當前很難在網絡中探測攻擊者橫向滲透，其中原因有很難獲取必要的日志和區別正常與惡意行為。本篇文章介紹通過部署Sysmon并將日志發送到SIEM來探測橫向滲透。

工具：

Sysmon + Splunk light

安裝配置：

sysmon -i -n

本地查看sysmon事件日志，打開事件查看器- Microsoft ?- Windows - Sysmon - Operational。如下圖可以看到sysmon記錄到powershell.exe進程創建：

?

將下列配置寫入inputs.conf文件：

[WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = true

在splunk中查詢當前主機的sysmon日志：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

安裝Splunk插件（Splunk "Add-on for MicrosoftSysmon"

）插件下載地址：https://splunkbase.splunk.com/app/1914/#/overview

下載加壓插件并將插件放到：

C:\ProgramFiles\Splunk\etc\apps

重啟Splunk Light.

然后在Splunk中可以看到Sysmon事件已經導入：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

Sysmon事件ID

在下面的案例中，我們關注如下了兩類事件

?

Event ID 1: Process creation? 進程創建

Event ID 3: Network connection 網絡連接

?

時間ID完整介紹見Sysmon官方文檔：https://technet.microsoft.com/en-us/sysinternals/sysmon

檢測到攻擊者建立了SMB會話：

攻擊者使用了類似的命令建立SMB會話：

net use \\192.168.1.88

在splunk中搜索Sysmon事件，識別出可疑的ＳＭＢ會話（４４５端口）：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"192.168.1.90 445 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

在被攻擊機器上面執行下面的命令，看到攻擊者建立的SMB會話：

netstat nao | find"ESTABLISHED"

然后通過分析當前的Windows事件日志，辨別進程的創建/終止，網絡連接的建立/銷毀來區別正常與異常的SMB會話。

探測攻擊者使用PowerShell進行橫向滲透

PowerShell初始化 Windows RemoteManagement (WinRM) 的時候會通過5985和5986端口。在這個例子中，攻擊者在被攻擊機器上面遠程執行腳本，或者連接了受害者機器。

在Splunk中，我們可以通過下面的Sysmon事件來辨識出 惡意的行為，我們可以攻擊者使用WinRM

遠程連接了被攻擊機器的5896端口：

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"5985 OR 5986 | table _time, EventCode, EventDescription, host, SourceIp,src_port, User, DestinationIp, DestinationPort, Image, ProcessID, Protocol

我們可以看到受害者機器上面WinRM Remote PowerShell 進程（wsmprovhost.exe）啟動了ping.exe和systeminfo.exe這兩個進程，而且我們可以看到執行的命令參數。

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"wsmprovhost.exe | table _time, EventCode, EventDescription, host, Image,ProcessID, ParentProcessId, CommandLine

上面的案例經常會發生在大家的網絡環境中，有時候攻擊者會使用原生的系統工具來使隱藏惡意行為，所以熟悉自己網絡環境中的正常行為非常重要。

?

?

原文：?<http://www.incidentresponderblog.com/2016/09/detecting-lateral-movement-using-sysmon.html>?

相關文章：

Syslog+NXlog 簡單的windows安全監控部署

tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

轉載于:https://www.cnblogs.com/xiaoxiaoleo/p/6343403.html

總結

以上是生活随笔為你收集整理的使用Sysmon和Splunk探测网络环境中横向渗透的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。