Sysmon

Sysmon (System Monitor) — это мощный инструмент от Microsoft, который предоставляет детализированную информацию о событиях, происходящих в системе. Он расширяет возможности стандартного аудита Windows, предоставляя больше данных и гибкости для мониторинга безопасности.

Преимущества Sysmon над стандартным аудитом

Sysmon предоставляет гораздо больше возможностей для мониторинга безопасности, чем стандартный аудит Windows. Он позволяет:

• Логировать события, которые не регистрируются стандартным аудитом (например, создание файлов, изменения реестра, обращение к памяти процесса).

• Получать детализированную информацию о процессах (например, командная строка, хэши файлов, родительский процесс).

• Гибко настраивать мониторинг через XML-конфигурацию.

Использование Sysmon в сочетании с SIEM-системами позволяет эффективно обнаруживать и расследовать атаки, что делает его незаменимым инструментом для SOC.

Характеристика	Стандартный аудит Windows	Sysmon
Детализация событий	Ограниченная информация (например, только факт создания процесса).	Детализированная информация (например, командная строка, хэши файлов, родительский процесс, метаинформация).
Гибкость настройки	Ограниченные возможности настройки (только через GPO).	Гибкая настройка через XML-конфигурацию (можно включать/исключать события).
Логирование создания файлов	Нет встроенного логирования создания файлов.	Логирование создания, изменения и удаления файлов.
Логирование изменений реестра	Нет встроенного логирования изменений реестра.	Логирование изменений реестра (создание, изменение, удаление ключей).
Логирование DLL-библиотек	Нет встроенного логирования загрузки DLL.	Логирование загрузки DLL (полезно для обнаружения инъекций кода).
Хэши файлов	Нет встроенного логирования хэшей файлов.	Логирование хэшей файлов (MD5, SHA1, SHA256).

Сравнение Sysmon Event ID 1 и Windows Event ID 4688

Sysmon логирует 2 события, которые по своему смыслу похожи на стандартный аудит Windows. Это Event Id 1 - старт процесса. Ниже несколько отличий этих событий, и преимущества использования Sysmon, соотвественно.

Характеристика	Windows Event ID 4688	Sysmon Event ID 1
Информация о процессе	Название процесса, путь к исполняемому файлу.	Название процесса, путь к исполняемому файлу, хэши файлов (MD5, SHA1, SHA256).
Командная строка	Нет (требуется отдельная настройка через GPO).	Полная командная строка (включая аргументы).
Родительский процесс	Нет информации о родительском процессе.	Указывается родительский процесс (полезно для анализа цепочки атак).
Пользователь	Указывается пользователь, запустивший процесс.	Указывается пользователь, запустивший процесс.
Дополнительные данные	Нет дополнительных данных.	Хэши файлов, Session ID, Integrity Level, метки времени.

Есть еще пара событий, которые могут показаться похожими Event ID 5156 и Event ID 3 Sysmon - они оба про сетевые соединения. Но есть одно отличие. Event ID 5156 - даже по формулировке "Платформа фильтрации Windows разрешила подключение", то есть соединения могло и не быть. Sysmon 3 регистрируется, когда соединение уже установлено.

События Sysmon, которых нет в стандартном аудите Windows

Sysmon предоставляет множество событий, которые не регистрируются стандартным аудитом Windows. Вот некоторые из них:

Создание файла (Event ID 11)

• Описание: Регистрирует создание файлов на диске.

• Пример использования:

  • Обнаружение создания вредоносных файлов (например, .exe, .dll, .ps1).

  • Отслеживание создания файлов в критически важных папках (например, C:\Windows\System32).

  • Отследивание создания файлов во временных директориях.

Изменение реестра (Event ID 12, 13, 14)

• Описание:

  • Event ID 12: Создание или удаление ключа реестра.

  • Event ID 13: Изменение значения реестра.

  • Event ID 14: Переименование ключа реестра.

• Пример использования:

  • Обнаружение изменений в автозагрузке (например, HKLM\Software\Microsoft\Windows\CurrentVersion\Run).

  • Отслеживание изменений в реестре, связанных с вредоносным ПО.

