利用SCOM捕獲創建可疑進程的事件

最近，我有幸和在Azure Security Center分析小組工作的Greg Cottingham討論，了解到進程創建事件和利用它來檢查出異常事件。Azure Security Center服務是專門用於檢測安全漏洞並給出相關的建議，已經於今年年初正式投入使用。下面，我將結合一些實際的攻擊樣本，來解釋一下如何使用 SCOM（System Center Operations Manager）捕獲創建可疑進程的事件。

進程創建是Windows系統中相當普遍的事情，如果我執行該操作，則可以生成一個或多個進程，這些進程會持續的保持開放狀態，直到程序運行完成。而且這個過程可以被完整地查看，因為進程創建將在安全事件日誌中生成4688事件，也就是說，在默認設置下，它是被禁用的。Server 2012 R2添加了一個附加功能，通過額外的GPO（組策略）設置，大家可以審核執行的命令行。簡而言之，大家需要通過一些必要的設置，才能來捕捉進程的事件。

在進行捕捉之前，你應該先檢查一下你的系統運行環境，如果你有ArcSight、Splunk、OMS或SCOM等工具收集安全事件，那將再好不過了。還有一個問題就是，通過打開命令行審核，任何可以讀取安全事件的人都可以讀取這些命令行內容，也就是說這些人很有可能讀取你的敏感信息。

用一個簡單的GPO就可以打開：

啟用命令行：

幾分鐘內，4688事件開始顯示在各種事件日誌中。

接下來，我需要確定要查找的內容，這些事件包含一些有用的參數。完整的事件列表可以在下圖中看到：

雖然參數6（新進程名稱）和參數9（命令行）通常包含一些觸發的項目，但是我可以使用SCOM來捕獲到其他諸如用戶名（參數2）的內容。另外，我不想直接使用4688事件的提醒通知，因為這會產生大量的干擾信息，但我可以將其定位到每次應該調查的特定事件中，比如下面這個操作實例：

繞過Windows AppLocker，攻擊者使用javascript或regsvr32命令行工具，來繞過Windows AppLocker安全措施並正常註冊動態鏈接庫（DLLs）：

命令行FTP，攻擊者使用命令行下載執行有效載荷：

攻擊者操縱PowerShell窗口位置，然後執行powershell命令，但是操作窗口會被隱藏，這樣用戶就無法看到它了：

在沒有可執行文件的文件夾中執行命令，如果你覺得讀取這個文件夾列表可能要花費很長時間，那下圖就是一些常見的執行文件的位置：

攻擊者在啟動時會添加一個啟動進程的行，不過你要注意，在實際操作時，你可能還需要添加一些「不包含」選項，以避免正常事件的通知提醒：

目前我正在開發包含這些監控器的管理包以及包含其他安全規則和SCOM可以提供的其他安全相關項目。我的主要目標是將捕獲過程中的干擾信息獲降低到最低限度，以便對每個可疑的進程事件進行警告提示。

本文翻譯自https://blogs.technet.microsoft.com/nathangau/2017/04/20/using-scom-to-capture-suspicious-process-creation-events/，如若轉載，請註明原文地址：t利用SCOM捕獲創建可疑進程的事件 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：