chinese直男口爆体育生外卖, 99久久er热在这里只有精品99, 又色又爽又黄18禁美女裸身无遮挡, gogogo高清免费观看日本电视,私密按摩师高清版在线,人妻视频毛茸茸,91论坛 兴趣闲谈,欧美 亚洲 精品 8区,国产精品久久久久精品免费

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

藍(lán)隊(duì)技術(shù)——Sysmon識(shí)別檢測(cè)宏病毒

jf_73420541 ? 來源:jf_73420541 ? 作者:jf_73420541 ? 2024-11-18 14:58 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

前言

在不斷變化的網(wǎng)絡(luò)安全環(huán)境中,提前防范威脅是非常重要的。本文將以 Microsoft Office 宏病毒釣魚為例,介紹如何使用 Sysmon 來獲取和分析 Windows 系統(tǒng)日志,揭示隱藏的惡意或異常活動(dòng),了解入侵者和惡意軟件如何在網(wǎng)絡(luò)上運(yùn)行。


Sysmon

Sysmon(系統(tǒng)監(jiān)視器)是一項(xiàng) Windows 系統(tǒng)服務(wù),用以監(jiān)視系統(tǒng)活動(dòng)并將其記錄到 Windows 事件日志中。它提供有關(guān)進(jìn)程創(chuàng)建、進(jìn)程篡改、管道連接、注冊(cè)表更改等29種類型事件的詳細(xì)信息,可以作為 SIEM 代理的一個(gè)重要探針。


Sysmon 的安裝和卸載相當(dāng)簡(jiǎn)潔,以管理員身份在命令提示符中執(zhí)行下列命令即可,無需重啟電腦。

sysmon64 -accepteula -i c:windowsconfig.xml  # 指定配置文件安裝          

安裝后事件日志以 xml 格式(可使用 EvtxeCmd.exe 工具轉(zhuǎn)換為 JSON 格式更利于批量分析處理)存儲(chǔ)在中,可通過事件查看器查看詳細(xì)數(shù)據(jù)。剛安裝好 Sysmon 后,就能觀察到許多事件,從詳細(xì)信息里可以簡(jiǎn)單看出事件是以進(jìn)程為單位,以配置文件作為規(guī)則進(jìn)行記錄的。日志中包含進(jìn)程中創(chuàng)建的進(jìn)程及完整命令、進(jìn)程映像文件的哈希、記錄驅(qū)動(dòng)程序或 DLL 的加載、記錄磁盤和卷的讀取訪問、文件變更等詳細(xì)數(shù)據(jù)。事件與事件之間可以根據(jù)父子進(jìn)程關(guān)系、執(zhí)行命令的鏡像文件或進(jìn)程 ID 進(jìn)行關(guān)聯(lián)。


默認(rèn)的配置文件生成的日志非常多,不利于觀察分析。筆者在網(wǎng)上找到了他人分享的 Sysmon 配置文件,可以過濾掉大量無用事件。當(dāng)然,個(gè)人實(shí)際使用時(shí)還要根據(jù)主機(jī)環(huán)境和待檢測(cè)的場(chǎng)景進(jìn)行額外的適配工作,還可以基于事件ID進(jìn)一步過濾,只留下比較關(guān)注的日志信息。


wKgaomc65WCAKiruAAH8WQH1JQk246.png

wKgZomc65WWAHOzPAADxs_30kd4517.png

宏病毒


宏即指令集,是指將多個(gè)連續(xù)操作指令合并為單個(gè)指令并執(zhí)行的功能。宏通常用于自動(dòng)化和簡(jiǎn)化復(fù)雜的任務(wù),可以通過簡(jiǎn)單的指令來執(zhí)行一系列復(fù)雜的操作。


如果黑客在宏中嵌入了惡意代碼,這樣的宏就被稱為宏病毒。大部分宏病毒都針對(duì) Microsoft Office 等 Windows 平臺(tái)下的文檔。這是因?yàn)?Microsoft Office 在 Windows 操作系統(tǒng)上是非常普遍和常用的辦公軟件套件,支持宏功能,并且用戶廣泛使用 Office 文檔進(jìn)行日常工作。因此,黑客往往會(huì)選擇針對(duì)這些常見的文檔格式編寫宏病毒,以便更容易地傳播惡意代碼。

示例1

Sub AutoOpen()          

wKgaomc65WyAaWS6AADSLj7Sikw566.png

示例2

Private Sub Workbook_Open()          

wKgaomc65XKAKLlwAAGRiuCvjFI215.png

支持宏的常用文件包括:

Microsoft Word文檔(.doc .docm .docx .dot .dotm等)          

