Опасные вирусы и хакеры часто могут тайно проникнуть в систему и незаметно шпионить за ней. Обнаружить такую атаку можно только с помощью специальных инструментов. Мы представляем один из лучших и как вы можете использовать его, чтобы защитить себя.
На самом деле, ваше антивирусное программное обеспечение должно обнаруживать, блокировать и удалять каждый компьютерный вирус на компьютере. Но, злоумышленникам удаётся перехитрить защитное ПО. В результате враждебный код остаётся незамеченным в системе в течение месяцев или даже лет и обеспечивает злоумышленнику секретный доступ к вашим данным и вашей системе.
В таких случаях отследить вредоносное ПО непросто. Но это возможно, например, путём анализа активных процессов.
Профессиональный инструмент для доступа к системе
Существует профессиональный метод, с помощью которого можно отследить даже самое сложное вредоносное ПО для ПК. С помощью инструмента Microsoft Sysmon вы зарегистрируете все мыслимые процессы в системе и, таким образом, узнаете о коде, выполняющем нежелательные действия.
Sysmon был разработан в 2014 году архитектором программного обеспечения Марком Руссиновичем для обнаружения атак на системы. Он является частью популярного пакета Windows Sysinternals.
Однако, Sysmon не является средством защиты, способным блокировать атаки. Скорее, это средство фиксации в журнале подозрительных действий на компьютере и, тем самым, выявления вредоносного кода.
Одной из трудностей с такими журналами является огромный объем действий, происходящих в обычной Windows. Система постоянно запускает процессы, обращается к данным или базам данных конфигурации, завершает процессы или запрашивает детали в Интернете. Обычно это занимает много времени и требует некоторого опыта, чтобы выявлять подозрительные действия из этой мешанины данных журнала.
В этой статье мы хотим помочь с двумя конкретными примерами.
Как установить Sysmon в системе Windows
Инструмент Sysmon работает как системная служба и не предлагает никаких графических инструкций для пользователя. Он доступен в 32-разрядной (Sysmon.exe) и 64-разрядной (Sysmon64.exe) версиях для Windows. Для установки запустите командную строку с правами администратора.
Для этого щёлкните значок Windows и введите командная строка. Выберите «Запуск от имени администратора» в результатах поиска.
В командной строке переключитесь через команду cd в папку, в которой находятся загруженные файлы Sysmon.
Оттуда запустите эту команду в 64-битных системах:
sysmon64 -i
Если вы запускаете инструмент впервые, вам все равно нужно подтвердить лицензионное соглашение одним щелчком мыши. Однако, это можно подавить с помощью параметра «accepteula»:
sysmon64 -accepteula –i
Теперь Sysmon не только установлен, он уже работает с настройками по умолчанию. Однако, он ещё не регистрируют особенно большое количество действий.
Мы опишем, как изменить это ниже, после того как мы сначала позаботимся о журнале Sysmon.
Как посмотреть журнал Sysmon
Sysmon сохраняет свой журнал в средстве просмотра событий Windows. Средство просмотра событий также используется самой Windows и некоторыми другими инструментами в качестве программы для ведения журнала. Оно не только служит местом для хранения файлов журнала, но также предназначено для помощи в оценке с помощью фильтров и функций поиска. Потому что к большинству больших лог-файлов относится следующее: они представляют собой кладезь информации, но обычно за деревьями не видно леса. Огромный объем записей в журнале затрудняет оценку.
Запустите средство просмотра событий Windows, выбрав «Значок Windows → Инструменты администрирования Windows → Средство просмотра событий» (или выполните поиск на названию Просмотр событий). В левой панели программы перейдите в папку «Журналы приложений и служб → Microsoft → Windows → Sysmon → Operational». Эта папка существует только в том случае, если у вас уже установлен Sysmon.
В средней области вы можете увидеть отдельные записи журнала, отсортированные по дате и времени. Если щелкнуть запись в списке, её содержимое отображается в области ниже. Информация на вкладке Общие длиннее, чем отображается для многих записей. Щелкните в поле и используйте мышь, чтобы просмотреть всю информацию. Если вы запустили Sysmon без какой-либо специальной настройки, в журнале появятся идентификаторы событий с номерами 1 и 5. 1 означает начало нового процесса, а 5 – завершение.
В правой части окна просмотра событий вы увидите область «Действия». Там можно временно остановить запись лога, создать бэкап, выполнить обновление и ещё кое-что.
Следите за размером журнала. Его можно узнать, нажав вместо папки «Operatinal» на «Sysmon». Если позже вы настроите Sysmon для записи как можно большего количества событий, журнал может быстро стать очень большим.
Что означают идентификаторы событий в журнале Sysmon
Чтобы найти интересные записи в журнале Sysmon, нужно знать, что они означают. Только тогда вы cможете, например, специально искать записи, которые показывают вам доступ к Интернету. Посетите веб-сайт Sysmon, чтобы узнать обо всех соответствующих идентификаторах событий.
| Идентификатор события | Описание |
|---|---|
| 1 | Процесс перезапускается. |
| 2 | Процесс изменяет дату создания файла. |
| 3 | Сетевое соединение установлено. |
| 4 | Служба Sysmon изменена. |
| 5 | Процесс завершается. |
| 6 | Загружается драйвер. |
| 7 | Программа запускается. |
| 8 | Процесс мешает другому процессу. |
| 9 | Доступ для чтения в режиме RAW. |
| 10 | Процесс вызывает другой процесс. |
| 11 | Файл создаётся или перезаписывается. |
| 12 | Запись реестра создается или удаляется. |
| 13 | Запись в реестре изменена. |
| 14 | Запись реестра переименована. |
| 15 | Генерируется файловый поток. |
| 16 | Недоступен. |
| 17 | Создается «Именованный канал». |
| 18 | Установлено соединение. |
| 19-21 | Проводятся мероприятия WMI. |
| 22 | Выполняется DNS-запрос. |
| 23 | Файл удален. |
| 255 | Sysmon столкнулся с ошибкой. |
Как настроить системный мониторинг Sysmon
Когда вы запускаете Sysmon с помощью команды sysmon64 -i, инструмент регистрирует только несколько категорий событий.
