Video prezentacija

Sysmon je dio Windows Sysinternals paketa koji omogućuje skupljanje Sysmon logova. Sysmon logovi daju detaljniji pregled informacija o događajima koje bilježe te omogućuju lakše međusobno povezivanje događaja što im je prednost u odnosu na klasične Windows event logove. Prije analize Sysmon logova potrebno je dobro postaviti konfiguracijske datoteke kako se ne bi skupljali nepotrebni Sysmon logovi što bi usporavalo analizu. Analiza Sysmon logova se radi pretragom event ID-ja te ključnih riječi unutar alata kao što su SIEM sustavi, Event Viewer te PowerShell gdje SIEM sustavi i PowerShell omogućuju lakšu automatizaciju analize logova. Analiza Sysmon logova je važan alat koji koriste računalni forenzičari, plavi timovi i članovi SOC tima kada pokušavaju otkriti kako je napadač ušao u sustav i koje je sve korake napravio do trenutka detekcije.

Ključne riječi: System Monitor, Sysmon logovi, Analiza Sysmon logova, SIEM, Event Viewer, PowerShell, Event ID

Zapisi događaja (event logs) pružaju standardiziran i centraliziran način prikupljanja važnih informacija o promjenama u aplikacijama i operacijskom sustavu, odnosno na jednom mjestu prikupljaju informacije iz više izvora [1]. Bitno je prikupljati zapise događaja jer nam oni omogućuju da njihovom analizom primijetimo anomalije u sustavu koje bi mogle dovesti do potencijalnog incidenta ili ako se incident već dogodio da pregledavanjem logova istražimo kako je napadač ušao u sustav i na koje je sve dijelove sustava utjecao. Također, mogu se koristiti i za debuggiranje ako postoje neke greške u sustavu. Problem je što je takvih zapisa događaja jako puno te je teško odrediti koji od njih su značajni za ono što se trenutno istražuje te kako su međusobno povezani. Na Windows operacijskom sustavu moguće je prikupljati zapise događaja uz pomoć System Monitora (Sysmona) koji skuplja detaljne zapise i omogućuje korelaciju događaja u sustavu.

U ovom seminaru će se predstaviti Sysmon logovi te njihove mogućnosti. Dati će se pregled vrsta Sysmon logova te bitnih značajki tih logova i objasniti različiti načini na koje se ti logovi mogu analizirati. Na kraju je dan i primjer kako analizom Sysmon logova otkriti kako je došlo do incidenta u sustavu.

System Monitor (Sysmon) je Windows servis i upravljački program koji prikuplja zapise događaja i zapisuje ih u Windows Event log. Dio je Windows Sysinternals paketa [2]. Nakon instalacije ostaje prisutan u Windows sustavu i pokreće se rano prilikom pokretanja sustava. Sysmon logovi sadrže detaljne informacije o stvaranju novih procesa, izmjenama vremenskih oznaka datoteka te mrežnim konekcijama. Bitno je napomenuti da Sysmon sam po sebi ne radi analizu logova koje prikuplja već se bavi samo prikupljanjem logova [3]. Najčešće se koristi u kombinaciji sa SIEM (security information and event management) sustavom koji omogućava parsiranje, filtriranje te vizualizaciju prikupljenih logova radi lakše analize i detekcije anomalija ili zlonamjernih aktivnosti.

Primarno je namijenjen organizacijama kao jedno od rješenja za praćenje događaja u sustavu te timovima koji se bave detekcijom i obranom od kibernetičkih napada jer omogućava da analizom Sysmon logova oni otkriju koji od se događaja koje je Sysmon zabilježio odnose na napadača te kako su oni međusobno povezani. Ni na koji način se ne prikriva od napadača [3].

Događaji koje je Sysmon zabilježio se pohranjuju na lokaciji
Applications and Services Logs/Microsoft/Windows/Sysmon/Operational.

