یکی از مهم ترین نکات تو بحث شکار تهدیدات اینه که شما بتونید لاگ رو به بهترین نحو تحلیل کنید و یک تایم لاین از عملکرد اون درست کنید.
به عنوان مثال شما در نظر بگیرید که نفوذگر یک بدافزار رو تو یکی از EndPoint های شما اجرا میکنه. اون بدافزار یک سری فایل رو تغییر میده. بعد چند تا Child از خودش درست میکنه که هرکدوم وظیفه خاصی برعهده دارند.
و ....
تحلیل همه اینا کار نسبتا وقت گیریه.
اما مرکز Cert ژاپن که یه جوری پیشرو توی این زمینه هم هست اومده یه ابزاری نوشته به اسم Sysmonsearch
اگر sysmon رو نصب کرده باشید روی کلاینت هاتون و لاگشو بگیرید میتونید به این راحتی از این ابزار استفاده کنید.
البته ناگفته نمونه که روی ELK راه اندازی میشه.
Link: https://github.com/JPCERTCC/SysmonSearch
به عنوان مثال شما در نظر بگیرید که نفوذگر یک بدافزار رو تو یکی از EndPoint های شما اجرا میکنه. اون بدافزار یک سری فایل رو تغییر میده. بعد چند تا Child از خودش درست میکنه که هرکدوم وظیفه خاصی برعهده دارند.
و ....
تحلیل همه اینا کار نسبتا وقت گیریه.
اما مرکز Cert ژاپن که یه جوری پیشرو توی این زمینه هم هست اومده یه ابزاری نوشته به اسم Sysmonsearch
اگر sysmon رو نصب کرده باشید روی کلاینت هاتون و لاگشو بگیرید میتونید به این راحتی از این ابزار استفاده کنید.
البته ناگفته نمونه که روی ELK راه اندازی میشه.
Link: https://github.com/JPCERTCC/SysmonSearch
GitHub
GitHub - JPCERTCC/SysmonSearch: Investigate suspicious activity by visualizing Sysmon's event log
Investigate suspicious activity by visualizing Sysmon's event log - JPCERTCC/SysmonSearch
یکی دیگه از مهم ترین بحثا در حال حاضر اینه که ببینیم کاربرامون کجا و چجوری لاگین کردن.
همونطور که مستحضرید ما چند نوع لاگین دارم.
۱-interactive :
تو این نوع لاگین کاربر به صورت فیزیکی پشت سیستم میشینه
البته اگر کاربر از طریق کنسول ESXI هم لاگین کنه همین نوع محسوب میشه.
۲-Netowrk login:
همونطور که از اسمش پیداس این نوع لاگین زمانی اتفاق میوفته که ما از طریق سرویس های توی شبکه لاگین کنیم
مثلا smb. حالا این smb کجا استفاده میشه؟ توی ابزاری مثل psexec که این روزا بین red team ها خیلی طرفدار داره
۳-batch:
این نوع لاگین به گفته خود ماکروسافت موقعی استفاده میشه که از scheduled task استفاده بشه
۴-Service
این لاگین زمانی استفاده میشه که شما سرویسی بخواد عملیات احراز هویت رو انجام بده.
۵-unlock
این لاگین کی استفاده میشه؟
موقعی که کاربر سیستمشو unlock کنه
۶-Network Cleartext:
که خب همینجوری که از اسمش پیداس موقعیه که کاربر پسورد رو به صورت clear text وارد کنه و وارد شبکه بشه.
باید یکم بیشتر به این نوع لاگین توجه کرد
۷-New credential:
بعضا شاید براتون پیش اومده باشه که برنامه ای رو Run as admin کرده باشید
موقعی که اینکارو بکنید این نوع لاگین اتفاق میوفته
۸-Remote interactive
که خب فکرمیکنم همه اشنا باشید با این نوع لاگین. برای زمانیه که کاربری از سرویس rdp استفاده میکنه. توی مباحث threat hunting میتونه خیلی کمک کننده باشه.
