如何使用Sysmon检测内存攻击?

内存攻击已经成为一个严重的问题,受害者的数量正在快速增加。在您的系统中找出黑客的存在是很困难的,因为黑客永远不会在磁盘上写入文件,这是一种通常的黑客攻击方式。他们使用内存代替,在操作系统的事件日志中留下很少或没有足迹。仅当黑客选择磁盘上的恶意文件时,防病毒软件的好处才有效,但在内存中的情况下,它们没有表现出积极的反应。强烈建议使用 Sysmon 和 Azure 安全中心来解决这个问题。以下是在 Sysmon 的帮助下检测系统中是否存在恶意实体的两种有价值的方法。

如何使用Sysmon检测内存攻击?

在寻找解决方案之前,用户应该了解黑客的策略。该图描绘了黑客用来破坏您的安全墙的最常用方法。

进程注入

黑客通过电子邮件发送 Microsoft Office Word 文档,要求受害者启用宏,然后将恶意代码直接注入 verclsid.exe 进程空间。Verclsid.exe 是一个受信任的 Window 进程,有必要尽早停止入侵活动。

过程干扰

一旦攻击者进入受害者的机器,他就会采取一些措施向受害者隐藏自己的存在。这里我们以 Invoke-Phantom 为例,它使用进程间的 Windows API 调用帮助用户找出与 Windows 事件日志服务相关的线程。完成此过程后,黑客可以轻松地隐藏他在系统中的存在,并且他的活动不会被记录。

如何使用 Sysmon 和 Azure 安全服务检测内存攻击?

用户可以通过收集和分析 Sysmon 事件轻松检测上述攻击。这是一个需要遵循的三个步骤:

安装和配置 Sysmon

上述攻击技术访问一个进程的内存并复制到另一个进程。verclsid.exe 和 svchost.exe 中正在修改内存。Sysmon 可以在您下载并安装后检测到此类攻击,因为它决定了日志记录的级别和数量。使用以下代码进行配置:

示例SysmonConfig.xml:

verclsid.exe

svchost.exe

0x1F0FFF

0x1F1FFF

0x1F2FFF

0x1F3FFF

0x1FFFFF

未知

您可以使用此代码执行安装。sysmon.exe -i 示例SysmonConfig.xml。或者,如果您使用 64 位版本 sysmon64.exe -i exampleSysmonConfig.xml,则使用此代码作为替代。

启用 Sysmon 数据收集

Azure 安全中心密切关注恶意活动并记录特定的事件集。您可以从 Azure 门户查看数据。从 Log Analytics 工作区中选择高级设置,然后转到 Log Analytics 中的数据源,该数据源用于获取多种类型数据的详细信息以进行分析。添加以下代码以收集 Sysmon 事件:Microsoft-Windows-Sysmon/Operational:

定义自定义警报

您可以从警报详细信息中获取客户警报和新警报,并从 ProcessAccess 中获取数据定义。使用以下查询获取每个警报的完整信息。搜索“Microsoft-Windows-Sysmon/Operational” | 其中 EventID==10 。同样,您可以在安全中心查看警报并采取必要的措施。

文章链接: https://www.mfisp.com/7427.html

文章标题:如何使用Sysmon检测内存攻击?

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
IDC云库

HDD与SSD托管以及差异为何如此重要

2022-6-9 12:32:42

IDC云库

Azure分析服务的查询副本横向扩展的好处

2022-6-9 13:56:58

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