隐藏的宝藏:ETW的入侵检测(第1部分)

最新推荐文章于 2024-06-13 09:31:44 发布
最新推荐文章于 2024-06-13 09:31:44 发布
阅读量406 收藏 1
点赞数
文章标签: 操作系统 运维
原文链接:https://yq.aliyun.com/articles/219359
版权
本文讲的是 隐藏的宝藏:ETW的入侵检测(第1部分)现如今防御者所面临的信息不对称问题已经越来越凸显,特别是随着内存中的攻击和有针对性的恶意软件的出现,防御者已经不能仅仅依靠Windows默认提供的事件日志来进行防御了,因为攻击者可能会使用进程空当来将其代码隐藏在一个看似良性的进程中,并切Command&Control流量通过DNS路由保持隐藏。

在通过Office 365红队练习我们的事件响应功能后,我们开始研究Windows安全事件日志之外的备用数据源。我们意识到,虽然我们可以看到一个可疑过程,但我们不知道这个进程查询了哪些域,或者发送到端点的数据量有哪些。此外,我们发现PowerShell.exe的实例是一个对手可以执行任意数量的未知命令的黑洞,因此我们需要比安全事件日志所能提供的更多信息。

挑战是什么?

想象一下这种情况:在查看事件日志时,你发现4688 Process Start事件有一个未知可执行文件—bad.exe:

隐藏的宝藏:ETW的入侵检测(第1部分)

不幸的是,当你使用此可疑进程研究机器时,bad.exe已经不再位于磁盘或任何位置。这时候你就会发现仅使用Windows安全事件日志中可用的内容,除了4688 Process Start事件中的上述内容之外,你可以获得的信息非常少。

关于bad.exe的哪些信息在检测和威胁评估中最有用?我们可能主要对以下三个问题感兴趣:

· 谁干的?比如用户名;
· 他们做了什么?比如过程 - 如果使用过程中挖空/注射,这可能会导致出现误导;
· 他们在哪里发送数据?比如目标网络地址和域名;

考虑到这些问题,我们想要了解的信息可能如下所示:

· 进程执行什么DNS查找?
· 该进程连接到哪个IP地址?
· 流程传输了多少数据?
· 过程“指向”哪里?即进程是否与Command&Control基础架构通信?
· 加载了哪些DLL的进程?
· 过程是否在其他进程中创建线程?
· 该进程执行什么WMI操作?
· 进程调用了什么PowerShell函数?

要收集这种类型的数据,你可能需要内核驱动程序或某种hooking机制。幸运的是,Windows提供了现有的数据源,可以帮助我们回答这些题为ETW或Windows事件跟踪的问题。

ETW救援

Windows事件跟踪(ETW)是Windows 2000以后在Windows中可用的跟踪技术。它最初旨在帮助Microsoft工程师调试操作系统,例如性能测量和电源管理跟踪。很多Windows的工程师都会使用ETW进行性能测试和组件跟踪。

ETW可能和你遇到的其他跟踪技术并没有显着差异。一个组件(例如PowerShell)注册一个提供者,它会发出一个或多个类型的事件。每个事件都有一个描述事件有效载荷中包含的数据类型的模式。事件可能包含字符串,整数,浮点数,布尔值,甚至二进制数据。

要使用ETW提供者的事件,用户需要首先创建跟踪会话。每个跟踪会话可以消耗一个或多个提供者。在注册跟踪会话的提供者之后,用户必须注册一个可以处理来自任何提供者的任何事件的回调。当用户准备启用跟踪会话时,很重要的一点是要注意通过启动跟踪会话,用户将调用线程向ETW子系统提供泵送事件。

事件的流程如下图所示:

隐藏的宝藏:ETW的入侵检测(第1部分)

ETW的形状

为了更好地了解什么是ETW事件,我们将使用一个名为Microsoft Message Analyzer的工具。该工具允许你订阅操作系统上可用的ETW跟踪,并在事件进入时检查事件。

以下是注册PowerShell提供程序后Message Analyzer的主窗口:

隐藏的宝藏:ETW的入侵检测(第1部分)

在中心,我们看到一系列的事件与总结:

隐藏的宝藏:ETW的入侵检测(第1部分)

当我们选择其中一个事件时,就像上面突出显示的那些事件,我们在下半部分会得到一个详细的视图:

隐藏的宝藏:ETW的入侵检测(第1部分)

标有“ContextInfo”,“UserData”和“Payload”的前三个项目都是此事件的属性。我们可以看到“类型”列描述了所有这些都是字符串。如果我们选择其中一个属性,我们可以看到该属性的内容:

隐藏的宝藏:ETW的入侵检测(第1部分)

这是一个包含主机应用程序(“powershell.exe”),命令名称(“invoke-mimikatz”)和调用它的用户(“REDMOND  zbrown”)的结构化字符串blob。

