Networkforensic

Threat hunting

Sysmon forensic tool - SysmonViewer

 06 Januar 2024  - Blog Post # 860

Sysmon forensic
Igennem lang tid har jeg lavet Sysmon configs der er rigtig gode til at finde de typisk ting man leder efter i forbindelse med forensic sager og især når det handler om hvad der sker på en host når malware bliver hentet og afviklet. Det er også i forbindelse med forskellige hacker sager at Sysmon forensic kan være rigtig godt at kunne, da det er en gudlmine af logs.Det seneste jeg har fået implementeret ind i Sysmon er næsten alle LOLBAS teknikker. LOLBAS er vigtig,da især APT-aktører gør meget brug af disse helt almindelig tools for at hoppe rundt i systemer. Så at være god til "LOLBAS hacking" er et must for at hoppe ret uset rundt i Windows miljøer.

Pen-test
Jeg må indrømme at config filen er rigtig godt testet efterhånden og mange Pen-testers der har testet Systemer med Config filen, bliver fundet hver gang, typisk inden de overhovet kommer i gang, ofte fordi de kræver deres egne tools installeret eller bare lagt på et system. Sysmon sammen med netværks sensors krydderet med Windows Event-Logs, så har man et fint overblik over hvad der sker i et Windows miljø. For der er altid et spor at løbe efter...

Default Windows tools
I forbindelse med jeg har lavet Sysmon configs, hvor jeg primært kun benytter de default installeret tools fra Windows, da jeg mener det er vigtigt at kunne bruge de default installeret tools, for at være god til Windows i det hele taget. For det er typisk kun dem man har til sin rådighed når det kommer til stykket. For det er lige så vigtig at lære hvordan ting ser ud når de bruges normalt til når de bliver misbrugt / udnyttet.

SysmonView
Dog vil jeg fremhæve et tool jeg er faldet over der er rigtig godt i forbindelse med Sysmon Forensic i de tilfælde hvor Sysmon ikke er forbundet med et SIEM system eller hvor Sysmon Config filen er meget stor. Sysmon View er lavet af Nader Shalabi og hans tools kan jeg virkelig godt anbefale.

Et lille eksempel på at man via CMD starter Curl og henter en zip og ligger den et sted på systemet.


Der ligger 3 forskellige tools hos Nader Shalabi - Sysmon View, Sysmon Shell og Sysmon Box. Alle sammen kan jeg anbefale......

Happy hunting...

 SNORT
NF IDS Rules

10 Latest Updates

Synology Quickconnect

ThightVNC Faild auth

Trojan Linux/Morila!MTB

RDP Connection from outside

DNS Tunneling

BitCoin Miner c3pool

BitCoin Miner xmrig

Win32/Znyonm

MQTT Bruteforce

MQTT Clear TXT

Download   
 

 Suricata
NF IDS Rules

10 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download