Microsoft, Sysmon 15’i korumalı bir işleme dönüştürerek ve yürütülebilir dosyalar oluşturulduğunda günlüğe kaydetmek için yeni ‘FileExecutableDetected’ seçeneğini ekleyerek yayımladı.
Sysmon’a (veya Sistem Monitörü’ne) aşina olmayanlar için, kötü amaçlı/şüpheli etkinliği izleyip engelleyebilen ve olayları Windows Olay Günlüğüne günlüğe kaydedebilen ücretsiz bir Microsoft Sysinternals aracıdır.
Varsayılan olarak Sysmon, yeni süreç oluşturma ve süreçlerin sonlandırılması gibi temel olayları izler. Ancak, dosya silme, Windows pano değişiklikleri ve dosyaların parçalanmasını algılama ve engelleme gibi çeşitli davranışları izlemenizi sağlayan gelişmiş yapılandırma dosyaları oluşturmak mümkündür.
Kullanıcılar, komut satırında sysmon -s komutunu çalıştırarak görüntülenebilen Sysmon şemasındaki yönergelerin tam listesini bulabilir.
Dün Microsoft, iki yeni özellik içeren Sysmon 15.0’ı piyasaya sürdü – programın korumalı bir işleme dönüştürülerek sağlamlaştırılması ve izlenen sistemde yürütülebilir dosyaların ne zaman oluşturulduğunu algılama yeteneği.
Sysmon artık korumalı bir işlemdir
Sysmon genellikle kötü niyetli davranışları tespit etmek için kullanıldığından, yazılımı kurcalamak veya yazılımı devre dışı bırakmak tehdit aktörlerinin çıkarınadır.
Bu sürümle Microsoft, kötü amaçlı kodun sürece eklenmesini önlemek için Sysmon.exe yürütülebilir dosyasını korumalı bir işleme dönüştürdü.
Bu özellikle ilgili bir Microsoft makalesinde “Windows 8.1’de, kötü amaçlı yazılımdan koruma kullanıcı modu hizmetlerinin korumalı bir hizmet olarak başlatılmasına izin vermek için yeni bir korumalı hizmet kavramı tanıtıldı” diye açıklıyor.
“Hizmet korumalı olarak başlatıldıktan sonra, Windows yalnızca güvenilir kodun korumalı hizmete yüklenmesine izin vermek için kod bütünlüğünü kullanır. Windows ayrıca bu süreçleri kod enjeksiyonundan ve yönetici süreçlerinden gelen diğer saldırılardan korur.”
Sysmon başlatıldıktan sonra, Process Explorer’ı kullanarak ve aşağıda gösterildiği gibi Güvenlik özelliklerini inceleyerek korumalı bir işlem olduğunu görebilirsiniz.
Process Explorer’ı temel alan Sysmon, Elastic tarafından bu makalede ayrıntılı olarak açıklanan bir PPL işlemi (PROTECTED_ANTIMALWARE_LIGHT) olarak çalışmaktadır.
Yeni yürütülebilir dosyaları algılama
System 15.0 ayrıca Sysmon şemasını, izlenen cihazda yürütülebilir dosyaların oluşturulmasını algılamak için ‘FileExecutableDetected’ yapılandırma seçeneğini içeren 4.90 sürümüne yükseltir.
Örneğin, C:\ProgramData\ ve C:\Users\ klasörleri altında oluşturulan yeni yürütülebilir dosyaları algılamak üzere yeni FileExecutableDetected yönergesini kullanmak için aşağıdaki yapılandırma dosyasını kullanabilirsiniz:
MD5,SHA256 C:\ProgramData\ C:\Users\
Sysmon’u başlatmak ve onu yukarıdaki yapılandırma dosyasını kullanmaya yönlendirmek için, sysmon -i
komutunu girin ve yapılandırma dosyasının adını iletin.
