本文讲的是利用SCOM捕获创建可疑进程的事件,最近,我有幸和在Azure Security Center分析小组工作的Greg Cottingham讨论,了解到进程创建事件和利用它来检查出异常事件。Azure Security Center服务是专门用于检测安全漏洞并给出相关的建议,已经于今年年初正式投入使用。下面,我将结合一些实际的攻击样本,来解释一下如何使用 SCOM(System Center Operations Manager)捕获创建可疑进程的事件。
进程创建是Windows系统中相当普遍的事情,如果我执行该操作,则可以生成一个或多个进程,这些进程会持续的保持开放状态,直到程序运行完成。而且这个过程可以被完整地查看,因为进程创建将在安全事件日志中生成4688事件,也就是说,在默认设置下,它是被禁用的。Server 2012 R2添加了一个附加功能,通过额外的GPO(组策略)设置,大家可以审核执行的命令行。简而言之,大家需要通过一些必要的设置,才能来捕捉进程的事件。
在进行捕捉之前,你应该先检查一下你的系统运行环境,如果你有ArcSight、Splunk、OMS或SCOM等工具收集安全事件,那将再好不过了。还有一个问题就是,通过打开命令行审核,任何可以读取安全事件的人都可以读取这些命令行内容,也就是说这些人很有可能读取你的敏感信息。
用一个简单的GPO就可以打开:
启用命令行:
几分钟内,4688事件开始显示在各种事件日志中。
接下来,我需要确定要查找的内容,这些事件包含一些有用的参数。完整的事件列表可以在下图中看到:
虽然参数6(新进程名称)和参数9(命令行)通常包含一些触发的项目,但是我可以使用SCOM来捕获到其他诸如用户名(参数2)的内容。另外,我不想直接使用4688事件的提醒通知,因为这会产生大量的干扰信息,但我可以将其定位到每次应该调查的特定事件中,比如下面这个操作实例:
绕过Windows AppLocker,攻击者使用javascript或regsvr32命令行工具,来绕过Windows AppLocker安全措施并正常注册动态链接库(DLLs):
命令行FTP,攻击者使用命令行下载执行有效载荷:
攻击者操纵PowerShell窗口位置,然后执行powershell命令,但是操作窗口会被隐藏,这样用户就无法看到它了:
在没有可执行文件的文件夹中执行命令,如果你觉得读取这个文件夹列表可能要花费很长时间,那下图就是一些常见的执行文件的位置:
攻击者在启动时会添加一个启动进程的行,不过你要注意,在实际操作时,你可能还需要添加一些“不包含”选项,以避免正常事件的通知提醒:
目前我正在开发包含这些监控器的管理包以及包含其他安全规则和SCOM可以提供的其他安全相关项目。我的主要目标是将捕获过程中的干扰信息获降低到最低限度,以便对每个可疑的进程事件进行警告提示。
原文发布时间为:2017年4月29日
本文作者:xiaohui
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。