重大更新:微软发布具有DNS查询日志记录功能的Sysmon,并修补21个严重安全漏洞...

最新推荐文章于 2023-11-16 13:03:27 发布
最新推荐文章于 2023-11-16 13:03:27 发布
阅读量891 收藏
点赞数

640?wx_fmt=png

微软每月安全更新日一到,总得炸锅,先来看看实用类的安全工具

系统监视器(Sysmon)是一种Windows系统服务和设备驱动程序,一旦安装在系统上,就会在系统重新启动时保持驻留状态,以监视和记录系统活动到Windows事件日志中。

它提供有关进程创建,网络连接,文件创建时间更改等详细信息。

通过使用Windows事件收集或SIEM代理收集它生成的事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在用户网络上运行。

 

需要注意的是,Sysmon不会对其生成的事件进行分析,也不会尝试保护自己免受攻击者攻击,因此仅作为监控工具而存在,允许其监视计算机上的某些活动并将其记录到Windows事件查看器。

 

而就在周二,微软发布了Sysmon 10,并带来了备受期待的DNS查询记录功能。此功能将允许Sysmon用户在受监视的计算机上记录进程所执行的DNS查询。

 

这对于全球安全分析人员和Windows管理人员无疑是一则特大喜讯。

 

下载Sysmon 10可以访问Sysinternal页面或从

https://live.sysinternals.com/sysmon.exe直接下载。下载后,需要通过具有管理员权限的命令行运行程序。

640?wx_fmt=png

下面为启用DNS查询日志记录的基本配置文件示例。如果尚未安装sysmon,则可以使用sysmon.exe -i config.xml安装此配置文件,如果已运行,则使用sysmon.exe-c config.xml安装

640?wx_fmt=png

更多事件过滤可参考下表:

 

640?wx_fmt=png

使用上述配置文件启动Sysmon后,它将开始将DNS查询事件记录到事件查看器中的应用程序和服务日志/Microsof /Windows/Sysmon/Operational

 

640?wx_fmt=png

下面为程序访问Virustotal等网站时执行DNS查询的示例,由此便可以看出,这对于排查本机是否有程序恶意外连具有极大的帮助。

 

640?wx_fmt=png

640?wx_fmt=png

本次版本除了DNS事件外,还新增了ProcessCreate(EventID-1)和ImageLoaded(EventID-7)事件中的OriginalFileName,且EventType也添加至命名管道事件(17和18),同样需要留意。

 

需要深入了解和下载64位Sysmon请移步官方链接

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

 

使用预制的Sysmon配置文件来检测恶意流量和威胁可参考以下github

https://github.com/SwiftOnSecurity/sysmon-config

 

参考链接:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-sysmon-10-with-dns-query-logging-feature/

本月微软补丁日,除了公布sysmon新功能外,还修复了88个安全漏洞,其中21个获得了“严重”评级。

此外,2019年5月的补丁星期二还包括五个0day中的四个的修复,由安全研究员SandboxEscaper曝光。

由于SandboxEscaper仅在上周6月7日星期五公布了有关此漏洞的详细信息,因此未能及时准备第五个0day的修复程序,因此微软没有时间整理并测试补丁。

此外,在本月修补的所有88个漏洞中,没有一个在野外被利用。

640?wx_fmt=png

补丁更新连接:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/253dc509-9a5b-e911-a98e-000d3a33c573

其中,最火的,莫属Windows NTLM认证漏洞CVE-2019-1040

声称最严重危害为:通过利用该漏洞,攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。

该漏洞存在于Windows操作系统中,攻击者利用此漏洞可绕过NTLM MIC的防护机制。

NTLM relay是域环境下的一种攻击手段,针对这种攻击技术Windows采用签名机制进行防护。为了确保 NTLM 协商阶段不会被攻击者篡改, Windows在NTLM身份验证消息中添加了一个附加字段,即MIC,但是利用此漏洞可导致该字段无效,从而绕过MIC防护机制。

640?wx_fmt=png

漏洞详情:

https://blog.preempt.com/security-advisory-critical-vulnerabilities-in-ntlm

最后,还有一个趣闻,谷歌漏洞研究员发现了SymCrypt,即Windows的核心加密库中的可被拒绝服务(DoS)攻击的漏洞,对windows 服务器集群有很大杀伤力。但是并没有出现在本次的漏洞修复中。

