利用SCOM捕獲創建可疑進程的事件
最近,我有幸和在Azure Security Center分析小組工作的Greg Cottingham討論,了解到進程創建事件和利用它來檢查出異常事件。Azure Security Center服務是專門用於檢測安全漏洞並給出相關的建議,已經於今年年初正式投入使用。下面,我將結合一些實際的攻擊樣本,來解釋一下如何使用 SCOM(System Center Operations Manager)捕獲創建可疑進程的事件。
進程創建是Windows系統中相當普遍的事情,如果我執行該操作,則可以生成一個或多個進程,這些進程會持續的保持開放狀態,直到程序運行完成。而且這個過程可以被完整地查看,因為進程創建將在安全事件日誌中生成4688事件,也就是說,在默認設置下,它是被禁用的。Server 2012 R2添加了一個附加功能,通過額外的GPO(組策略)設置,大家可以審核執行的命令行。簡而言之,大家需要通過一些必要的設置,才能來捕捉進程的事件。
在進行捕捉之前,你應該先檢查一下你的系統運行環境,如果你有ArcSight、Splunk、OMS或SCOM等工具收集安全事件,那將再好不過了。還有一個問題就是,通過打開命令行審核,任何可以讀取安全事件的人都可以讀取這些命令行內容,也就是說這些人很有可能讀取你的敏感信息。
用一個簡單的GPO就可以打開:
啟用命令行:
幾分鐘內,4688事件開始顯示在各種事件日誌中。
接下來,我需要確定要查找的內容,這些事件包含一些有用的參數。完整的事件列表可以在下圖中看到:
雖然參數6(新進程名稱)和參數9(命令行)通常包含一些觸發的項目,但是我可以使用SCOM來捕獲到其他諸如用戶名(參數2)的內容。另外,我不想直接使用4688事件的提醒通知,因為這會產生大量的干擾信息,但我可以將其定位到每次應該調查的特定事件中,比如下面這個操作實例:
繞過Windows AppLocker,攻擊者使用javascript或regsvr32命令行工具,來繞過Windows AppLocker安全措施並正常註冊動態鏈接庫(DLLs):
命令行FTP,攻擊者使用命令行下載執行有效載荷:
攻擊者操縱PowerShell窗口位置,然後執行powershell命令,但是操作窗口會被隱藏,這樣用戶就無法看到它了:
在沒有可執行文件的文件夾中執行命令,如果你覺得讀取這個文件夾列表可能要花費很長時間,那下圖就是一些常見的執行文件的位置:
攻擊者在啟動時會添加一個啟動進程的行,不過你要注意,在實際操作時,你可能還需要添加一些「不包含」選項,以避免正常事件的通知提醒:
目前我正在開發包含這些監控器的管理包以及包含其他安全規則和SCOM可以提供的其他安全相關項目。我的主要目標是將捕獲過程中的干擾信息獲降低到最低限度,以便對每個可疑的進程事件進行警告提示。
本文翻譯自https://blogs.technet.microsoft.com/nathangau/2017/04/20/using-scom-to-capture-suspicious-process-creation-events/,如若轉載,請註明原文地址:t利用SCOM捕獲創建可疑進程的事件 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※XcodeGhost到底會不會盜取icloud密碼?
※又遇偽基站釣魚,這一次,我想做個英雄
※是福還是禍?搜索服務商可查詢出所有被黑數據
※NO.21 波折的十二月-年終總結
TAG:信息安全 | PowerShell |