开始使用Sysmon

John Strand //

在本博客中，我将逐步介绍如何设置Sysmon，以便轻松获得比Windows正常（且非常糟糕）日志更好的日志记录效果。基本上，尝试从标准Windows日志中获取信息很像对着窗帘打网球。当然，你可以做出正确的动作，也可以非常努力，但无论如何，效果都会很差。

对于本博客，我们将使用ADHD，你可以从这里获取： https://www.activecountermeasures.com/free-tools/adhd/

我希望在你操作时，我已经将其更新到我在Black Hat 2019上使用的版本。

首先，启动ADHD Linux系统并设置我们的恶意软件和C2监听器： 在你的Linux系统上，请运行以下命令：

1

$ ifconfig

请记下你的以太网适配器的IP地址。

请注意，我的适配器名为ens33，IP地址为192.168.123.128。你的IP地址和适配器名称可能不同。 请记下你的ADHD Linux系统的IP地址：

现在，运行以下命令启动一个简单的后门和后门监听器：

1
2
3
4
5

$ sudo su -
# cd /opt/java-web-attack/
# ./clone.sh https://gmail.com
# ./weaponize.py index.html 192.168.123.128 <<<--- 你的IP会不同！！！！
# ./serve.sh

接下来，回到你的Windows系统，以管理员身份登录。 我们现在需要以管理员身份打开cmd.exe终端。记住，按下Windows键，输入cmd.exe，右键单击它，然后选择“以管理员身份运行”。

请花点时间从这里下载Sysmon： https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

然后，将其解压到C:\Tools目录。

并下载Swift on Security的sysmon配置到Tools目录。 你可以在这里找到它： https://github.com/SwiftOnSecurity/sysmon-config

我建议将其下载为zip文件并解压到Tools目录。

然后，输入以下内容：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

C:\Windows\system32>cd \Tools
C:\Tools>Sysmon64.exe -accepteula -i sysmonconfig-export.xml

System Monitor v10.2 - 系统活动监视器
版权所有 (C) 2014-2019 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

正在加载架构版本为4.00的配置文件
Sysmon架构版本：4.21
配置文件已验证。
Sysmon64已安装。
SysmonDrv已安装。
正在启动SysmonDrv。
SysmonDrv已启动。
正在启动Sysmon64。
Sysmon64已启动。

现在，让我们下载并执行恶意软件。 接下来，浏览到你的Linux系统，下载恶意软件并尝试再次运行它。

现在，我们需要查看此恶意软件的Sysmon事件： 你将选择事件查看器 > 应用程序和服务日志 > Windows > Sysmon > 操作

从顶部开始，向下查看日志。你应该看到你的恶意软件正在执行。

如上所示，日志中的细节水平非常出色。它为我们提供了进程、IP地址、运行者以及哈希值。你一直想要的一切，全部免费……来自微软。

想要通过Active Directory中的组策略实现这一点吗？想要将日志发送到ELK吗？ 查看以下视频：

想要提升技能并直接从John本人那里学习更多吗？你可以查看他的以下课程！ SOC核心技能 主动防御与网络欺骗 通过BHIS和MITRE ATT&CK开始安全之旅 渗透测试入门

提供实时/虚拟和点播形式

网络直播：Windows日志记录、Sysmon和ELK 修复Kali Linux上的EyeWitness安装错误

返回顶部

Black Hills Information Security, Inc. 890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447) © 2008-2024 关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接

搜索网站