Windows Event log je uključen u Windows te ga nije potrebno dodatno instalirati za razliku od Sysmona. Problem s Windows Event logom (Primjer 1) je to što ne pohranjuje informaciju o roditeljskom procesu pa nije moguće uspostaviti hijerarhiju procesa, odnosno odrediti koji proces je pozvao koji kada se rekreiraju koraci napadača što je jedna od velikih prednosti Sysmon logova (Primjer 2). Drugi alati koji imaju mogućnost prikupljanja logova nisu primarno namijenjeni za Windows (Auditd [4]) ili su vrlo resursno zahtjevni zbog dodatnih mogućnosti koje pružaju (Process Monitor [5]) ili nisu besplatni poput Sysmona (Papertrail [6], Sematext Logs [7]).

Creator Subject:
 Security ID:  SYSTEM
 Account Name:  RFSH$
 Account Domain:  LAB
 Logon ID:  0x3E7

Target Subject:
 Security ID:  LAB\rsmith
 Account Name:  rsmith
 Account Domain:  LAB
 Logon ID:  0x2C9D82

Process Information:
 New Process ID:  0x2e0e4
 New Process Name: C:\Windows\System32\RuntimeBroker.exe
 Token Elevation Type: %%1938
 Mandatory Label:  Mandatory Label\Medium Mandatory Level
 Creator Process ID: 0x268
 Creator Process Name: C:\Windows\System32\svchost.exe
 Process Command Line: 

Primjer 1. Primjer podataka koje prikuplja Windows Event log kada je stvoren novi proces [8]

Process Create:
RuleName: - 
UtcTime: 2024-04-28 22:08:22.025
ProcessGuid: {a23eae89-bd56-5903-0000-0010e9d95e00}
ProcessId: 6228
Image: C:\Windows\System32\wbem\WmiPrvSE.exe
FileVersion: 10.0.22621.1 (WinBuild.160101.0800)
Description: WMI Provider Host
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: Wmiprvse.exe
CommandLine: C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
CurrentDirectory: C:\Windows\system32\
User: NT AUTHORITY\NETWORK SERVICE
LogonGuid: {a23eae89-b357-5903-0000-002005eb0700}
LogonId: 0x7EB05
TerminalSessionId: 1
IntegrityLevel: System
Hashes: SHA1=91180ED89976D16353404AC982A422A707F2AE37,MD5=7528CCABACCD5C1748E63E192097472A,SHA256=196CABED59111B6C4BBF78C84A56846D96CBBC4F06935A4FD4E6432EF0AE4083,IMPHASH=144C0DFA3875D7237B37631C52D608CB
ParentProcessGuid: {a23eae89-bd28-5903-0000-00102f345d00}
ParentProcessId: 580
ParentImage: C:\Windows\System32\svchost.exe
ParentCommandLine: C:\Windows\system32\svchost.exe -k DcomLaunch -p
ParentUser: NT AUTHORITY\SYSTEM

Primjer 2. Primjer podataka koje prikuplja Sysmon log kada je stvoren novi proces [9]

Mogućnosti koje Sysmon pruža su bilježenje kada je proces stvoren, naredbu u komandnoj liniji koja ga je stvorila te podatke o trenutačnom procesu i procesu roditelju. Kako bi bili sigurni da se procesi mogu razlikovati i kasnije ispravno povezati, bilježi se i GUID. Bilježi i nekoliko vrsta hasheva izvršne datoteke koja je pokrenuta kada je proces stvoren. Prikuplja podatke o učitavanju upravljačkih programa, DLL datoteka, raw read pristup disku te detektira je li došlo do promjena u vremenskoj oznaci kreiranja datoteke. Ima opciju da se prikupljaju podaci o mrežnim konekcijama. Budući da se pokreće rano prilikom pokretanja Windows sustava može zabilježiti događaje koji su vezani uz malware koji radi u jezgrinom načinu. Moguće je napisati pravila u konfiguracijskim datotekama prema kojima se određeni događaji bilježe ili ne bilježe [3]. Primjerice, možemo definirati da se neki događaji ne bilježe jer ih smatramo normalnim ponašanjem i time smanjujemo ukupnu količinu logova koji se pohranjuju, a samim time i skraćujemo vrijeme potrebno za analizu tih logova .

