入门Sysmon

John Strand //

在本博客中，我将逐步介绍如何设置Sysmon，以轻松获得比Windows标准（且非常糟糕）日志更优质的日志记录。
基本上，尝试从标准Windows日志中获取信息很像对着窗帘打网球。当然，你可以做出正确的动作，也可以非常努力，但无论如何，这都会很糟糕。

对于本博客，我们将使用ADHD，您可以在此处获取：
https://www.activecountermeasures.com/free-tools/adhd/
我希望在您操作时，我已经将其更新到我在Black Hat 2019上使用的版本。

首先，启动ADHD Linux系统并设置我们的恶意软件和C2监听器：
在您的Linux系统上，请运行以下命令：
$ifconfig

请记下您的以太网适配器的IP地址。

请注意，我的适配器名为ens33，IP地址为192.168.123.128。您的IP地址和适配器名称可能不同。
请记下您的ADHD Linux系统的IP地址：

现在，运行以下命令启动一个简单的后门和后门监听器：
$ sudo su -
# cd /opt/java-web-attack/
# ./clone.sh https://gmail.com
# ./weaponize.py index.html 192.168.123.128 <<<--- 您的IP将不同!!!!
# ./serve.sh

接下来，返回您的Windows系统并以管理员身份登录。
我们现在需要以管理员身份打开cmd.exe终端。记住，按下Windows键，输入cmd.exe，右键单击它，然后选择“以管理员身份运行”。

请花点时间从此处下载Sysmon：
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
然后，将其解压到C:\Tools目录。

并下载Swift on Security的sysmon配置到工具目录。
您可以在此处找到它：
https://github.com/SwiftOnSecurity/sysmon-config
我建议将其下载为zip文件并解压到Tools目录。

然后，键入以下内容：
C:\Windows\system32>cd \Tools
C:\Tools>Sysmon64.exe -accepteula -i sysmonconfig-export.xml

系统监视器 v10.2 - 系统活动监视器
版权所有 (C) 2014-2019 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

正在加载架构版本4.00的配置文件
Sysmon架构版本：4.21
配置文件已验证。
Sysmon64已安装。
SysmonDrv已安装。
正在启动SysmonDrv。
SysmonDrv已启动。
正在启动Sysmon64..
Sysmon64已启动。

现在，让我们下载并执行恶意软件。
接下来，浏览到您的Linux系统，下载恶意软件并尝试再次运行它。

现在，我们需要查看此恶意软件的Sysmon事件：
您将选择事件查看器 > 应用程序和服务日志 > Windows > Sysmon > 操作

从顶部开始，向下查看日志。您应该看到您的恶意软件正在执行。

如上所示，日志中的细节水平非常出色。它为我们提供了进程、IP地址、运行者以及哈希值。您一直想要的一切，全部免费…来自Microsoft。

希望通过Active Directory中的组策略实现此功能？想将日志发送到ELK？
查看以下视频：

想要提升技能并直接从John本人那里学习更多？您可以查看以下他的课程！
SOC核心技能
主动防御与网络欺骗
通过BHIS和MITRE ATT&CK入门安全
渗透测试简介

提供实时/虚拟和点播方式

网络直播：Windows日志记录、Sysmon和ELK
修复Kali Linux上的EyeWitness安装错误

返回顶部

Black Hills Information Security, Inc.

890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008
关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接

搜索网站