Что может сделать атакующий с доступом в реестр на запись

На самом деле для большинства правил обнаружения достаточно только EventID 13. Потому что создание параметра реестра сразу с некоторым значением приведет к последовательной регистрации Event ID 12 -> 13

Загрузка DLL (Event ID 7)

• Описание: Регистрирует загрузку DLL-библиотек процессами.

• Пример использования:

  • Обнаружение инъекций кода (например, техника DLLHijacking для выполнения вредоносного кода).

  • Отслеживание подозрительных DLL, загружаемых в процессы.

Создание удаленных потоков (Event ID 8)

• Описание: Регистрирует создание удаленных потоков в процессах.

• Пример использования:

  • Обнаружение инъекций кода (например, использование CreateRemoteThread).

  • Отслеживание подозрительной активности, связанной с процессами.

Обращение к памяти процессов (Event ID 10)

• Описание: Регистрирует обращение к памяти процесса по заданным маскам доступа.

• Пример использования:

  • Получение учетных данных из памяти процесса lsass.exe Процесс LSASS и его секреты

Таблица с примерами атак, которые можно обнаружить с помощью Sysmon

Event ID	Описание события	Примеры атак
1	Создание процесса	- Запуск Mimikatz, PowerShell-скриптов, утилит для взлома (например, PsExec). - Запуск ransomware.
3	Сетевые подключения	- Подключение к подозрительным IP-адресам (C2-серверы). - Lateral movement через SMB или RDP.
7	Загрузка модуля (DLL)	- Внедрение вредоносных DLL в процессы (DLL injection).
8	Создание удаленного потока	- Process injection (например, использование Meterpreter).
10	Доступ к процессу	- Чтение памяти процессов (например, кража учетных данных с помощью Mimikatz).
11	Создание/изменение файла	- Создание вредоносных файлов (например, ransomware). - Изменение системных файлов. - Подозрительная активность от недавно созданных файлов.
12	Изменение реестра (добавление/удаление ключей)	- Установка автозагрузки для вредоносных программ. - Изменение реестра для отключения безопасности.
13	Изменение реестра (изменение значений)	- Изменение настроек реестра для обхода защиты (например, отключение UAC).
17	Создание именованного канала (Pipe)	- Использование именованных каналов для взаимодействия с вредоносным ПО (например, C2-команды).
18	Подключение к именованному каналу (Pipe)	- Взаимодействие с вредоносным ПО через именованные каналы. - Повышение привилегий или эксплуатация уязвимостей через именованные каналы.
22	DNS-запросы	- Подозрительные DNS-запросы к доменам C2-серверов. - DNS-туннелирование.
255	Ошибки Sysmon	- Попытки обхода Sysmon (например, выгрузка драйвера). - Ошибки в конфигурации Sysmon.

Официальная документация

На странице описан процесс настройки. А также содержится полный список регистрируемых событий с подробным описанием.

Там же ссылки на скачивание дистрибутива.

Sysmon - SysinternalsMicrosoftLearn

Конфигурация Sysmon

Sysmon настраивается через XML-файл, который определяет, какие события будут логироваться. Основные элементы конфигурации:

• Event Filtering: Фильтрация событий по типу (например, создание процесса, сетевое подключение).

• Rules: Правила для включения или исключения конкретных событий (например, логировать только подозрительные процессы).

• Hashing: Включение хэширования файлов для проверки целостности.

Пример минимальной (и, наверное, самое бесполезной) конфигурации:

<Sysmon schemaversion="4.81">
  <EventFiltering>
    <ProcessCreate onmatch="exclude"/> <!-- Исключить все события создания процессов -->
    <NetworkConnect onmatch="include"> <!-- Включить только сетевые подключения -->
      <DestinationPort>443</DestinationPort> <!-- Логировать только HTTPS -->
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

---

Рекомендации по фильтрации событий и настройке

Как и любая настройка логирования, конфигурирувание Sysmon - это баланс между детализацией и производительностью.

• Начните с базовой конфигурации и постепенно добавляйте правила.

• Регулярно пересматривайте конфигурацию, чтобы исключить избыточные правила.