Sysmon nije uključen po zadanim postavkama već ga je potrebno instalirati. Upute za instalaciju se nalaze na [10]. Potrebno je definirati konfiguracijsku datoteku. Budući da defaultna konfiguracijska datoteka uključuje samo mali opseg pravila, Florian Roth je napravio bolju verziju konfiguracijske datoteke koju se preporučuje koristiti, a dostupna je na [11]. Konfiguracijska datoteka je bitna jer nam omogućava da definiramo koji događaji će se bilježiti, a koji ne kako bi smanjili broj zabilježenih logova što nam kasnije olakšava analizu Sysmon logova. Uglavnom se u konfiguracijskom datotekama isključuje bilježenje određenih događaja koji se smatraju normalnim ponašanjem [12].

Primjer jedne jednostavne konfiguracijske datoteke dan je u nastavku. Ova datoteka prikuplja sve hasheve, upravljačke programe koji ne pripadaju Windowsu ili Microsoftu i mrežne konekcije koje se spajaju na portove 443 ili 80, a ne dolaze od Internet Explorera. Ne bilježi završetke procesa. Više o konfiguracijskim datotekama i načinima na koje se pišu pravila može se pronaći na [13].

<Sysmon schemaversion="4.82">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    <!-- Do not log process termination -->
    <ProcessTerminate onmatch="include" />
    <!-- Log network connection if the destination port equal 443 -->
    <!-- or 80, and process isn't InternetExplorer -->
    <NetworkConnect onmatch="include">
      <DestinationPort>443</DestinationPort>
      <DestinationPort>80</DestinationPort>
    </NetworkConnect>
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplore.exe</Image>
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

Primjer 3. Jednostavna konfiguracijska datoteka [13]

Sysmon razlikuje 29 tipova logova s obzirom na event ID. Tih 29 tipova Sysmon logova prikuplja podatke vezane uz procese, datotečni sustav, mrežu, servise, učitavanje upravljačkih programa i modula u jezgru, pristup memoriji i promjene u Registryju. Slika 1 prikazuje različite informacije koje prikupljaju Sysmon logovi.

Slika 1. Pregled različitih informacija koje prikupljaju Sysmon logovi [14]

Tablica 1 prikazuje kratki pregled što bilježi svaki od 29 event ID-ja Sysmon logova [3].

Tablica 1. Kratki pregled značenja event ID-ja Sysmon logova

Svaki Sysmon event log prikazuje različita polja s prikupljenim informacijama, ovisno o tome koje informacije su bitne za ono što log prikuplja. Detaljan pregled polja koja se bilježe za pojedini event ID dostupan je na [14]. U nastavku je dan primjer polja koje prikuplja Sysmon log s Event ID-jem 2 koji bilježi informacije o promjeni vremena stvaranja datoteke koju je napravio neki proces:

• UtcTime – vrijeme kreiranja događaja u UTC formatu
• ProcessGuid – GUID procesa koji je izmijenio vrijeme stvaranja datoteke
• ProcessId – ID procesa kojeg OS koristi kako bi identificirao proces koji mijenja vrijeme stvaranje datoteke
• Image – file path procesa koji mijenja vrijeme
• TargetFilename – put do datoteke čije je vrijeme izmijenjeno
• CreationUtcTime – novo vrijeme stvaranja datoteke
• PreviousCreationUtcTime – zadnje zabilježeno vrijeme stvaranja datoteke
• User – ime računa koje je stvorilo datoteku

Nakon što razumijemo što su to Sysmon logovi i koje je sve vrste Sysmon logova moguće prikupljati može se krenuti na analizu Sysmon logova. Kako je već spomenuto, Sysmon sam po sebi radi samo prikupljanje logova, ne i njihovu analizu pa ga je potrebno koristiti u kombinaciji s drugim alatima. Najčešće se koristi u kombinaciji sa SIEM sustavom poput Splunka, ali je analiza moguća i s pomoću drugih alata poput Windows Event Viewera te PowerShella. U nastavku će biti prikazano kako se Sysmon logovi mogu analizirati s pomoću SIEM sustava, Windows Event Viewera te PowerShella.