Однако, вы можете записывать дальнейшие события через файлы конфигурации. Эти файлы с расширением xml являются чисто текстовыми файлами, например config.xml.
Чтобы установить Sysmon с конфигурацией этого файла, используйте эту команду в командной строке:
sysmon64 -i config.xml
Если Sysmon уже установлен, измените его конфигурацию с помощью параметра c:
sysmon64 -c config.xml
Если вы хотите увидеть текущую конфигурацию Sysmon, просто введите:
sysmon64 -c
Вы всегда можете создать конфигурацию по умолчанию с параметром c, за которым следует -. Это приводит к двум знакам минус без пробелов в командной строке:
sysmon64 -c --
Основная проблема при использовании Sysmon заключается в настройке инструмента. Хотя вы могли бы просто позволить Sysmon регистрировать всё, вы получите файл журнала, который настолько велик, что найти то, что вы ищете, станет ещё сложнее.
Если вы всё ещё хотите попробовать, вы можете протестировать этот файл конфигурации. В нём хранится всё, кроме Event ID 22, который был введен после создания файла конфигурации. Однако, полное ведение журнала не рекомендуется. Будет разумнее, если вы исключите все те события, которые, скорее всего, вызваны безобидными процессами.
Ниже вы найдёте два примера конфигураций.
Как регистрировать DNS-запросы через Sysmon
Вредоносный код на ПК рано или поздно установит соединение с Интернетом. Он либо отправит украденную информацию в Интернет, либо получить новый код из Интернета. Бэкдоры также передают данные в Интернет, даже если это только текущий IP-адрес зараженной сети, чтобы злоумышленник мог затем получить доступ к зараженному ПК извне.
С помощью Sysmon вы можете регистрировать большинство обращений к Интернету, поскольку Sysmon отслеживает запросы к DNS-серверам. Таким образом, инструмент регистрирует, когда процесс запрашивает IP-адрес веб-адреса, например, https://dropbox.com.
Чтобы иметь возможность использовать инструмент Sysmon специально для записи DNS-запросов, вам нужен файл конфигурации, который вы указываете при запуске Sysmon или после его активации.
<Sysmon schemaversion="4.21">
<EventFiltering>
<DnsQuery onmatch="exclude">
</DnsQuery>
</EventFiltering>
</Sysmon>
Мы назвали файл журнала dns-lookup.xml. Запустите Sysmon с помощью следующей команды в командной строке с правами администратора:
Sysmon -i dns-lookup.xml
Файл конфигурации dns-lookup.xml должен находиться в той же папке, что и Sysmon, или должен быть указан путь. Теперь Sysmon также будет сохранять DNS-запросы в средстве просмотра событий Windows.
Важно: на производительном ПК запрос DNS будет возвращать большое количество записей. Многие онлайн-инструменты, такие как клиент облачного диска или почтовое приложение, регулярно отправляют DNS-запросы и заполняют журнал.
Примечание. Многие браузеры используют собственный кэш DNS и методы поиска DNS, которые Sysmon не фиксирует. Sysmon лишь частично записывает поведение пользователей браузера в Интернете, но инструмент предназначен не для этого.
Полный мониторинг важных событий
Вы также можете настроить Sysmon так, чтобы инструмент регистрировал все возможные события, указывающие на наличие вредоносного кода или хакерских действий. Разумеется, все безобидные действия также фиксируются с его помощью. Таким образом, файл журнала будет очень большой. Тем не менее, это хорошая отправная точка для поиска неизвестных вредоносных программ в вашей собственной системе.
Эксперт по безопасности Swift on Security предоставил соответствующий файл конфигурации на Github. Он называется Sysmon-Config, имя файла – sysmonconfig-export.xml. Преимущество этого файла в том, что почти все инструкции имеют поясняющие комментарии. Таким образом, это также своего рода руководство, знакомящее вас с возможностями Sysmon.
Запустите Sysmon с помощью следующей команды в командной строке с правами администратора, если Sysmon, файл конфигурации и командная строка находятся в одной папке:
sysmon64 -i sysmonconfig-export.xml
Если Sysmon уже запущен, используйте эту команду для обновления конфигурации:
sysmon64 -c sysmonconfig-export.xml
Как остановить Sysmon и устранить проблемы
Если вы хотите остановить запись журнала Sysmon, вы можете сделать это в средстве просмотра событий. Если вы хотите полностью остановить Sysmon, вы можете сделать это с помощью следующей команды:
sysmon64 -u
После этого записи журнала больше не создаются. Кроме того, Sysmon удаляет все уже созданные журналы. Если вы хотите сохранить их для последующего анализа, вы должны выбрать папку «Работа» в средстве просмотра событий, прежде чем останавливать Sysmon. Теперь вы можете выполнить команду «Сохранить все записи» в разделе «Действия» справа. Там же можно временно остановить журнал через «Отключить журнал».
Примечание. На нашем тестовом компьютере мы наблюдали заикание в видеопотоке после активации Sysmon. Проблема может быть воспроизведена. Однако, это происходило только при потоковой передаче из телевизионных медиатек. Нам не удалось воссоздать проблему на Netflix или Youtube. Если у вас также возникают проблемы с потоковым видео при использовании Sysmon, лучше сначала деактивировать Sysmon. Это можно сделать, как только что описано, с помощью sysmon64 -u.
