1 蓝队技术——Sysmon识别检测宏病毒-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

蓝队技术——Sysmon识别检测宏病毒

jf_73420541 来源:jf_73420541 作者:jf_73420541 2024-11-18 14:58 次阅读

前言

在不断变化的网络安全环境中,提前防范威胁是非常重要的。本文将以 Microsoft Office 宏病毒钓鱼为例,介绍如何使用 Sysmon 来获取和分析 Windows 系统日志,揭示隐藏的恶意或异常活动,了解入侵者和恶意软件如何在网络上运行。


Sysmon

Sysmon(系统监视器)是一项 Windows 系统服务,用以监视系统活动并将其记录到 Windows 事件日志中。它提供有关进程创建、进程篡改、管道连接、注册表更改等29种类型事件的详细信息,可以作为 SIEM 代理的一个重要探针。


Sysmon 的安装和卸载相当简洁,以管理员身份在命令提示符中执行下列命令即可,无需重启电脑

sysmon64 -accepteula -i c:windowsconfig.xml  # 指定配置文件安装          

安装后事件日志以 xml 格式(可使用 EvtxeCmd.exe 工具转换为 JSON 格式更利于批量分析处理)存储在中,可通过事件查看器查看详细数据。刚安装好 Sysmon 后,就能观察到许多事件,从详细信息里可以简单看出事件是以进程为单位,以配置文件作为规则进行记录的。日志中包含进程中创建的进程及完整命令、进程映像文件的哈希、记录驱动程序或 DLL 的加载、记录磁盘和卷的读取访问、文件变更等详细数据。事件与事件之间可以根据父子进程关系、执行命令的镜像文件或进程 ID 进行关联。


默认的配置文件生成的日志非常多,不利于观察分析。笔者在网上找到了他人分享的 Sysmon 配置文件,可以过滤掉大量无用事件。当然,个人实际使用时还要根据主机环境和待检测的场景进行额外的适配工作,还可以基于事件ID进一步过滤,只留下比较关注的日志信息。


wKgaomc65WCAKiruAAH8WQH1JQk246.png

wKgZomc65WWAHOzPAADxs_30kd4517.png

宏病毒


宏即指令集,是指将多个连续操作指令合并为单个指令并执行的功能。宏通常用于自动化和简化复杂的任务,可以通过简单的指令来执行一系列复杂的操作。


如果黑客在宏中嵌入了恶意代码,这样的宏就被称为宏病毒。大部分宏病毒都针对 Microsoft Office 等 Windows 平台下的文档。这是因为 Microsoft Office 在 Windows 操作系统上是非常普遍和常用的办公软件套件,支持宏功能,并且用户广泛使用 Office 文档进行日常工作。因此,黑客往往会选择针对这些常见的文档格式编写宏病毒,以便更容易地传播恶意代码。

示例1

Sub AutoOpen()          

wKgaomc65WyAaWS6AADSLj7Sikw566.png

示例2

Private Sub Workbook_Open()          

wKgaomc65XKAKLlwAAGRiuCvjFI215.png

支持宏的常用文件包括:

Microsoft Word文档(.doc .docm .docx .dot .dotm等)          

当前 Microsoft Office 版本默认禁止了宏的自动运行,除非用户手动启用,这显著降低了宏病毒的感染率。现代防病毒软件和邮件网关通常也能够检测并阻止含有恶意宏的文件。


尽管防护措施增强,宏病毒仍在使用,特别是在针对特定组织或个人的定向攻击(如钓鱼攻击)中。攻击者会诱导用户启用宏以执行恶意代码。例如,通过社会工程手段,攻击者可能声称启用宏是查看文档内容所必需的。或是在旧版 Office 或未更新的系统中,宏病毒能够轻易地发挥作用。本文以宏病毒攻击为例,介绍如何使用 Sysmon 识别和分析 Windows 操作系统上的恶意活动。


检测分析


基于 Office 宏病毒攻击,攻击者可能采取各式各样的利用方式,当然最直接的是钓鱼。本文我们使用 Office 宏文件进行钓鱼测试,钓鱼文件可以基于工具 msfconsole 生成,同时 Kali 上使用reverse_tcp 等待反连。这一部分不详细赘述,让我们直接来看 Sysmon 的日志记录。


Sysmon 在这一过程中记录的日志是比较多的,和 Office 宏文件钓鱼直接相关的存在以下两个事件:


1.创建进程

2624号(PID)进程创建了7336号进程。在(Microsoft Word应用程序)打开时创建了(宏中定义的随机名称)作为子进程。这显示Word文档中的宏功能被触发,导致执行了外部程序或脚本。


wKgZomc65XqAebrzAADH6Ew7Ydc156.png

2.网络连接

7336号进程中执行了 TCP 网络连接,访问192.168.21.129的4444端口。这表明实际命令得到执行,靶机主动回连,远控成功执行,192.168.21.129主机获得了本机的shell。


wKgZomc65X6ANH3iAAC-fyP9aLY257.png

至此,分析结束。


总结

本次实验中, Sysmon 对于 Windows 事件的记录是比较完整的,提供了一个可靠的进程行为日志和一个可用的主机溯源方法。不过也能看出其中存在两个问题,一是 Sysmon 产生的日志量比较大,需要合适的配置文件进行日志过滤;二是 Sysmon 本身不具备对其生成事件的分析能力,需要对接分析工具或 SIEM 平台。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59698
收藏 人收藏

    评论

    相关推荐

    病毒编写技术

    病毒编写技术
    发表于 07-01 15:18

    教你识别不是病毒病毒现象

    教你识别不是病毒病毒现象区分真病毒和系统故障的方法文件型病毒会让所有程序不能打开.而系统故障通常只让部分系统功能无法使用。感染
    发表于 10-10 14:33

    [转帖]利用windows命令来识别木马病毒

      windows命令下有很多功能,这些功能在系统中是没有的。其中最有特色的功能就是对于木马病毒识别,这个可以在网络维护中对安全性能起到非常重要的作用,下面中国易修网就给大家介绍几个重要的利用
    发表于 03-08 16:15

    针对多态病毒的反病毒检测引擎的研究

    计算机病毒严重威胁着计算机系统的安全,多态病毒采用自动变形技术对抗特征码检测,本文介绍了利用虚拟机技术
    发表于 08-18 09:15 7次下载

    计算机病毒的表现现象

    计算机病毒的表现现象 1、 提示一些不相干的话。 最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word文档,如果满足了发作
    发表于 06-16 23:20 2275次阅读

    计算机病毒检测

    计算机病毒检测 最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。如何及早的发现新病毒首先
    发表于 06-16 23:24 2891次阅读

    宏病毒

    宏病毒宏(Macro):为避免重复操作而设计的一组命令。在打开文件时,先执行“宏”,然后载入文件内容。因此如果“宏”带有病毒,则在编辑文件时病毒自动
    发表于 06-16 23:34 6102次阅读

    常见的计算机病毒

    本视频主要详细介绍了常见的计算机病毒,分别是系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒
    的头像 发表于 12-27 15:44 6.3w次阅读

    识别文字的AI也能发现新冠病毒变异

    MIT科学家发现识别文字的AI也能发现新冠病毒变异,变异,病毒,新冠病毒,病毒株,抗体
    发表于 03-02 17:50 892次阅读

    病毒检测仪的仪器特点是怎样的

    、准确的定性检测。 仪器配套非洲猪瘟病毒核酸快速检测试剂盒(荧光RPA法)、非洲猪瘟病毒核酸检测试剂盒(实时荧光PCR法),可以满足非洲猪瘟
    发表于 07-16 15:34 1093次阅读

    猪瘟病毒检测仪的特点及技术参数

    猪瘟病毒检测仪【恒美 HM-PCR】用于运行病毒检测实验,并对实验数据进行分析;猪瘟病毒检测仪【
    发表于 09-28 11:03 284次阅读

    Versal Premium SysMon:如何在辅助SLR中对SysMon寄存器进行寻址

    要在辅助 SLR 中启用对 Sysmon 寄存器空间的访问,须在 CIPS 和 NOC GUI 执行多个步骤
    的头像 发表于 07-10 16:09 318次阅读
    Versal Premium <b class='flag-5'>SysMon</b>:如何在辅助SLR中对<b class='flag-5'>SysMon</b>寄存器进行寻址

    图像检测识别技术的关系

    图像检测识别技术是计算机视觉领域的两个重要分支,它们在许多应用场景中发挥着关键作用。本文将介绍图像检测识别
    的头像 发表于 07-03 14:43 629次阅读

    目标检测识别技术的关系是什么

    目标检测识别技术是计算机视觉领域的两个重要研究方向,它们之间存在着密切的联系和相互依赖的关系。 一、目标检测识别
    的头像 发表于 07-17 09:38 573次阅读

    目标检测识别技术有哪些

    目标检测识别技术是计算机视觉领域的重要研究方向,广泛应用于安全监控、自动驾驶、医疗诊断、工业自动化等领域。 目标检测识别
    的头像 发表于 07-17 09:40 587次阅读