• Многие предлагают избавиться от событий сетевых коннектов или логировать только запуск подозрительных процессов. Делайте это очень осознанно. Лучше исключить известные шумные вещи (системные процессы и коннекты от GoogleChrome на 443 порт). Потому что заранее сложно предположить, как будет действовать атакующий.

В интернете очень много статей по настройкам логирования, и многие из авторов предлагают сразу избавиться от событий сетевых соединений. Да, они самые шумные в большинстве своем не приносят много пользы. Они становятся проблемой, когда идет борьба за EPS.

Но сетевые соединения - это очень важная часть Detection Engineering и Threat Hunting. Без них вы потеряете все взаимодействия с управляющими серверами, обнаружение горизонтального перемещения, сканирования и даже некоторые атаки на повышение привилегий.

И нет, netflow полностью не заменит, так как там отсутствует информация о процессах.

---

Дополнительные материалы и примеры конфигураций

1. Официальная документация:

   • Документация Sysmon от Microsoft
   • Руководство по конфигурации Sysmon
2. Примеры конфигураций:

   • SwiftOnSecurity/Sysmon-Config — популярная конфигурация с подробными комментариями.
   • Olaf Hartong/Sysmon-Modular — модульная конфигурация для разных сценариев.

Способы обхода Sysmon

Sysmon — мощный инструмент для мониторинга и обнаружения угроз, но злоумышленники, обнаружив его, могут попытаться обойти или отключить. В этом разделе мы рассмотрим, как установить его более скрытно, и как защититься от попыток обхода. Или хотя бы обнаружить их.

Признаки, по которым атакующие могут обнаружить Sysmon

• Процессы: Поиск процессов sysmon.exe или sysmon64.exe с помощью утилит, таких как tasklist или Get-Process.

• Службы: Служба Sysmon или Sysmon64 может быть обнаружена через sc query или Get-Service.

• Драйверы: Драйвер SysmonDrv.sys может быть найден через driverquery или анализ загруженных драйверов.

• Файлы на диске: Файлы Sysmon обычно находятся в C:\Windows\System32 или C:\Windows\Sysmon.

• Журналы событий: Злоумышленники могут проверить журнал событий Windows на наличие логов Sysmon (например, Microsoft-Windows-Sysmon/Operational).

Как установить Sysmon более скрытно

• Переименование файлов и служб:

  • Переименуйте sysmon.exe и SysmonDrv.sys в менее подозрительные имена (например, svchosthelper.exe).

  • Измените имя службы Sysmon через реестр или утилиту sc.

• Использование случайных путей: Установите Sysmon в нестандартную директорию (например, C:\ProgramData\Microsoft\Helpers).

Способы обхода Sysmon и их обнаружение

• Отключение Sysmon:

  • Метод: Остановка службы через sc stop Sysmon или выгрузка драйвера через fltmc unload SysmonDrv.

  • Обнаружение: Мониторинг событий остановки служб (Event ID 7036) и запуск утилиты fltmc.

• Удаление Sysmon:

  • Метод: Удаление файлов и служб Sysmon.

  • Обнаружение: Мониторинг изменений в системных файлах и реестре (Event ID 11, 12 в Sysmon).

Событие Event ID 255 — это важный источник информации о состоянии Sysmon. Оно помогает аналитикам SOC обнаруживать ошибки конфигурации, попытки обхода и аномалии в работе Sysmon.

• Манипуляции с конфигурацией:

  • Метод: Изменение конфигурационного файла Sysmon (XML) для исключения логирования.

  • Обнаружение: Мониторинг изменений в конфигурации (Event ID 16 в Sysmon). Можно сравнивать хеш-сумму нового конфигурационного файла с вашим, который вы используете в инфраструктуре и алертить на отличия.

Еще атакующие могут не только заменять конфигурацию на свою, но и искать слабые места в вашей, чтобы остаться незамеченными. Например, запускать процессы из директорий, которые добавлены вами в исключение логирования.

И настройте мониторинг источников (обычно эту функция есть по умолчанию в SIEM-системах), это позволит быстро обнаруживать, если с узла перестанут поступать логи Sysmon. Только исключите Event ID 255 из мониторинга. Ошибка ≠ корректное логирование.