Sysmon

Sysmon (System Monitor) — это мощный инструмент Microsoft (Набор sysinternals от от Марка Руссиновича), который предоставляет детализированную информацию о событиях, происходящих в системе. Он расширяет возможности стандартного аудита Windows, предоставляя больше данных и гибкости для мониторинга безопасности.

Sysmon работает через обратные вызовы ядра ОС (kernel callbacks), трассировку событий Windows (ETW) и API телеметрии, что обеспечивает высокую детализацию и надежность данных о системных событиях

Существует Sysmon для Linux. Он основан на технологии eBPF (extended Berkeley Packet Filter) — механизм, позволяющий запускать обработчики на уровне ядра Linux для мониторинга системных вызовов, процессов и сетевых сокетов.

Логи Sysmon по умолчанию сохраняются в системный файл /var/log/syslog, что соответствует традиционному подходу к логированию в UNIX-подобных системах.

Преимущества Sysmon над стандартным аудитом

Sysmon предоставляет гораздо больше возможностей для мониторинга безопасности, чем стандартный аудит Windows. Он позволяет:

Логировать события, которые не регистрируются стандартным аудитом (например, создание файлов, изменения реестра, обращение к памяти процесса).
Получать детализированную информацию о процессах (например, командная строка, хэши файлов, родительский процесс).
Гибко настраивать мониторинг через XML-конфигурацию.
В событиях содержатся GUID процессов и сеансов, что позволяет связывать события между собой для более точного анализа при переиспользовании стандартных идентификаторов процессов.
Все события Sysmon записываются в стандартный журнал Windows (Applications and Services Logs -> Microsoft -> Windows -> Sysmon -> Operational), что упрощает централизованный сбор и анализ данных в SIEM-система.

Sysmon не может заменить стандартный или расширенный аудит Windows, но может стать отличным дополнением.

Сравнение Sysmon Event ID 1 и Windows Event ID 4688

Sysmon логирует 2 события, которые по своему смыслу похожи на стандартный аудит Windows. Это Event ID 1 - старт процесса. Ниже несколько отличий этих событий, и преимущества использования Sysmon, соотвественно.

Характеристика

Windows Event ID 4688

Sysmon Event ID 1

Информация о процессе

Название процесса, PID, путь к исполняемому файлу. Имя пользователя, от которого запущен процесс ,и сессия, в которой запущен.

То же самое + хеши (MD5, SHA1, SHA256, IMPHASH) + метаинформация процесса (описание, продукт, компания) + оригинальное имя (будет несвпадать с именем, если был апереименована другая утилита)

Права запуска

В старых версиях Windows отсутствует информаци о Mandatory Label

Есть информация об Integrity Level.

Командная строка

Нет (требуется отдельная настройка через GPO).

Полная командная строка (включая аргументы).

Родительский процесс

До Windows 10 нет информации об имени родительского процесса, только PID.

Указывается родительский процесс. Есть информация о пользователе, от имени которого запущен родительский процесс (ParentUser), что позволяет находить манипуляцию с токенами.

Наличие ParentUser в событии Sysmon 1 позволяет искать повышение привилегий через манипуляцию с токенами. Если Parent User не системная учетная запись, а сам процесс запущен от имени NT AUTHORITY\SYSTEM, то это хороший индиктор, что имело место повышений привилегий.

Event ID 5156 VS Sysmon 3

Есть еще пара событий, которые могут показаться похожими Event ID 5156 и Event ID 3 Sysmon - они оба про сетевые соединения. Но есть одно отличие. Event ID 5156 - даже по формулировке "Платформа фильтрации Windows разрешила подключение", то есть соединения могло и не быть. Sysmon 3 регистрируется, когда соединение уже установлено. Также Sysmon 3 помимо IP-адреса, куда было соединение, регистрирует имя узла, оно берется из кеша DNS (можно отключить в конфиге).

В старых версиях Sysmon для входящих соединений были перепутаны адреса источника и назначения - баг.

Полезные события Sysmon, которых нет в стандартном аудите Windows

Создание файла (Event ID 11)

Описание: Регистрирует создание файлов на диске.
Пример использования:
- Обнаружение создания вредоносных исполняемых файлов и скриптов (например, .exe, .dll, .ps1).
- Отслеживание создания файлов в критически важных папках (например, C:\Windows\System32).
- Отслеживание создания файлов во временных директориях.

Изменение реестра (Event ID 12, 13, 14)

Описание:
- Event ID 12: Создание или удаление ключа реестра.
- Event ID 13: Изменение значения реестра.
- Event ID 14: Переименование ключа реестра.
Пример использования:
- Обнаружение изменений в автозагрузке (например, HKLM\Software\Microsoft\Windows\CurrentVersion\Run).
- Отслеживание изменений в реестре, связанных с вредоносным ПО.