每个ETW提供者都可以使用自己独特的模式发送事件。除了唯一的模式,每个事件还有一些标准属性 – EventId,ProcessId,ThreadId,TimeStamp,ProviderId等等。这些属性对于所有ETW事件都是常见的。

如果你想了解更多有关使用Message Analyzer检查ETW事件的信息,可以参阅本指南

ETW 可视性

ETW可以提供对大多数核心Windows子系统的可见性,包括:

· 网络活动
· 流程创建/终止
· 线程创建/终止
· 内存分配
· DLL加载/卸载
· PowerShell方法调用
· DNS解析(缓存和热)
· 防火墙活动
· WMI活动
· WinINet请求/响应头
· 还有更多的...

在Windows 10中,有超过1000个提供者。如果你好奇你的Windows版本上提供哪些提供程序,则可以运行以下命令:

        logman查询提供者> providers.txt

随着所有这些数据成熟,你可以假设我们可以简单地将这些ETW提供者打开,并立即开始从增加的信息中受益。然而,ETW仍然是一个调试流,但也因此输出了真正大量的数据。这就像从消防水带中喝水一样:

隐藏的宝藏:ETW的入侵检测(第1部分)

想象一下,你可以尝试将此数据发送到您的SIEM:

· 每个进程中的每个DLL加载
· 每个进程中的每个线程创建
· 每个进程从每个端点开始

如果我们以原始形式发送数据,可能无法有效地使用数据。要使用这个新的数据源,我们需要一些方法来过滤和/或汇总数据。

在ETW的下一篇博客文章中,我们将讨论如何以编程方式来消耗ETW,过滤投入以及如何对上述我们概述的那些问题进行解答。




原文发布时间为:2017年4月13日
本文作者:Change
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34269583
关注
ETW用户界面UIforETW.zip
07-16
UIforETW 是用于记录和管理 ETW 跟踪的用户界面。它更容易控制,比使用批处理文件和微软 wprui 要好得多。UIforETW 还能解决很多 ETW 跟踪问题(比如修复符号加载问题)并且增加额外的功能,例如 Chrome 进程分类。
隐藏宝藏:使用ETW入侵检测(第1部分
爱我非你莫属的博客
07-16 1087
隐藏宝藏:使用ETW入侵检测(第1部分) 原文链接:https://docs.microsoft.com/zh-cn/archive/blogs/office365security/hidden-treasure-intrusion-detection-with-etw-part-1 当今的捍卫者在信息不对称方面面临越来越大的障碍。随着内存攻击和针对性恶意软件的出现,防御者无法简单地依靠Windows提供的默认事件日志。攻击者可能利用进程挖空在看似良性的进程中隐藏其代码,并通过DNS路由其“命令和控制”
ETW
huanongying131的博客
10-29 689
https://docs.microsoft.com/zh-cn/windows/desktop/ETW/event-tracing-mof-classes
ETW绕过PoC测试1--关闭你的ProcMon.exe
jentle8的博客
08-24 536
ETW 绕过系列1
IIS日志存入数据库之二:ETW
weixin_30239339的博客
10-20 334
在上一篇文章《IIS日志存入数据库之一:ODBC》中,我提到了ODBC方式保存的缺点,即:无法保存响应时间以及接收和响应的字节数。 如果一定要获取响应时间以及接收和响应的字节数的话,就要另想办法了。备选的方法有: (1)寻找有没有现成的IIS日志模块。 (2)重写IIS的日志模块。 (3)在现有的IIS日志模块的基础上进行改造。 下面是对三种备选方法的探索: (1)针对方法...
etw-inspector:ETW检查员
07-22
一种简化 ETW 跟踪分析的工具。 要求(第三方): 和 : svn checkout http://googlemock.googlecode.com/svn/trunk/ third_party/gmock 建造 cd etw-inspector svn checkout ...
projects:ETW跟踪收集和后期处理
04-03
ETW跟踪收集和后期处理目标:演示在Windows上从ETW跟踪收集恶意软件检测功能的功能 该项目包含3个实用程序: TraceCollector实用程序执行给定的可执行文件,直到其终止或预设的超时时间结束为止;该实用程序在执行...
ETW Crimean Khanate Revamp:ETW 克里米亚汗国用新的自定义单位和功能改造-开源
06-01
改进并扩展了 15 多个单位的名单,其中包含 30 多个独特模型,其中包含从 Mount & Blade: With Fire & ... 我声称的唯一功劳是将这些模型改编为 ETW 格式并重新绑定到 ETW 骨架,并总体上使这些模型在 ETW 中工作。
EtwExplorer:查看ETW提供者清单
05-24
Etw资源管理器 查看ETW提供者元数据 Windows事件跟踪( )是Windows操作系统中内置的日志记录工具。 现代提供程序注册了一个清单,该清单描述了他们支持的所有事件及其属性。 经典提供者改为注册MOF。 ETW Explorer...
