地缘政治网络检测诱饵：使用Microsoft Sentinel进行攻击溯源

Jordan Drysdale //

摘要

当今有大量安全事件管理（SIEM）解决方案可用，但本文将重点介绍Microsoft Sentinel。Sentinel易于部署、日志保留成本低、平台功能强大，即使是大规模数据查询也能极速响应。

攻击溯源既有趣又令人恐惧！你是否曾想知道谁在攻击你的远程桌面协议（RDP）暴露服务？继续阅读，学习这种攻击者讨厌的简单技术！你是否曾想知道谁试图入侵你的Linux安全外壳（SSH）暴露服务？继续阅读，了解为什么地缘政治网络安全从未如此有趣！攻击者讨厌这些策略，因为它们能实时显示组织当前面临的威胁！

本文假设以下条件：

• 你有暴露在公网的服务器资产
• 服务器资产暴露了RDP和SSH服务
• 服务器资产运行Log Analytics代理并连接到Log Analytics（LA）工作区
• 已部署Microsoft Sentinel并连接到LA工作区

或者，你可以将这些超级基础的查询技术应用到自己的互联网暴露服务器。由于只需要事件ID（EID）4624和4625，你也不需要专门的审计策略。基本的SIEM伪逻辑可以是： [从auth_eids获取src_ip，与geoIP.csv比较，按计数排序，输出"col1,col2,col3"]

如果你计划在自己的沙盒中执行以下任务，可以在www.doazlab.com获取快速部署ARM模板。请注意，如果在部署沙盒环境时看到错误，请在我们的GitHub https://github.com/DefensiveOrigins/DO-LAB 提交问题。Microsoft不断更改SKU、产品可用性和映像名称，我们会尽力跟进。

先决条件

首先确保你的VM已连接到Log Analytics（LA）工作区。

连接后，Sentinel应显示日志正在被摄取。

接下来，返回LA工作区（主页 > LA工作区）。使用南北导航窗格转到"代理配置"。在代理配置下，导航到"Syslog"并点击"添加设施"。添加1. authpriv和2. auth设施。更改将自动应用到Linux代理，syslog几乎立即开始流动。

重要部分

Windows日志流动？检查！ Syslog流动？检查！ Sentinel运行？检查！

时间在这种溯源方法中是一个有趣的盟友。在审查这些材料时，每个服务大约需要一小时才能被攻击僵尸网络发现。一旦被识别，混乱真正开始，我们开始看到想要的结果。

这种方法的目标之一是创建自己的威胁情报，到本文结束时，你应该会思考为什么你的威胁情报源不提供这类数据。第一个查询归功于Kent和我在2022年早期应用紫队培训中的一位杰出学生——我们称此为"Pierce的RDP溯源查询"。

访问：https://github.com/DefensiveOrigins/SentinelKQL

将KQL查询粘贴到Sentinel > 日志 > 新查询窗格。该查询依赖于从暴露的Windows系统收集的EID 4624和4625事件的简单解析。如果你没有部署doazlab.com的ARM模板，可能需要在VM上配置额外的日志收集以确保拥有这些事件。

运行此查询，目睹识别互联网上一些最危险和无情的对手的壮举。这些人编写攻击脚本、破门而入、入侵系统、接管账户，并正当地将其入侵升级到他们自己的"二级支持"版本。

快速计算：这在24小时内对两个系统进行了约25,000次猜测。每分钟约9次猜测——而且此查询未考虑EID 4776。如果你真心信任现有的密码策略，无论是8还是10个字符，我还有一个关于入侵的故事要告诉你。

Black Hills InfoSec是一家渗透测试公司。我们以撰写报告为生，以黑客技术为爱好。我们相当擅长密码攻击，通常在时间有限和范围受控的测试中找到恢复一两个账户的方法。这些对手不在乎你的锁定策略，也不在乎你的日志分析能力，更不在乎你为期一周的参与条款。他们不关心你的IR流程，也不是在雷达屏幕下飞行，但是…

大多数企业从未见过这种类型的日志分析——这意味着我们大多数人对这种攻击视而不见。我们面对的是合法且可怕持久对手。我们不断读到关于入侵的报道。我们不断读到关于勒索软件的报道。这些结果展示了太多让我颤抖、夜不能寐的事情。每个暴露在公网的身份验证服务从创建开始大约有一小时的安静时间和和平生活。之后，我们的服务暴露在无尽的攻击流中。

无论如何，让我们回到正题！我们刚刚解析了两个最常见的Windows事件ID，产生了令人大开眼界的结果集。

• 4624：账户成功登录
• 4625：账户登录失败

Randy Franklin Smith的Ultimate Windows Security是我每次处理Windows事件问题的第一站。

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

对我们顶级攻击者在Cisco Talos Intelligence引擎上的快速调查没有告诉我们太多信息。电子邮件声誉评分较差，可能是因为被列入了垃圾邮件监控列表之一。

这些结果在标准威胁情报源的状态上是正常的。但是，要知道，通过这种基本级别的分析，我强烈建议你绝对、100%、毫无疑问地阻止下一张截图中所有来自这些网络的流量。

是的，我知道，我不擅长乐观！下一个！SSH日志是什么样的？ 你还记得我之前提到我们的一位杰出学生吗？我们称下一个为"Pierce的SSH溯源查询"。你可以在这里快速页面搜索找到：https://github.com/DefensiveOrigins/SentinelKQL 搜索"SSH attribution"。

将此查询粘贴到Sentinel > 日志 > 新查询窗格。

该查询查看带有"Failed Password"的Syslog消息，与SSH日志匹配，大致如下： sshd: Failed password for user from IP

一个非常有趣值得注意的是，在过去六个月的研究中，这种差异一直一致。针对暴露RDP服务的攻击主要来自俄罗斯IP段。针对暴露SSH服务的攻击主要来自东南亚。这些是事实。

构建自己的地理热图也很简单。这一步超出了本博客的范围，但可能看起来像下面这样。

想象一下按成功登录排序（你可以这样做），看到一个你根本没有员工的国家？你会作何反应？ 请继续关注我们深入探讨Sentinel更多惊人功能的过程。

我们正在自行出版免费的Infosec杂志PROMPT#。 PROMPT#将包含：

• Infosec文章
• 具有挑战性的谜题
• 基于真实黑客冒险的漫画书
• 涂色比赛
• 额外Backdoors & Breaches顾问卡（仅印刷版）
• 其他内容

你可以在这里查看当前和即将发行的版本：https://www.blackhillsinfosec.com/prompt-zine/