首页 > 其他分享 >【蓝队】Sysmon识别检测宏病毒

【蓝队】Sysmon识别检测宏病毒

时间:2024-10-13 23:22:20浏览次数:7  
标签:Office 宏病毒 蓝队 Sysmon 进程 日志 Microsoft

原创 玄影实验室 权说安全

前言

在不断变化的网络安全环境中,提前防范威胁是非常重要的。
本文将以 Microsoft Office 宏病毒钓鱼为例,介绍如何使用 Sysmon 来获取和分析 Windows 系统日志,揭示隐藏的恶意或异常活动,了解入侵者和恶意软件如何在网络上运行。

Sysmon

Sysmon(系统监视器)是一项 Windows 系统服务,用以监视系统活动并将其记录到 Windows 事件日志中。
它提供有关进程创建、进程篡改、管道连接、注册表更改等29种类型事件的详细信息,可以作为 SIEM 代理的一个重要探针。

Sysmon 的安装和卸载相当简洁,以管理员身份在命令提示符中执行下列命令即可,无需重启电脑。

sysmon64 -accepteula -i c:\windows\config.xml  
# 指定配置文件安装   
sysmon64 -u  
# 卸载

安装后事件日志以 xml 格式(可使用 EvtxeCmd.exe 工具转换为 JSON 格式更利于批量分析处理)存储在 中,可通过事件查看器查看详细数据。刚安装好 Sysmon 后,就能观察到许多事件,从详细信息里可以简单看出事件是以进程为单位,以配置文件作为规则进行记录的。日志中包含进程中创建的进程及完整命令、进程映像文件的哈希、记录驱动程序或 DLL 的加载、记录磁盘和卷的读取访问、文件变更等详细数据。事件与事件之间可以根据父子进程关系、执行命令的镜像文件或进程 ID 进行关联。

默认的配置文件生成的日志非常多,不利于观察分析。笔者在网上找到了他人分享的 Sysmon 配置文件,可以过滤掉大量无用事件。当然,个人实际使用时还要根据主机环境和待检测的场景进行额外的适配工作,还可以基于事件ID进一步过滤,只留下比较关注的日志信息。

宏病毒

宏即指令集,是指将多个连续操作指令合并为单个指令并执行的功能。宏通常用于自动化和简化复杂的任务,可以通过简单的指令来执行一系列复杂的操作。

如果黑客在宏中嵌入了恶意代码,这样的宏就被称为宏病毒。大部分宏病毒都针对 Microsoft Office 等 Windows 平台下的文档。这是因为 Microsoft Office 在 Windows 操作系统上是非常普遍和常用的办公软件套件,支持宏功能,并且用户广泛使用 Office 文档进行日常工作。因此,黑客往往会选择针对这些常见的文档格式编写宏病毒,以便更容易地传播恶意代码。

demo1:

Sub AutoOpen()          
    MsgBox "你的计算机已被感染!"          
End Sub

demo2:

Private Sub Workbook_Open()          
    Shell "calc.exe", vbNormalFocus          
End Sub

支持宏的常用文件包括:

Microsoft Word文档(.doc .docm .docx .dot .dotm等)          
Microsoft Excel表格(.xls .xlsx .xlsm .xlt .xltm .xlam等)          
Microsoft PowerPoint演示文稿(.ppt .pptx .pptm .ppam .pot .potm等)
Microsoft Access数据库文件(.mdb .mde .accdb .accde .accdr等)

当前 Microsoft Office 版本默认禁止了宏的自动运行,除非用户手动启用,这显著降低了宏病毒的感染率。现代防病毒软件和邮件网关通常也能够检测并阻止含有恶意宏的文件。

尽管防护措施增强,宏病毒仍在使用,特别是在针对特定组织或个人的定向攻击(如钓鱼攻击)中。攻击者会诱导用户启用宏以执行恶意代码。例如,通过社会工程手段,攻击者可能声称启用宏是查看文档内容所必需的。或是在旧版 Office 或未更新的系统中,宏病毒能够轻易地发挥作用。本文以宏病毒攻击为例,介绍如何使用 Sysmon 识别和分析 Windows 操作系统上的恶意活动。

检测分析

基于 Office 宏病毒攻击,攻击者可能采取各式各样的利用方式,当然最直接的是钓鱼。本文我们使用 Office 宏文件进行钓鱼测试,钓鱼文件可以基于工具 msfconsole 生成,同时 Kali 上使用reverse_tcp 等待反连。这一部分不详细赘述,让我们直接来看 Sysmon 的日志记录。

Sysmon 在这一过程中记录的日志是比较多的,和 Office 宏文件钓鱼直接相关的存在以下两个事件:

1.创建进程

2624号(PID)进程创建了7336号进程。在(Microsoft Word应用程序)打开时创建了(宏中定义的随机名称)作为子进程。这显示Word文档中的宏功能被触发,导致执行了外部程序或脚本。

2.网络连接

7336号进程中执行了 TCP 网络连接,访问192.168.21.129的4444端口。这表明实际命令得到执行,靶机主动回连,远控成功执行,192.168.21.129主机获得了本机的shell。

