前言

在不斷變化的網(wǎng)絡(luò)安全環(huán)境中，提前防范威脅是非常重要的。本文將以 Microsoft Office 宏病毒釣魚(yú)為例，介紹如何使用 Sysmon 來(lái)獲取和分析 Windows 系統(tǒng)日志，揭示隱藏的惡意或異常活動(dòng)，了解入侵者和惡意軟件如何在網(wǎng)絡(luò)上運(yùn)行。

Sysmon

Sysmon（系統(tǒng)監(jiān)視器）是一項(xiàng) Windows 系統(tǒng)服務(wù)，用以監(jiān)視系統(tǒng)活動(dòng)并將其記錄到 Windows 事件日志中。它提供有關(guān)進(jìn)程創(chuàng)建、進(jìn)程篡改、管道連接、注冊(cè)表更改等29種類(lèi)型事件的詳細(xì)信息，可以作為 SIEM 代理的一個(gè)重要探針。

Sysmon 的安裝和卸載相當(dāng)簡(jiǎn)潔，以管理員身份在命令提示符中執(zhí)行下列命令即可，無(wú)需重啟電腦。

sysmon64 -accepteula -i c:windowsconfig.xml  # 指定配置文件安裝          

安裝后事件日志以 xml 格式（可使用 EvtxeCmd.exe 工具轉(zhuǎn)換為 JSON 格式更利于批量分析處理）存儲(chǔ)在中，可通過(guò)事件查看器查看詳細(xì)數(shù)據(jù)。剛安裝好 Sysmon 后，就能觀察到許多事件，從詳細(xì)信息里可以簡(jiǎn)單看出事件是以進(jìn)程為單位，以配置文件作為規(guī)則進(jìn)行記錄的。日志中包含進(jìn)程中創(chuàng)建的進(jìn)程及完整命令、進(jìn)程映像文件的哈希、記錄驅(qū)動(dòng)程序或 DLL 的加載、記錄磁盤(pán)和卷的讀取訪(fǎng)問(wèn)、文件變更等詳細(xì)數(shù)據(jù)。事件與事件之間可以根據(jù)父子進(jìn)程關(guān)系、執(zhí)行命令的鏡像文件或進(jìn)程 ID 進(jìn)行關(guān)聯(lián)。

默認(rèn)的配置文件生成的日志非常多，不利于觀察分析。筆者在網(wǎng)上找到了他人分享的 Sysmon 配置文件，可以過(guò)濾掉大量無(wú)用事件。當(dāng)然，個(gè)人實(shí)際使用時(shí)還要根據(jù)主機(jī)環(huán)境和待檢測(cè)的場(chǎng)景進(jìn)行額外的適配工作，還可以基于事件ID進(jìn)一步過(guò)濾，只留下比較關(guān)注的日志信息。

宏病毒

宏即指令集，是指將多個(gè)連續(xù)操作指令合并為單個(gè)指令并執(zhí)行的功能。宏通常用于自動(dòng)化和簡(jiǎn)化復(fù)雜的任務(wù)，可以通過(guò)簡(jiǎn)單的指令來(lái)執(zhí)行一系列復(fù)雜的操作。

如果黑客在宏中嵌入了惡意代碼，這樣的宏就被稱(chēng)為宏病毒。大部分宏病毒都針對(duì) Microsoft Office 等 Windows 平臺(tái)下的文檔。這是因?yàn)?Microsoft Office 在 Windows 操作系統(tǒng)上是非常普遍和常用的辦公軟件套件，支持宏功能，并且用戶(hù)廣泛使用 Office 文檔進(jìn)行日常工作。因此，黑客往往會(huì)選擇針對(duì)這些常見(jiàn)的文檔格式編寫(xiě)宏病毒，以便更容易地傳播惡意代碼。

示例1

Sub AutoOpen()          

示例2

Private Sub Workbook_Open()          

支持宏的常用文件包括：

Microsoft Word文檔（.doc .docm .docx .dot .dotm等）          

當(dāng)前 Microsoft Office 版本默認(rèn)禁止了宏的自動(dòng)運(yùn)行，除非用戶(hù)手動(dòng)啟用，這顯著降低了宏病毒的感染率?，F(xiàn)代防病毒軟件和郵件網(wǎng)關(guān)通常也能夠檢測(cè)并阻止含有惡意宏的文件。

盡管防護(hù)措施增強(qiáng)，宏病毒仍在使用，特別是在針對(duì)特定組織或個(gè)人的定向攻擊（如釣魚(yú)攻擊）中。攻擊者會(huì)誘導(dǎo)用戶(hù)啟用宏以執(zhí)行惡意代碼。例如，通過(guò)社會(huì)工程手段，攻擊者可能聲稱(chēng)啟用宏是查看文檔內(nèi)容所必需的?；蚴窃谂f版 Office 或未更新的系統(tǒng)中，宏病毒能夠輕易地發(fā)揮作用。本文以宏病毒攻擊為例，介紹如何使用 Sysmon 識(shí)別和分析 Windows 操作系統(tǒng)上的惡意活動(dòng)。

檢測(cè)分析

基于 Office 宏病毒攻擊，攻擊者可能采取各式各樣的利用方式，當(dāng)然最直接的是釣魚(yú)。本文我們使用 Office 宏文件進(jìn)行釣魚(yú)測(cè)試，釣魚(yú)文件可以基于工具 msfconsole 生成，同時(shí) Kali 上使用reverse_tcp 等待反連。這一部分不詳細(xì)贅述，讓我們直接來(lái)看 Sysmon 的日志記錄。

Sysmon 在這一過(guò)程中記錄的日志是比較多的，和 Office 宏文件釣魚(yú)直接相關(guān)的存在以下兩個(gè)事件：

1.創(chuàng)建進(jìn)程

2624號(hào)（PID）進(jìn)程創(chuàng)建了7336號(hào)進(jìn)程。在（Microsoft Word應(yīng)用程序）打開(kāi)時(shí)創(chuàng)建了（宏中定義的隨機(jī)名稱(chēng)）作為子進(jìn)程。這顯示W(wǎng)ord文檔中的宏功能被觸發(fā)，導(dǎo)致執(zhí)行了外部程序或腳本。

2.網(wǎng)絡(luò)連接

7336號(hào)進(jìn)程中執(zhí)行了 TCP 網(wǎng)絡(luò)連接，訪(fǎng)問(wèn)192.168.21.129的4444端口。這表明實(shí)際命令得到執(zhí)行，靶機(jī)主動(dòng)回連，遠(yuǎn)控成功執(zhí)行，192.168.21.129主機(jī)獲得了本機(jī)的shell。

至此，分析結(jié)束。

總結(jié)

本次實(shí)驗(yàn)中， Sysmon 對(duì)于 Windows 事件的記錄是比較完整的，提供了一個(gè)可靠的進(jìn)程行為日志和一個(gè)可用的主機(jī)溯源方法。不過(guò)也能看出其中存在兩個(gè)問(wèn)題，一是 Sysmon 產(chǎn)生的日志量比較大，需要合適的配置文件進(jìn)行日志過(guò)濾；二是 Sysmon 本身不具備對(duì)其生成事件的分析能力，需要對(duì)接分析工具或 SIEM 平臺(tái)。

審核編輯 黃宇