前沿
在ATT & CK分析过程中,经常会涉及到进程执行的流程分析,通过常规的工具检查有点低效,听说sysmon可以实现该功能,于是尝试安装看看
sysmon安装
工具下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
下载后放置本地桌面目录,管理员启动cmd切换到本地目录,注册sysmon
sysmon64.exe -i
cmd执行 eventvwr 调用事件查看器
应用程序和服务日志 > Microsoft > Windows > Sysmon > Operational 即为日志处
使用演示
我们公司有款防勒索软件,需要去识别启动应用的来源主体。比如,手工打开cmd,手工的这个动作到底是通过什么进程去启动cmd.exe的? 这个问题我们就可以通过sysmon去监控解决
首先清空当前的日志
手工打开cmd.exe
刷新日志
查看日志可以看到,手工打开cmd.exe的过程正是explorer.exe进行调用
在ATT&CK的战术研究中,我们就可以通过这种日志去判断,非正常操作调用起cmd.exe的进程是否和explorer.exe是一样的。若不一样,我们是不是就可以通过检测这个不同点,判断是不是黑客攻击了呢?具体有兴趣的读者可以实验看看
参考链接
sysmon下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon注册:https://www.sysgeek.cn/sysmon/