至此,分析结束。

总结

本次实验中, Sysmon 对于 Windows 事件的记录是比较完整的,提供了一个可靠的进程行为日志和一个可用的主机溯源方法。不过也能看出其中存在两个问题,一是 Sysmon 产生的日志量比较大,需要合适的配置文件进行日志过滤;二是 Sysmon 本身不具备对其生成事件的分析能力,需要对接分析工具或 SIEM 平台。

参考

标签:Office,宏病毒,蓝队,Sysmon,进程,日志,Microsoft
From: https://www.cnblogs.com/o-O-oO/p/18463218

相关文章

  • 玄机蓝队靶场_应急响应_48:第五章 linux实战-挖矿(未作出)
    参考:https://blog.csdn.net/administratorlws/article/details/139995863有机会会再做一次。一些想法:黑客利用web服务入侵成功站点后,一般除了留下web木马外,还会留有系统后门和病毒比如可能的挖矿病毒。检查web渗透入口的木马,三个方式,第一个是直接从日志里面硬找,从上传的文件......
  • 蓝队自动化应急响应工具(非常详细)零基础入门到精通,收藏这一篇就够了
    最近在工作中遇到了一个挺不错的工具,特别适合我们这些专注于网络安全的技术人员。你知道我们在日常工作中经常需要面对各种安全事件和威胁,有时候真的会感觉自己像在打游击战。不过,有了这个工具,应对安全事件就轻松多了。我最近开始用一个叫做FindAll的工具,它是为蓝队设计的......
  • office宏病毒
    搭建kali,完成cs服务端的搭建进行连接。(1)下载vmware,打开运行。(2)下载kali压缩包并解压,在vmware中打开kali虚拟机。(3)下载cs4.5的压缩包。(4)在kali中解压cs4.5。(5)配置java环境(6)ifconfig查出虚拟机的ip。(7)配置cs服务器。(8)解压主机上的cs压缩包,打开Cobalt_Strike_CN.exe文......
  • 玄机蓝队靶场_应急响应_44:流量分析-蚂蚁爱上树
    分析:1,现在有一段被getshell的流量,需要找出黑客都做了些什么。流量大概可以分成两种,http和tcp。先看http。2,发现蚁剑流量,所以先把蚁剑的执行命令先全部找出来。蚁剑流量过滤:##(过滤请求包)http.request.urimatches"product2.php.*"&&http.request.method=="POST"##(过......
  • 第20天:信息打点-红蓝队自动化项目&资产侦察&企查产权&武器库部署&网络空间
    时间轴:演示案例自动化—武器库部署—F8x自动化—网络空间—AsamF自动化—企查信息—ENScan自动化—综合架构—ARL&Nemo各类红蓝队优秀工具项目集合:参考:https://github.com/guchangan1/All-Defense-Tool本项目集成了全网优秀的开源攻防武器项目,包含信息收集工具(自动......
  • 玄机蓝队靶场_应急响应_03:流量特征分析-蚁剑流量
    感觉拿到流量先自行分析,分析完了再去跟着步骤提示提交flag,这样练习效果比较好。分析:因为包的数量比较少,大多是,只有六对http报文,过滤一下把POST请求的主要内容复制下来:并且自己生成了一下中国蚁剑的shell,发现和样本格式不太一样。我没看出连接密码,不熟悉蚁剑流量,自己生成一......
  • 蓝队新手应该学习的 4 个 SOC 工具(如何掌握这些基本的 SOC 工具及其相关技能。)
    安全运营中心(SOC)分析师依靠各种工具来帮助他们监视他们的域。然而,仅仅依靠工具来完成工作,而未能理解其背后的基本流程和方法,对于分析师来说可能是一个代价高昂的错误。我们发现,近三分之一(29.5%)的专业人士认为事件处理流程和方法是SOC分析师需要掌握的最重要的知识领域:我从......
  • 学习干货小白女友看完这篇文章后,面试工作和护网蓝队初级竟然秒通过!建议收藏
    文章目录前言环境准备思路解析总结==如何入门学习网络安全【黑客】==【----帮助网安学习,以下所有学习资料文末免费领取!----】大纲学习教程CTF比赛视频+题库+答案汇总实战训练营面试刷题资料领取前言本次环境以DVWA靶场(不太安全的网站)及CTF题目(夺旗赛)先对OWASP......
  • 【Linux应急响应—下 】一文解明Linux应急响应(hw蓝队兄弟看这里):主机资源异常如何排查?C
    Linux应急响应重要声明linux应急响应各项资源异常CPU排查内存网络带宽网络连接关闭进程Linux系统日志排查登入验证日志登入失败次数登入成功统计攻击者IP个数攻击次数排列,由高到低中间件日志nginxapachetomcat分析维度:上篇文章在此处:【Linux应急响应—上】一文......
  • 网络安全 HVV蓝队实战之溯源
    一、前言对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程,一个是只溯源到公司,一个是溯源到个人。二、溯源实例2.1IP反查域名2.1.1态势感知发现攻击截图2.1.2对尝......