Nakon što Sysmon prikupi logove moguće ih je proslijediti SIEM sustavu poput Splunka gdje se onda prikupljeni logovi analiziraju unutar Splunk konzole. Bitno je napomenuti da će ovdje biti predstavljen samo mali dio mogućnosti koje Splunk nudi. Više informacija o Splunku i kako ga iskoristiti za analizu logova općenito dostupno je na [15]. Prednosti Splunka su što nudi velik broj mogućnosti kada je u pitanju analiza logova te može istovremeno raditi analizu više vrsta logova koji su proslijeđeni Splunk serveru. Nedostatak je to što je to komercijalni alat te zahtijeva određenu infrastrukturu i podešavanja prije nego je moguća analiza Sysmon logova. Slika 2 prikazuje kako izgleda Splunk konzola za analizu logova. Najprije je potrebno upisati Splunk Query prema kojem će se logovi filtrirati kako bismo izdvojili samo one logove koje želimo analizirati. Nakon toga je potrebno odabrati vremenski raspon u kojem želimo primijeniti upit. Splunk će nam nakon toga izlistati Sysmon logove koji odgovaraju zadanom upitu nakon čega možemo pregledavati polja unutar tih upita kako bi saznali korisne informacije te napisali nove upite koji ih koriste ili prilagodili trenutačni upit kako bi smanjili broj logova koje promatramo.

Slika 2. Primjer korištenja Splunka za analizu Sysmon logova [16]

Primjer upita koji će nam vratiti Sysmon logove koji se odnose na novostvorene procese dan je u nastavku. Potrebno je definirati mjesto na kojem se nalaze Sysmon logovi te event ID koji promatramo. Budući da NT AUTHORITY\\SYSTEM stvara veliki broj procesa, logovi koji se odnose na njega neće biti prikazani.

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 NOT User="NT AUTHORITY\\SYSTEM" | stats values(User) as User,values(CommandLine) as CommandLine,values(ProcessId) as ProcessId,values(ParentProcessId) as ParentProcessId values(ParentCommandLine) as ParentCommandLine by LogonGuid

Windows Event Viewer dolazi s Windows operacijskim sustavom te ga nije potrebno dodatno podešavati i konfigurirati kako bi skupljao i nudio mogućnost analize logova. Nakon instalacije Sysmona, logovi će se bilježiti unutar Event Viewera te ih je moguće tamo analizirati. Analiza se najčešće radi filtriranjem logova prema zadanom event ID-ju ili pretragom po ključnim riječima. Slika 3 prikazuje kako izgledaju zabilježeni logovi u Event Vieweru. Budući da je obično zabilježena velika količina logova, potrebno ih je filtrirati ovisno o event ID-ju ili ključnim riječima kako bismo izdvojili samo logove koji su nam zanimljivi te iz kojih želimo izvući informacije potrebne za daljnju analizu. Možemo primijetiti da je ručna analiza logova s pomoću Event Viewera nešto zahtjevnija nego analiza upotrebom Splunka. Puno je jednostavnije pisati upite kojima filtriramo logove nego koristiti prozor za filtriranje koji nudi Event Viewer (Slika 4) te nam Splunk daje puno pregledniji pogled na filtrirane logove.

Slika 3. Sysmon logovi u Event Vieweru [12]

Slika 4. Prozor za filtriranje logova u Event Vieweru [12]

Analiza Sysmon logova s pomoću PowerShella nudi nam mogućnost da automatiziramo analizu Sysmon logova. Ovo predstavlja prednost pred Event Viewerom jer možemo napisati kratke PowerShell skripte koje će nam izdvojiti zanimljive logove koje želimo detaljnije istražiti. Izdvojene logove je onda moguće parsirati upotrebom jednostavnih skripti kako bi izdvojili vrijednosti svakog polja unutar nekog loga. Na kraju je moguće puno jednostavnije pretraživati ključne riječi koje će nas dovesti do logova koji su zabilježili zlonamjerne aktivnosti.