iis-etw-tracing:IIS 8.5 ETW跟踪
05-15
此示例包含一个简单的TraceEventParser,可以将其与一起使用,以处理由IIS 8.5中的Microsoft-Windows-IIS-Logging提供程序生成的ETW事件。 使用代码 还包括一些有关如何使用它的示例代码。 这是创建实时ETW会话并...
wtrace:Windows的命令行跟踪工具,基于ETW
04-01
跟踪 该项目的主页位于 。 Wtrace [spelled: wɪtreɪs ]是一个命令行工具,用于记录来自操作系统或一组进程的跟踪事件。 Wtrace可以收集文件I / O和注册表操作, TPC / IP连接和RPC调用等内容。 它的目的是使您对系统中正在发生的事情有一些了解。 此外,它具有各种筛选功能,并且还可能在跟踪会话结束时转储统计信息。 由于它只是一个标准的命令行工具,因此您可以将其输出通过管道传输到另一个工具以进行进一步处理。 它可以在Windows 8.1+上运行,并且需要.NET 4.7.2+。 Wtrace只是一个可执行文件wtrace.exe,您可以从下载它。 可用的选项在下面列出。 请检查以了解有关它们的详细信息和一些用法示例。 Usage: wtrace [OPTIONS] [pid|imagename args] Options: -f, --f
php编译好的evalhook文件~
01-04
CTF/php后门分析中经常遇到加密压缩过的PHP文件, <? $O00OO0=urldecode("n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("JE8wTzAwMD0iQk9DWm1LUHF5bkR4QWJmR05FdW90c2pkUlljcmlKTXdWZ0ZVenZYTGthVFNwSWxoZUhRV1dITmZhQ0d5b3RzanBRTFN3WXpyYmx4aERjQXZUT1VQUklpdW1aSmVrbktkcWdNVlhGRUJHczh3TmFWTWNCRE1BVElURTI5emhTUnpoTjEwWEpXTUhUVzBmSlYwZTJWMFFCUDdnU3dyY0pPbWZKRTloSkRhZUtJVENLbElzRXFxZlRJVmZhTWxmUjlNWFNNbWhGVXJPbzRaZlNpMGNkOXFRdHcwY0JqbGVhalpjMmx0Q2Rrd050bHdOVHBJZ05XcmZCaWtmSmdyZ2tqWmMyaTBuQjl6SFRwWm5CNW1oU2lsUU45cVFhRE1YTjVQbkZwVENLbHdOVHBJZ05XTVhTTTBIUDBDTEUwQ2ZTUmFuQjVNQ05oV3VpV0x1azlHUk5BbGdGdzBBTTlvZkpXbGNCd01DTmhBSk5BbGdOQVpPb1BJZlNNb1FhaWJmZFZMSjBmT0tZUkxKb2txQ0tsd05UOHlnSEI2TUhYdXlIQkV4WFh0bEZoM2hvNVZmUzFxUWE0emMyNHllUDBDZlNSYW5CNU1DTmhXdWlXTEtraXdEZEFsZ05oVkFGcHRDS2x3TlQ4eWdIQjZNSFh1eUhYUXZ6QjlNZHJac0Vxa2ZCZnFRYXVyTzBpRXVpOUVFUkRnT29QSU9vNFpjMjFtaFNpWmVvQXFIUDBDZW9ySTVxQlA1cjJ6NTV6ejVRMlJDVDh3TmFETWZhTXpmZEl0dVlNSEowRFdSWWlMdVlpdWROQWxnTkF6ZTJEVmhTWVpPb2s3c0VyWkNUc2FUbnRNbGZKdGE2N01aZnV5ZVAwQ2ZTUmFuQjVNQ05oaUJpRGlLa0RMdVlpdWROQWxnWWlFdWk5RUVSRGdnTjRJTzBSNGhTUnpmTjh0Q0tsd05UOHlnSGFpeFhYOXZ6bkJWK2Q3YnpYUXZ6QjlNZHJac0Vxa2ZCZnFRYXVyTzB3R0trZkx1WWl1ZE5BbGdpV09LTTlZRVJEV0oxV1dSWUlJZVRwdGMyOXpmYU10ZW9BcUhQMENlb3JJNXFCUDVyMno1NXp6NVEyUkNUOHdOYURNZmFNemZkSXR1TVJIUllNd0RSOUVFUkRnT29QSU9vNFpKM08xUXREcVFCdVpPb2s3c0VyWkNUV2dSWTFVNmYyZjVyTlc1cW5GNWV6MjU1eno1UTJSQ1Q4d05UOFpmU1JhbkI1TUNOaGdSWTFVSjFXV1JZSXRlTldFZHU1TERZaXVFUjlFRVJEZ2dONElPMlYwUUJQWk9vazdzRXJaQ1RXWUR1T1JEK0I4SUhCaWxvclpzRXFrZkJmcVFhdXJPMGlFdWk5WUR1T1JEb0FsZ1NmVlFGd01DS2x3TnRPTUFKUnFBYXVyZ1Q0WmMyOW9mZDl1blNNem4xV2d1Tjl1blNNem4xV2d1TjVQbkZwVENLbHdOSTBDc0VyL0dJPT0iO2V2YWwoJz8+Jy4kTzAwTzBPKCRPME9PMDAoJE9PME8wMCgkTzBPMDAwLCRPTzAwMDAqMiksJE9PME8wMCgkTzBPMDAwLCRPTzAwMDAsJE9PMDAwMCksJE9PME8wMCgkTzBPMDAwLDAsJE9PMDAwMCkpKSk7")); ?