMI Event Consumer To Filter activity detected) | 21 |
| DNS Event (DNS query) | 22 |
| File Delete (File Delete archived) | 23 |
| Clipboard Change (New content in the clipboard) | 24 |
| Process Tampering (Process image change) | 25 |
| File Delete Detected (File Delete logged) | 26 |
| File Block Executable | 27 |
| File Block Shredding | 28 |
در این مقاله در مورد Event ID های 27 و 28 بحث میشود که در سال 2022 به Sysmon اضافه شده اند.
Event ID 27
Event ID 27 زمانی ایجاد میشود که Sysmon ایجاد فایلهای اجرایی را شناسایی و مسدود میکند.
به عنوان مثال، قصد داریم که کاربران نتوانند فایلهای exe را از اینترنت دانلود کنند. به این منظور از تکه فایل پیکربندی زیر، exe دانلود شده در c:\users\*\Downloads را مسدود میکنیم.
پس از پیکربندی تکه کد بالا، سعی داریم فایلی مانند Chrome.exe را از اینترنت دانلود کنیم که به دلیل تنظیمات تکذیب گردید.
Event ID 28
Event ID 28 جهت شناسایی رفتار مخرب File Shredding که بر روی سیستمهای یک سازمان اتفاق میافتد، مورد استفاده قرار میگیرد. همچنین این Event ID قابلیت جلوگیری از اجرا شدن نرم افزارهایی که میتوان به کمک آنها File Shredding انجام داد را دارد مانند Sdelete.
خرد کردن فایل چیست: خرد کردن فایل معادل خرد کردن سندهای کاغذی است که باعث میشود فایل برای همیشه پاک شود و هیچگاه بازیابی نشود چون فایل هایی که پاک میشوند دوباره بازیابی میشوند و اگر فایل ها با ابزار هایی مانند
SDelete, file shredder,… خرد شوند دیگر قابل بازیابی نیستند.
این Event ID به عنوان یک رویداد Process Termination شناخته شده و زمانیکه یک پردازش در سیستم به پایان میرسد، ایجاد میگردد. این رویداد شامل اطلاعات مفیدی مانند نام پردازش، شناسه پردازش، نام کاربر، تاریخ و زمان پایان پردازش و دلیل پایان پردازش میباشد که میتواند در بررسی و تحلیل رفتار پردازشهای مخرب و ناخواسته مفید واقع گردد.
همچنین میتواند به مدیران سیستم کمک کند تا فعالیت پردازشهای مشکوک را شناسایی کرده و با بررسی اطلاعات جمع آوری شده به دنبال راه حلهای مناسب برای جلوگیری از حملات باشند و از اطلاعات سازمان محافظت نمایند. در واقع، این رویداد میتواند در بررسی علل خطاهای سیستم و مشکلات عملکردی کمک کند.
این آخرین شناسه رویداد اضافه شده به Sysmon است و برای رد کردن ابزارهای خرد کردن مانند sdelete از thrashing فایل ها روی دیسک طراحی شده است. همانطور که در زیر نشان داده شده است، ما مهاجم را می بینیم که سعی میکند فایل مخرب Firefox Installer.exe را از فهرست دانلودها پاک کند. Sysmon وارد این قسمت شده و عملیات را رد کرد.
در گزارش های رویداد، موارد زیر را مشاهده می کنیم. Sysmon عملیات خرد کردن را مسدود کرد.
نیاز به راه اندازی مرکز عملیات امنیت دارید؟ با کارشناسان امنیتی سورین تماس بگیرید.
سهراب
1402/07/25عالی بود چه روان و ساده، مثال خوبی هم بود.