Что может сделать атакующий с доступом в реестр на запись

На самом деле для большинства правил обнаружения достаточно только EventID 13. Потому что создание параметра реестра сразу с некоторым значением приведет к последовательной регистрации Event ID 12 -> 13

Загрузка DLL (Event ID 7)

Описание: Регистрирует загрузку DLL-библиотек процессами.
Пример использования:
- Обнаружение инъекций кода (например, техника DLLHijacking для выполнения вредоносного кода).
- Отслеживание подозрительных DLL, загружаемых в процессы.
- Для DLL также собирается и проверяется их подпись, что позволяет отслеживать неподписаные библиотеки или библиотеки с евалидной подписью.

Создание удаленных потоков (Event ID 8)

Описание: Регистрирует создание удаленных потоков в процессах.
Пример использования:
- Обнаружение инъекций кода (например, использование CreateRemoteThread).
- Отслеживание подозрительной активности, связанной с процессами.

Обращение к памяти процессов (Event ID 10)

Описание: Регистрирует обращение к памяти процесса по заданным маскам доступа.
Пример использования:
- Получение учетных данных из памяти процесса lsass.exe Процесс LSASS и его секреты

Обнаружение и блокировка создания исполняемых файлов (Event ID 27)

Описание: После создания файла анализирует заголовок, и если файл исполняемый (PE), удаляет его.
Пример использования:
- Заголовок файла — это часть данных, расположенная в начале файла, позволяет определить, какого типа файл это (например, текстовый, изображение, аудио и т.д.).
- Если файл имеет неизвестное расширение, то при его запуске Windows будет ориентироваться по заголовку файла. Что позволяет маскировать исполнямые файлы.
- Sysmon EID 27 позволяет обнаруживать и превентивно удалять такие файлы, если они подходят под условия в конфигурации.

События Sysmon с ID 27 (FileBlockExecutable) и 28 (FileBlockShredding) сами по себе не являются полноценным EDR (Endpoint Detection and Response) решением, но вносят элементы активной защиты, приближая Sysmon к функционалу EDR.

Таблица с примерами атак, которые можно обнаружить с помощью Sysmon

Event ID

Описание события

Примеры атак

Создание нового процесса

- Запуск известных утилит для взлома, в том числе переименованных (по мета информации, original_name) - поиск IoC по хешам - использование Lolbins

Изменение времени создания файла

Обнаружение попыток скрыть следы активности. Мы у себя не применяем, но может быть полезно для DFIR.

Установка сетевого соединения

- Подключение к подозрительным IP-адресам, C2-серверам. - Lateral movement через SMB или RDP.

Загрузка модуля (DLL)

- Внедрение вредоносных DLL в процессы (DLL injection) - DLL Hijacking

Создание удаленного потока

- Инъекции в память процесса (например, использование Meterpreter).

Доступ к процессу

- Чтение памяти процессов (например, кража учетных данных с помощью Mimikatz).

Создание/изменение файла

- Создание вредоносных файлов (например, ransomware). - Изменение системных файлов. - Подозрительная активность от недавно созданных файлов.

Создание и удаление объектов реестра

- Установка автозагрузки для вредоносных программ. - Изменение реестра для отключения безопасности.

Установка значения в реестре

- Изменение настроек реестра для обхода защиты (например, отключение UAC).

Создание именованного канала (Named Pipe)

- Использование именованных каналов для взаимодействия с вредоносным ПО (например, C2-команды).

Подключение к именованному каналу (Named Pipe)

- Взаимодействие с вредоносным ПО через именованные каналы. - Повышение привилегий или эксплуатация уязвимостей через именованные каналы.

DNS-запросы

- Подозрительные DNS-запросы к доменам C2-серверов. - DNS-туннелирование.

ProcessTampering (изменение образа процесса)

Регистрируется при таких методах миграции в память процесса как Process Hollowing и Herparderping

Обнаружение и блокировка создания исполняемых файлов

Активная защита от записи вредоносных исполняемых файлов

Создание нового исполняемого файла

Аналогичен EID 27, только не удаляет файл, а создает событие безопасности. По сути более точный аналог Sysmon 2 для выявления создания исполняемых файлов, в том числе замаскированных исполянмых файлов.

255

Ошибки Sysmon

- Попытки обхода Sysmon (например, выгрузка драйвера). - Ошибки в конфигурации Sysmon.

Официальная документация

На странице описан процесс настройки. А также содержится полный список регистрируемых событий с подробным описанием.

Там же ссылки на скачивание дистрибутива.

Sysmon - SysinternalsMicrosoftLearn

Конфигурация Sysmon

Sysmon настраивается через XML-файл, который определяет, какие события будут логироваться. Основные элементы конфигурации:

Event Filtering: Фильтрация событий по типу (например, создание процесса, сетевое подключение).
Rules: Правила для включения или исключения конкретных событий (например, логировать только подозрительные процессы).
Hashing: Включение хэширования файлов для проверки целостности.