Kako bi došli do Sysmon logova potrebno je koristiti Get-WinEvent cmdlet unutar PowerShella te dodatno filtrirati dohvaćene logove. Primjerice, ako želimo izdvojiti Sysmon logove koji se odnose na kreiranje novih procesa (Event ID 1) i kreiranje novih datoteka (Event ID 11) moguće je napisati sljedeću naredbu u PowerShellu:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

Svi izdvojeni logovi se nalaze u varijabli events odakle se mogu dodatno parsirati i pretraživati kako bi se uočile zlonamjerne aktivnosti u sustavu. Više o tome kako se logovi mogu dalje parsirati te čak i grafički prikazati dostupno je na [17].

Za kraj prikazat ćemo primjer jednog scenarija u kojem se analizom Sysmon logova želi otkriti koja datoteka je omogućila napadaču pristup sustavu. Predstavljeni primjer je dio Blue Team Labs izazova čije detaljno rješavanje je opisano u [18].

Sumnjamo da je napadač preuzeo zlonamjernu datoteku koristeći PowerShell cmdlet pa analizu Sysmon logova započinjemo pretraživanjem ključne riječi PowerShell. Pretragu možemo napraviti unutar PowerShella ili Event Viewera. Primjećujemo da je zabilježeno nekoliko logova u kojima su izvršene sumnjive PowerShell naredbe među kojima je i naredba koja koristi Invoke-Webrequest cmdlet kojim se preuzima datoteka supply.exe s IP adrese 192.168.1.11. Budući da smo zabilježili sumnjivu IP adresu, dalje pretragu nastavljamo tražeći log koji je prvi zabilježio ovu sumnjivu IP adresu kako bismo saznali kada napadač počinje komunicirati sa sustavom.

Pronalazimo Sysmon log prikazan u Primjeru 4 čiji je event ID 15, odnosno radi se o logu koji bilježi stvaranje imenovanog file streama i podatke o njemu jer je poznato da neki malwarei na ovaj način dostavljaju svoje zlonamjerne datoteke. Analizom ovog Sysmon loga primjećujemo da je datoteka updater.hta preuzeta s pomoću chrome.exe. Kreiran je i Zone Identifier koji pomaže operacijskom sustavu odrediti treba li vjerovati ovoj datoteci. Budući da je vrijednost Zone Identifiera postavljena na 3, radi se o datoteci koja je preuzeta s Interneta. Na temelju ove analize možemo zaključiti da je datoteka koja je dala napadaču pristup sustavu datoteka updater.hta.

"Event Data": {
	"Contents": "[ZoneTransfer] ZoneId=3 HostUrl=http://192.168.1.11:6060/updater.hta",
	"CreationUtcTime": "2021-05-07 12:20:20.107",
	"Hash": "MD%=C0DA941513B9A6C0E2375D8C16BCEEEE,SHA256=7E97F3C2733B115878BCA160FC2F0569F6A27D64EEBF4F6ADC580A037468EA19,IMPHASH=00000000000000000000000000000000",
	"Image": "C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe",
	"ProcessGuid": "747F3D96-3086-6095-CB04-000000001D00",
	"ProcessId": 3704,
	"RuleName": "-",
	"TargetFilename": "C:\\Users\\IEUser\\Downloads\\updater.hta:Zone.Identifier",
	"UtcTime": "2021-05-07 12:20:23.219",
},
"System": {
	"Channel": "Microsoft-Windows-Sysmon/Operational",
	"Computer": "MSEDGEWIN10",
	"Correlation": null,
	"EventID": "15",
	"EventRecordID": 1509,
	"Execution": {
		"#attributes": {
			"ProcessID": 4224,
			"ThreadID": 7088
		}
	}
}

Primjer 4. Sysmon log koji je zabilježio prvu komunikaciju sa sumnjive IP adrese [18]

Ovdje je prikazan samo mali dio analize logova, kako bi se saznalo više informacija o napadaču i do kojih dijelova sustava je uspio doći potrebno je nastaviti analizu logova na gore opisan način.