當(dāng)前 Microsoft Office 版本默認(rèn)禁止了宏的自動(dòng)運(yùn)行,除非用戶手動(dòng)啟用,這顯著降低了宏病毒的感染率?,F(xiàn)代防病毒軟件和郵件網(wǎng)關(guān)通常也能夠檢測(cè)并阻止含有惡意宏的文件。


盡管防護(hù)措施增強(qiáng),宏病毒仍在使用,特別是在針對(duì)特定組織或個(gè)人的定向攻擊(如釣魚攻擊)中。攻擊者會(huì)誘導(dǎo)用戶啟用宏以執(zhí)行惡意代碼。例如,通過社會(huì)工程手段,攻擊者可能聲稱啟用宏是查看文檔內(nèi)容所必需的?;蚴窃谂f版 Office 或未更新的系統(tǒng)中,宏病毒能夠輕易地發(fā)揮作用。本文以宏病毒攻擊為例,介紹如何使用 Sysmon 識(shí)別和分析 Windows 操作系統(tǒng)上的惡意活動(dòng)。


檢測(cè)分析


基于 Office 宏病毒攻擊,攻擊者可能采取各式各樣的利用方式,當(dāng)然最直接的是釣魚。本文我們使用 Office 宏文件進(jìn)行釣魚測(cè)試,釣魚文件可以基于工具 msfconsole 生成,同時(shí) Kali 上使用reverse_tcp 等待反連。這一部分不詳細(xì)贅述,讓我們直接來看 Sysmon 的日志記錄。


Sysmon 在這一過程中記錄的日志是比較多的,和 Office 宏文件釣魚直接相關(guān)的存在以下兩個(gè)事件:


1.創(chuàng)建進(jìn)程

2624號(hào)(PID)進(jìn)程創(chuàng)建了7336號(hào)進(jìn)程。在(Microsoft Word應(yīng)用程序)打開時(shí)創(chuàng)建了(宏中定義的隨機(jī)名稱)作為子進(jìn)程。這顯示W(wǎng)ord文檔中的宏功能被觸發(fā),導(dǎo)致執(zhí)行了外部程序或腳本。


wKgZomc65XqAebrzAADH6Ew7Ydc156.png

2.網(wǎng)絡(luò)連接

7336號(hào)進(jìn)程中執(zhí)行了 TCP 網(wǎng)絡(luò)連接,訪問192.168.21.129的4444端口。這表明實(shí)際命令得到執(zhí)行,靶機(jī)主動(dòng)回連,遠(yuǎn)控成功執(zhí)行,192.168.21.129主機(jī)獲得了本機(jī)的shell。


wKgZomc65X6ANH3iAAC-fyP9aLY257.png

至此,分析結(jié)束。


總結(jié)

本次實(shí)驗(yàn)中, Sysmon 對(duì)于 Windows 事件的記錄是比較完整的,提供了一個(gè)可靠的進(jìn)程行為日志和一個(gè)可用的主機(jī)溯源方法。不過也能看出其中存在兩個(gè)問題,一是 Sysmon 產(chǎn)生的日志量比較大,需要合適的配置文件進(jìn)行日志過濾;二是 Sysmon 本身不具備對(duì)其生成事件的分析能力,需要對(duì)接分析工具或 SIEM 平臺(tái)。

審核編輯 黃宇

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評(píng)論

    相關(guān)推薦
    熱點(diǎn)推薦

    病毒編寫技術(shù)

    病毒編寫技術(shù)
    發(fā)表于 07-01 15:18

    教你識(shí)別不是病毒病毒現(xiàn)象

    教你識(shí)別不是病毒病毒現(xiàn)象區(qū)分真病毒和系統(tǒng)故障的方法文件型病毒會(huì)讓所有程序不能打開.而系統(tǒng)故障通常只讓部分系統(tǒng)功能無法使用。感染
    發(fā)表于 10-10 14:33

    [轉(zhuǎn)帖]利用windows命令來識(shí)別木馬病毒

      windows命令下有很多功能,這些功能在系統(tǒng)中是沒有的。其中最有特色的功能就是對(duì)于木馬病毒識(shí)別,這個(gè)可以在網(wǎng)絡(luò)維護(hù)中對(duì)安全性能起到非常重要的作用,下面中國(guó)易修網(wǎng)就給大家介紹幾個(gè)重要的利用
    發(fā)表于 03-08 16:15

    針對(duì)多態(tài)病毒的反病毒檢測(cè)引擎的研究

    計(jì)算機(jī)病毒嚴(yán)重威脅著計(jì)算機(jī)系統(tǒng)的安全,多態(tài)病毒采用自動(dòng)變形技術(shù)對(duì)抗特征碼檢測(cè),本文介紹了利用虛擬機(jī)技術(shù)
    發(fā)表于 08-18 09:15 ?7次下載