> 编译环境 ===================================================================== PHP : /usr/bin/php7.2 PHP_SAPI : cli PHP_VERSION : 7.2.9-1 ZEND_VERSION: 3.2.0 PHP_OS : Linux - Linux kali 4.14.0-kali3-amd64 #1 SMP Debian 4.14.17-1kali1 (2018-02-16) x86_64 INI actual : /root/temp/evalhook/tmp-php.ini More .INIs : CWD : /root/temp/evalhook Extra dirs : VALGRIND : Not used ===================================================================== TIME START 2019-01-04 07:46:12 ===================================================================== php -d extension=evalhook.so encoded_script.php 可直接dump大部分加密php文件中eval中的内容
ETW HOOK原理探析
qq_41252520的博客
11-11 1218
关于ETW是什么我就不多说了,可以通过微软的相关文档了解到。据网上得知这项技术最早被披露于2345的驱动中,一位工程师将其代码逆向还原之后大白于天下。随后各大安全厂商相继使用这种技术实现监控系统调用、内存页错误等。它是一个相对于VT来说更稳定,更简单的系统监控方式。调用ZwTraceControlZwTraceControl启用ETW日志(Win8只有NtTraceControlNtTraceControl。
探索创新:Windows 11兼容版ETW Hook技术揭秘与应用
最新发布
gitblog_00069的博客
06-13 477
探索创新:Windows 11兼容版ETW Hook技术揭秘与应用 项目地址:https://gitcode.com/Oxygen1a1/InfinityHook_latest 1、项目介绍 ETW HOOK是一种独特的系统级调试技巧,利用Windows操作系统ETW(Event Tracing for Windows)功能的漏洞,来实现对系统调用的无痕拦截和控制。这一项目旨在提供一种能够兼容最...
探索Google的UIforETW:可视化的事件轨迹窗口工具
gitblog_00069的博客
03-25 545
探索Google的UIforETW:可视化的事件轨迹窗口工具 UIforETWUser interface for recording and managing ETW traces项目地址:https://gitcode.com/gh_mirrors/ui/UIforETW 是由Google开源的一个强大的Windows系统级性能分析工具,它提供了一种直观、易于使用的图形界面,用于查看和解析E...
memset 线程安全_恶意.NET安全攻防(一):使用ETW隐藏你的.NET
weixin_35748962的博客
12-19 276
前言随着目前的防御机制不断加强对于PowerShell的检测功能,攻击者也不断改变他们所使用的战术,并逐渐改用到很少会被监测到的技术,.NET就是其中的一种。随着时间的推移,很多攻击者已经习惯了可以用于后漏洞利用的大量.NET Payload。诸如GhostPack和SharpHound这样的工具套件,已经成为攻击者武器库中的一部分,负责为其提供“动力”的框架,通常会是Cobalt S...
ETW的攻与防
hongduilanjun的博客
09-14 2973
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
.NET 性能测试工具 -- 事件跟踪器(ETW
gnimgnot
12-26 3500
内容预告: Windows内置工具(性能计数器)事件跟踪器(WPT,PerfMoniter,PerfView,自定义ETW)时间分析内存分配分析内存使用量分析其他分析 Event Tracing for Windows(ETW)可以查看很多内核和CLR的性能数据,如下表所示,有几个工具都是基于ETW开发的,后面会详细介绍: Kernel PROC_THREAD Cre
ETW参考资源
weixin_34001430的博客
02-17 217
  Core OS Events in Windows 7, Part 1 Core Instrumentation Events in Windows 7, Part 2 使用 ETW 改善调试和性能优化 VS2010与Win7共舞:ETW自定义程序日志 Event Logging 技术简介 Event Logging Eve...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值