Örneğimizde, yapılandırma dosyasının adı sysmon.confbu nedenle Sysmon’u başlatmak için bir İdari Komut İsteminden aşağıdaki komutu kullanırdık:
sysmon -i sysmon.conf
Sysmon başlatıldıktan sonra sürücüsünü yükleyecek ve arka planda sessizce veri toplayacaktır.
Tüm Sysmon olayları şuraya kaydedilecek:Uygulamalar ve Hizmet Günlükleri/Microsoft/Windows/Sysmon/Operational‘ Olay Görüntüleyicide.
FileExecutableDetected özelliği etkinleştirildiğinde, C:\ProgramData veya C:\Users\ klasörü (ve alt klasörlerinden herhangi biri) altında yeni bir yürütülebilir dosya oluşturulduğunda, Sysmon bir yürütülebilir dosya oluşturur ve bir kuralla eşleşir, Sysmon Dosyayı açın ve Olay Görüntüleyici’de ‘Olay 29, Dosya Yürütülebilir Dosya Algılandı’ girişi oluşturun.
Oluşturulan Olay Günlüğü girişleri, aşağıda açıklanan pek çok değerli bilgi içerecektir:
- UtcTime: Olayın algılandığı saat.
- İşlem Kimliği: Yürütülebilir dosyayı oluşturmaya çalışan işlemin PID’si.
- kullanıcı: Dosyayı oluşturan işlemle ilişkili kullanıcı.
- resim: Dosyayı oluşturan programın dosya adı.
- Hedef Dosyaadı: Oluşturulan yürütülebilir dosya. Not: Testlerimizde dosya her zaman geçici bir dosya adı altında görüntülendi.
- Doğramak: Oluşturulan dosyanın karması. Görüntülenen karmalar, HashAlgorithms yapılandırma ayarınıza bağlı olacaktır.
Bu yeni özelliği kullanma hakkında daha fazla bilgi ve yaratıcı ipuçları için Olaf Hartong’un Sysmon’un bu yeni sürümü hakkındaki mükemmel yazısını okumanız şiddetle tavsiye edilir.
Bilinen kötü amaçlı yazılım veya bilgisayar korsanlığı aracı yürütülebilir dosyalarının ne zaman oluşturulduğunu algılamak için bu özelliği kullanan önceden hazırlanmış bir Sysmon yapılandırma dosyası isteyenler için, güvenlik araştırmacısı Florian Roth’un Sysmon yapılandırmasını kullanabilirsiniz.
Sysmon hakkında daha fazla bilgi edinin
Sysmon, kuruluşunuzun ihtiyaçlarını karşılayan yapılandırma dosyaları oluşturmanıza izin veren tonlarca yönergeye sahip gelişmiş bir ağ izleme aracıdır.
Programın karmaşıklığından dolayı, çeşitli yönergelerin nasıl çalıştığını görmek için Sysmon belgelerini okumanız ve yapılandırma seçenekleriyle oynamanız şiddetle tavsiye edilir.
Ne yazık ki Sysmon, kullanıcıların özellikleri test etmek ve olay günlüğüne hangi olayların yazıldığını görmek için deneme yanılma yapmasını gerektiren, iyi belgelenmiş bir program değildir.
İyi haber şu ki, Sysmon yanlış yapılandırılmış bir yapılandırma dosyası yüklemeyecektir, bu nedenle Sysmon’u yüklerken “Yapılandırma dosyası doğrulandı” mesajı görürseniz, en azından doğru yolda olduğunuzu bilirsiniz.
Olaf Hartong’un Sysmon hakkındaki blog yazılarını da okumalısınız, çünkü o yeni özellikleri çıktıkça belgeliyor.
Son olarak yöneticiler, yönergelerin kötü amaçlı yazılımları engellemek için nasıl kullanılabileceğini görmek için Florian Roth ve SwiftOnSecurity’den önceden hazırlanmış Sysmon yapılandırma dosyalarını kullanabilir veya okuyabilir.