Sysmon logovi pružaju detaljan i centraliziran pregled događaja koji su zabilježeni na računalu. Skupljaju informacije o procesima, datotečnom sustavu, mreži, servisima, memoriji i upravljačkim programima te prate promjene u Registryju. Postoji 29 tipova Sysmon logova s obzirom na event ID koji je zabilježen te svaki tip logova ima bitna polja koja pamte informacije koje omogućavaju donošenje zaključaka što se dogodilo u sustavu i kako nastaviti analizu.

Sysmon sam po sebi ne može raditi analizu logova, već se analiza radi učitavanjem Sysmon logova u SIEM sustave, s pomoću Event Viewera ili PowerShella. Analiza logova se uglavnom radi pretraživanjem event ID-ja te ključnih riječi, a budući da Sysmon log pruža detaljne informacije o zabilježenom događaju na temelju tih informacije se određuje daljnji smjer analize. Analizu je puno jednostavnije provesti u SIEM sustavu ili s pomoću PowerShella jer omogućuju jednostavniju pretragu logova, dok je to nešto nezgrapnije u Event Vieweru.

Bitno je skupljati Sysmon logove i analizirati ih kako bi se mogle pratiti sumnjive aktivnosti u sustavu, spriječiti incidenti i pratiti koje je sve korake napadač poduzeo do trenutka kada je detektiran.

[1] Microsoft, "Event Logging (Event Logging)," 1.7.2021., pristupljeno 27.12.2024.

[2] M. Russinovich, "Sysinternals Suite," Microsoft, 16.12.2024., pristupljeno 27.12.2024.

[3] M. Russinovich i T. Garnier, "Sysmon v15.15," Microsoft, 23.7.2024. , pristupljeno 27.12.2024.

[4] "auditd(8) - Linux man page," die.net, pristupljeno 27.12.2024.

[5] M. Russinovich, "Process Monitor v4.01," Microsoft, 20.6.2024., pristupljeno 27.12.2024.

[6] SolarWinds, "Papertrail," SolarWinds Worldwide, LLC., 2024., pristupljeno 27.12.2024.

[7] sematext, "Cloud log management," Sematext Group, 2024. , pristupljeno 27.12.2024.

[8] Ultimate IT Security, "Windows Security Log Event ID 4688", pristupljeno 2.1.2025.

[9] Ultimate IT Security, "Sysmon Event ID 1", pristupljeno 2.1.2025.

[10] M. Russinovich i T. Garnier, "Sysmon - Usage," Microsoft, 23.7.2024., pristupljeno 27.12.2024.

[11] F. Roth, "sysmon-config - A Sysmon configuration file for everybody to fork," SwiftOnSecurity, 2021., pristupljeno 27.12.2024.

[12] TryHackMe, "Sysmon," TryHackMe, 20.1.2021., pristupljeno 27.12.2024.

[13] M. Russinovich i T. Garnier, "Sysmon - Configuration files," Microsoft, 23.7.2024., pristupljeno 27.12.2024.

[14] MO. Hartong, "sysmon-cheatsheet," 2021., pristupljeno 28.12.2024.

[15] Splunk, "Splunk Enterprise Security," Splunk CISCO company, pristupljeno 28.12.2024.

[16] A.Gill, "Learning The [Defence] Ropes 101 - Splunk Setup & Config," ZeroSec, 23.11.2020., pristupljeno 28.12.2024.

[17] M. Buckbee, "Sysmon Threat Analysis Guide," Varonis, 17.8.2022., pristupljeno 27.12.2024.

[18] M. Dockry, "BTLO-Log Analysis Sysmon," Medium, 12.7.2021., pristupljeno 28.12.2024.