۹-Cached credential:
خیلی وقتا ادمین ها موقع ریموت زدن تیک remmember رو میزنند تا هر دفعه نیاز نباشه پسورد رو وارد کنند. که خب از اینجا میشه متوجه این قضیه شد. که بعضا میتونه خطر افرین باشه!!!
حالا تحلیل همه اینا با حجم کاربر زیاد یا حتی متوسط قطعا کار راحتی نیست.
چیکار میتونیم بکنیم؟
بازم اینجا مرکز Cert ژاپن که دیگه قبلا هم بهش اشاره کردیم اومده یه ابزاری رو طراحی کرده که همه اینها رو انالیز میکنه و یک Time line از لاگین های مختلف کاربر درست میکنه که میتونه کمک خیلی زیادی برای تشخیص نفوذ
به ما بکنه
https://github.com/JPCERTCC/LogonTracer
همونطور که مستحضرید ما چند نوع لاگین دارم.
۱-interactive :
تو این نوع لاگین کاربر به صورت فیزیکی پشت سیستم میشینه
البته اگر کاربر از طریق کنسول ESXI هم لاگین کنه همین نوع محسوب میشه.
۲-Netowrk login:
همونطور که از اسمش پیداس این نوع لاگین زمانی اتفاق میوفته که ما از طریق سرویس های توی شبکه لاگین کنیم
مثلا smb. حالا این smb کجا استفاده میشه؟ توی ابزاری مثل psexec که این روزا بین red team ها خیلی طرفدار داره
۳-batch:
این نوع لاگین به گفته خود ماکروسافت موقعی استفاده میشه که از scheduled task استفاده بشه
۴-Service
این لاگین زمانی استفاده میشه که شما سرویسی بخواد عملیات احراز هویت رو انجام بده.
۵-unlock
این لاگین کی استفاده میشه؟
موقعی که کاربر سیستمشو unlock کنه
۶-Network Cleartext:
که خب همینجوری که از اسمش پیداس موقعیه که کاربر پسورد رو به صورت clear text وارد کنه و وارد شبکه بشه.
باید یکم بیشتر به این نوع لاگین توجه کرد
۷-New credential:
بعضا شاید براتون پیش اومده باشه که برنامه ای رو Run as admin کرده باشید
موقعی که اینکارو بکنید این نوع لاگین اتفاق میوفته
۸-Remote interactive
که خب فکرمیکنم همه اشنا باشید با این نوع لاگین. برای زمانیه که کاربری از سرویس rdp استفاده میکنه. توی مباحث threat hunting میتونه خیلی کمک کننده باشه.
۹-Cached credential:
خیلی وقتا ادمین ها موقع ریموت زدن تیک remmember رو میزنند تا هر دفعه نیاز نباشه پسورد رو وارد کنند. که خب از اینجا میشه متوجه این قضیه شد. که بعضا میتونه خطر افرین باشه!!!
حالا تحلیل همه اینا با حجم کاربر زیاد یا حتی متوسط قطعا کار راحتی نیست.
چیکار میتونیم بکنیم؟
بازم اینجا مرکز Cert ژاپن که دیگه قبلا هم بهش اشاره کردیم اومده یه ابزاری رو طراحی کرده که همه اینها رو انالیز میکنه و یک Time line از لاگین های مختلف کاربر درست میکنه که میتونه کمک خیلی زیادی برای تشخیص نفوذ
به ما بکنه
https://github.com/JPCERTCC/LogonTracer
GitHub
GitHub - JPCERTCC/LogonTracer: Investigate malicious Windows logon by visualizing and analyzing Windows event log
Investigate malicious Windows logon by visualizing and analyzing Windows event log - JPCERTCC/LogonTracer
Hypersec
Photo
از چه نوع دستگاه هایی چه لاگ هایی باید جمع آوری کرد و به دنبال چه تهدیداتی باید بود (بخش دوم)
در جدیدترین فعالیت انجام شده در پروژه Mordor، (پروژه آماده سازی لاگ ها و دیتاست مورد نیاز جهت تست زیرساخت امنیتی سازمان ها و Use Case های یک SIEM ) داده های مربوط به تهدید پیشرفته موسوم به APT3 با تلاش اعضای پروژه مذکور گردآوری شده و متخصصان امنیتی بدون نیاز به شبیه سازی چالش برانگیز و هزینه بر تهدید APT3، میتوانند از لاگ های آن استفاده کرده و زیرساخت سازمان خود را محک بزنند. به بیان ساده تر، بدون اینکه این تهدید را شبیه سازی کنند و تنها با ارسال لاگ های این تهدید، می توان میزان آمادگی زیرساخت امنیتی شبکه در برابر وقوع چنین تهدیدی را سنجید.