    計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象

    計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象 1、 提示一些不相干的話。 最常見的是提示一些不相干的話,比如打開感染了宏病毒的Word文檔,如果滿足了發(fā)作
    發(fā)表于 06-16 23:20 ?2442次閱讀

    計(jì)算機(jī)病毒檢測(cè)

    計(jì)算機(jī)病毒檢測(cè) 最簡(jiǎn)單的方法是用較新的防病毒軟件對(duì)磁盤進(jìn)行全面的檢測(cè)。如何及早的發(fā)現(xiàn)新病毒首先
    發(fā)表于 06-16 23:24 ?3074次閱讀

    宏病毒

    宏病毒宏(Macro):為避免重復(fù)操作而設(shè)計(jì)的一組命令。在打開文件時(shí),先執(zhí)行“宏”,然后載入文件內(nèi)容。因此如果“宏”帶有病毒,則在編輯文件時(shí)病毒自動(dòng)
    發(fā)表于 06-16 23:34 ?6466次閱讀

    常見的計(jì)算機(jī)病毒

    本視頻主要詳細(xì)介紹了常見的計(jì)算機(jī)病毒,分別是系統(tǒng)病毒、蠕蟲病毒、木馬病毒、黑客病毒、腳本病毒
    的頭像 發(fā)表于 12-27 15:44 ?6.4w次閱讀

    識(shí)別文字的AI也能發(fā)現(xiàn)新冠病毒變異

    MIT科學(xué)家發(fā)現(xiàn)識(shí)別文字的AI也能發(fā)現(xiàn)新冠病毒變異,變異,病毒,新冠病毒,病毒株,抗體
    發(fā)表于 03-02 17:50 ?1115次閱讀

    病毒檢測(cè)儀的儀器特點(diǎn)是怎樣的

    、準(zhǔn)確的定性檢測(cè)。 儀器配套非洲豬瘟病毒核酸快速檢測(cè)試劑盒(熒光RPA法)、非洲豬瘟病毒核酸檢測(cè)試劑盒(實(shí)時(shí)熒光PCR法),可以滿足非洲豬瘟
    發(fā)表于 07-16 15:34 ?1195次閱讀

    豬瘟病毒檢測(cè)儀的特點(diǎn)及技術(shù)參數(shù)

    豬瘟病毒檢測(cè)儀【恒美 HM-PCR】用于運(yùn)行病毒檢測(cè)實(shí)驗(yàn),并對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析;豬瘟病毒檢測(cè)儀【
    發(fā)表于 09-28 11:03 ?374次閱讀

    Versal Premium SysMon:如何在輔助SLR中對(duì)SysMon寄存器進(jìn)行尋址

    要在輔助 SLR 中啟用對(duì) Sysmon 寄存器空間的訪問,須在 CIPS 和 NOC GUI 執(zhí)行多個(gè)步驟
    的頭像 發(fā)表于 07-10 16:09 ?561次閱讀
    Versal Premium <b class='flag-5'>SysMon</b>:如何在輔助SLR中對(duì)<b class='flag-5'>SysMon</b>寄存器進(jìn)行尋址

    圖像檢測(cè)識(shí)別技術(shù)的關(guān)系

    圖像檢測(cè)識(shí)別技術(shù)是計(jì)算機(jī)視覺領(lǐng)域的兩個(gè)重要分支,它們?cè)谠S多應(yīng)用場(chǎng)景中發(fā)揮著關(guān)鍵作用。本文將介紹圖像檢測(cè)識(shí)別
    的頭像 發(fā)表于 07-03 14:43 ?1124次閱讀

    目標(biāo)檢測(cè)識(shí)別技術(shù)的關(guān)系是什么

    目標(biāo)檢測(cè)識(shí)別技術(shù)是計(jì)算機(jī)視覺領(lǐng)域的兩個(gè)重要研究方向,它們之間存在著密切的聯(lián)系和相互依賴的關(guān)系。 一、目標(biāo)檢測(cè)識(shí)別
    的頭像 發(fā)表于 07-17 09:38 ?1286次閱讀

    目標(biāo)檢測(cè)識(shí)別技術(shù)有哪些

    目標(biāo)檢測(cè)識(shí)別技術(shù)是計(jì)算機(jī)視覺領(lǐng)域的重要研究方向,廣泛應(yīng)用于安全監(jiān)控、自動(dòng)駕駛、醫(yī)療診斷、工業(yè)自動(dòng)化等領(lǐng)域。 目標(biāo)檢測(cè)識(shí)別
    的頭像 發(fā)表于 07-17 09:40 ?1346次閱讀