Пример минимальной (и, наверное, самое бесполезной) конфигурации:

<Sysmon schemaversion="4.81">
  <EventFiltering>
    <ProcessCreate onmatch="exclude"/> <!-- Исключить все события создания процессов -->
    <NetworkConnect onmatch="include"> <!-- Включить только сетевые подключения -->
      <DestinationPort>443</DestinationPort> <!-- Логировать только HTTPS -->
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

https://eventlog-compendium.streamlit.app/Sysmon_Configuration_Builder - неплохо ресурс, который позволяет быстро собрать конфигурацию под ствои потребности.

Дополнительные материалы и примеры конфигураций

Официальная документация:
- Документация Sysmon от Microsoft
- Руководство по конфигурации Sysmon
Примеры конфигураций:
- SwiftOnSecurity/Sysmon-Config — популярная конфигурация с подробными комментариями.
- Olaf Hartong/Sysmon-Modular — модульная конфигурация для разных сценариев.
Configuration Builder
1. https://eventlog-compendium.streamlit.app/Sysmon_Configuration_Builder

Способы обхода Sysmon

Sysmon применяет технологию Protected Process Light (PPL) для защиты своих процессов от вмешательства вредоносных программ и пользователей. Тем не менее обнаружив его, могут попытаться обойти или отключить.

Признаки, по которым атакующие могут обнаружить Sysmon

Процессы: Поиск процессов sysmon.exe или sysmon64.exe с помощью утилит, таких как tasklist или Get-Process.
Службы: Служба Sysmon или Sysmon64 может быть обнаружена через sc query или Get-Service.
Драйверы: Драйвер SysmonDrv.sys может быть найден через driverquery или анализ загруженных драйверов.
Файлы на диске: Файлы Sysmon обычно находятся в C:\Windows\System32 или C:\Windows\Sysmon.
Журналы событий: Злоумышленники могут проверить журнал событий Windows на наличие логов Sysmon (например, Microsoft-Windows-Sysmon/Operational).

Как установить Sysmon более скрытно

Переименование файлов и служб:
- Переименуйте sysmon.exe и SysmonDrv.sys в менее подозрительные имена (например, svchosthelper.exe).
- Измените имя службы Sysmon через реестр или утилиту sc.
Использование случайных путей: Установите Sysmon в нестандартную директорию (например, C:\ProgramData\Microsoft\Helpers).

Способы обхода Sysmon и их обнаружение

Отключение Sysmon:
- Метод: Остановка службы через sc stop Sysmon или выгрузка драйвера через fltmc unload SysmonDrv.
- Обнаружение: Мониторинг событий остановки служб (Event ID 7036) и запуск утилиты fltmc.
Удаление Sysmon:
- Метод: Удаление файлов и служб Sysmon.
- Обнаружение: Мониторинг изменений в системных файлах и реестре (Event ID 11, 12/14 в Sysmon).

Событие Event ID 255 — это важный источник информации о состоянии Sysmon. Оно помогает аналитикам SOC обнаруживать ошибки конфигурации, попытки обхода и аномалии в работе Sysmon.

Манипуляции с конфигурацией:
- Метод: Изменение конфигурационного файла Sysmon (XML) для исключения логирования.
- Обнаружение: Мониторинг изменений в конфигурации (Event ID 16 в Sysmon). Можно сравнивать хеш-сумму нового конфигурационного файла с вашим, который вы используете в инфраструктуре и алертить на отличия.

Еще атакующие могут не только заменять конфигурацию на свою, но и искать слабые места в вашей, чтобы остаться незамеченными. Например, запускать процессы из директорий, которые добавлены вами в исключение логирования.

И настройте мониторинг источников (обычно эту функция есть по умолчанию в SIEM-системах), это позволит быстро обнаруживать, если с узла перестанут поступать логи Sysmon. Только исключите Event ID 255 из мониторинга. Ошибка ≠ корректное логирование.

Ну и еще несколько хороших статей с продвинутыми техниками, которые включают манипуляции с ETW и перехват обратных вызовов:

Ослепить Sysmon. Выводим мониторинг из строя максимально незаметно

Ослепить Sysmon полностью. Манипулируем объектами ETW, чтобы обойти мониторинг

Есть ряд техник, такие как Parent PID Spoofing или Cmdline Spoofing, которые не обнаруживаются на уровне логов. Эти техники как раз и приводят к тому, что в журналы пишутся недостовеные данные. Чаще всего для обнаружения подобных техник необходимо использовать EDR.

PreviousЛогирование командной строки Next[Cheat Sheet] ТОП-10 событий для мониторинга

Last updated 25 days ago

Was this helpful?