این دیتا ست رو می تونید از طریق لینک زیر دانلود کنید.
https://github.com/Cyb3rWard0g/mordor/tree/master/large_datasets/apt3
این دیتا ست رو می تونید از طریق لینک زیر دانلود کنید.
https://github.com/Cyb3rWard0g/mordor/tree/master/large_datasets/apt3
دیتاست تهدید پیشرفته APT3 رو (علاوه بر لینک فوق) می تونید مستقیما از همین جا هم دانلود کنید.
👇👇
👇👇
🔎🔎یه نکته درباره SYSMON:
قطعا خیلی از دوستان با sysmon اشنایی دارند و خیلی از مباحث مانیتورینگ سیستم عامل رو به وسیله sysmon انجام میدن.
همونجوری که خودتون میدونید sysmon قابل کانفیگه
یعنی یه فایل xml در کنارشه که تنظیمات رو توی اون ذخیره میکنم و بعد سرویس رو نصب میکنیم.
توی این تنظیمات چیه؟ توی فایل xml باید چی بنویسیم؟
توی این فایل میایم میگیم چه چیز هایی رو میخوایم برای ما لاگ بگیری.
مثلا process create یا network connection ها.
این Event Log ها ۱۸ تاشو ماکروسافت به صورت رسمی منتشر کرده اما ایا فقط همین ۱۸ تاس؟
جواب منفیه
ما ۳ تا Event دیگه هم داریم که مربوط به wmi هست.
به چه دردی میخوره؟
میتونیم Query های WMI که تو شبکه میخوره رو رهگیری کنیم.
رهگیری wmi چه چیزایی به ما میده؟
تشخیص persist
تشخیص اجرای دستور از راه دور
تشخیص جمع اوری اطلاعات از راه دور
و...
پس حواسمون باشه از این به بعد Event ID های 19,20,21 رو هم بگیریم
با ارزوی موفقیت
قطعا خیلی از دوستان با sysmon اشنایی دارند و خیلی از مباحث مانیتورینگ سیستم عامل رو به وسیله sysmon انجام میدن.
همونجوری که خودتون میدونید sysmon قابل کانفیگه
یعنی یه فایل xml در کنارشه که تنظیمات رو توی اون ذخیره میکنم و بعد سرویس رو نصب میکنیم.
توی این تنظیمات چیه؟ توی فایل xml باید چی بنویسیم؟
توی این فایل میایم میگیم چه چیز هایی رو میخوایم برای ما لاگ بگیری.
مثلا process create یا network connection ها.
این Event Log ها ۱۸ تاشو ماکروسافت به صورت رسمی منتشر کرده اما ایا فقط همین ۱۸ تاس؟
جواب منفیه
ما ۳ تا Event دیگه هم داریم که مربوط به wmi هست.
به چه دردی میخوره؟
میتونیم Query های WMI که تو شبکه میخوره رو رهگیری کنیم.
رهگیری wmi چه چیزایی به ما میده؟
تشخیص persist
تشخیص اجرای دستور از راه دور
تشخیص جمع اوری اطلاعات از راه دور
و...
پس حواسمون باشه از این به بعد Event ID های 19,20,21 رو هم بگیریم
با ارزوی موفقیت