640?wx_fmt=png

相关链接:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1804

感谢关注转发点赞

640?wx_fmt=gif

上期看点

扫码加入每日更新的知识星球,打开威胁情报世界大门原价299,现价269

640?wx_fmt=png赞一个续一年,最近身体不太好

blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
导出dns解析记录_如何将Windows Server的DNS记录导出到网页
09-20 3739
导出dns解析记录If you run a Windows Server which takes advantage of the built in DNS Server, you have a nice graphical interface for viewing and managing your DNS records. However, the vast majority of the ...
Sysmon10.0.4.2Sysmontools.rar
04-16
Sysmon10.0.4.2 以及sysmontools SysmonShell 1.6.0.0 SysmonView 3.2.0.0 SysmonBox1.0.0.0 不知道具体用法。
DNS服务器的访问日志
最新发布
weixin_46356409的博客
11-16 1533
DNS服务器的访问日志的目录位置取决于具体使用的DNS服务器软件和操作系统。如果您使用的是其他DNS服务器,请参阅相应的文档以获取正确的配置信息。要配置DNS服务器访问日志,您需要编辑DNS服务器的配置文件。BIND DNS服务器的访问日志记录DNS服务器处理的每个查询请求。文件中记录DNS服务器的访问日志。您可以根据需要调整日志文件的路径、版本数量和大小。只记录error日志,没有访问日志,定位不到具体访问DNS服务器的主机。文件中记录DNS服务器的访问日志。文件中记录DNS服务器的访问日志
Window日志分析
weixin_45116657的博客
10-28 1788
一、Windows事件日志简介 Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志记录的时...
windows如何添加本机dns记录_如何规避Sysmon DNS监控
weixin_39873191的博客
11-23 327
译文声明本文是翻译文章,文章原作者xpnsec,文章来源:http://blog.xpnsec.com 原文地址:https://blog.xpnsec.com/evading-sysmon-dns-monitoring/译文仅供参考,具体内容表达以及含义原文为准0x00 前言Sysmon在最近更新中添加了一个功能,可以记录DNS事件。这一点对防御方非常有用(呼吁SysInternals团队继续免...
Sysmon工具使用
travelnight的博客
02-19 1万+
Sysmon工具使用 一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,失分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序再操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录Sysmon同时具有windows版和linux版。 二、事件记录 参考微软官方文档,Sysmo
关于sysmon的基本使用(1)
热门推荐
qq_34367997的博客
07-05 1万+
sysmon的基本使用(1) 安装 下载地址 : https://download.sysinternals.com/files/Sysmon.zip Install: Sysmon.exe -i <configfile> # 指定配置文件安装 sysmon -accepteula –i -n # 一键安装(使用sha1进行散列的过程映像...
信息安全_数据安全_us-18-Graeber-Subverting-Sysmon-.pdf
08-22
本文主要探讨了如何规避Sysmon(系统监视器)这一安全工具的方法,Sysmon是Microsoft Sysinternals套件的一部分,用于监控系统活动,提高安全性和检测潜在的恶意行为。作者Matt Graeber和Lee Christensen在2018年的...
sysmon-queries:使用 microsoft logparser 解析 sysmon 事件日志文件的查询
06-15
系统查询使用 Microsoft logparser 解析 sysmon 事件日志文件的查询Sysmon 事件格式Sysmon 在 Windows 事件日志查看器中创建事件日志条目,但从列表视图中看不到详细信息。 可以在单个事件详细信息中看到详细信息...
sysmon安装包包含补丁.zip
08-09
KB2533623补丁是微软发布的一个安全更新,主要修复了.NET Framework中的多个安全漏洞。这些漏洞可能允许远程代码执行,攻击者利用这些漏洞可以完全控制受影响的系统,执行任意代码,安装程序,查看、更改或删除数据...
信息安全_数据安全_Threat Hunting via Sysmon.pdf
08-22
信息安全_数据安全_Threat Hunting via Sysmon 信息安全研究 安全架构 安全研究 安全防御 web安全
mysql操作日志记录查询_喜讯:微软发布具有DNS查询日志记录功能Sysmon
weixin_39859988的博客
11-24 127
系统监视器(Sysmon)是一种Windows系统服务和设备驱动程序,一旦安装在系统上,就会在系统重新启动时保持驻留状态,以监视和记录系统活动到Windows事件日志中。它提供有关进程创建,网络连接,文件创建时间更改等详细信息。通过使用Windows事件收集或SIEM代理收集它生成的事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在用户网络上运行。需要注意的是,...
Windows Security Log Events (sysmon , event log ...)
huanongying131的博客
05-07 785
Windows Security Log Events:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx sysmon :https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=...
微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
weixin_33708432的博客
08-22 1085
作者:浪子_三少 Sysmon微软的一款轻量级的系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。经常有安全人员使用这款工具去记录并分析系统进...
微软轻量级监控工具sysmon原理与实现
浪子_三少(邮箱:basketwill@qq.com)
12-26 6965
Sysmon微软的一款轻量级的系统监控工具,被常常用来进行入侵检测分析,它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。经常有安全人员使用这款工具去记录并分析系统进程的活动来识别恶意或者异常活动,下面开始讲解该软件的原理与实现。          下面开始上篇的讲解,ring3实现对网络数据记录以及对驱动返回的数据进行...
DNS开启日志
qq_54181545的博客
06-08 1997
使用rndc querylog开启named的日志功使用rndc querylog开启named的日志功@已经没有该DNS记录的信息了。说明DNS已经把日志输出在了专门的文件了。即named.log。重启你的named进程,以后你的dns相关信息就会出现这个文件里!​ 4)把以上过程做计划任务,每天定时执行。​ 2)统计备份后的日志文件行数。​ 3)在原文件中将相应行数删除。​ 1)复制日志文件备份。
Windows DNS服务通过Powershell管理DNS A/CNAME记录
tiger57的博客
01-31 1442
Windows DNS服务通过Powershell管理DNS A/CNAME记录
dns日志级别 linux,DNS服务之日志系统
weixin_29732787的博客
05-01 1607
1.简单的实现日志功能—打开DNS日志系统只需在主配置文件中添加querylog字段即可;1.1主配置文件:[root@localhost ~]# cat /etc/named.confacl innet_acl {192.168.85.0/24;};acl outnet_acl {122.207.210.0/24;};options {directory "/var/named";allow-...
微软sysmon更新DNS监控:强大的Windows安全工具解析
"微软sysmon是一款由Windows Sysinternals开发的系统监控工具,用于记录和监视Windows系统的活动,尤其在安全领域中应用广泛。sysmon作为系统服务和设备驱动程序运行,持续监控进程创建、网络连接、文件创建时间更改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值