Wie kann man die von Sysmon ermittelten Daten wie ProcessGUIDs, ParentProcessGUIDs, LogonGUIDs extrahieren? Jemand hat ein kleines PowerShell-Script geschrieben. Vielleicht für den einen oder anderen Leser interessant.
Anzeige
Gut, es ist etwas esoterisch, auf was ich gerade gestoßen bin. In den Sysinternals-Tools gibt es das Programm Sysmon, welches vor einigen Tagen sogar ein Update erhalten hat (siehe Sysinternals: Sysmon V8.0, Autoruns V13.90).
Was ist Sysmon?
System Monitor (Sysmon) ist ein Windows-Systemdienst und Gerätetreiber, der nach der Installation auf einem System über Systemneustarts hinweg resident bleibt, um die Systemaktivität zu überwachen und im Windows-Ereignisprotokoll zu protokollieren. Das Tool liefert detaillierte Informationen über die Erstellung von Prozessen, Netzwerkverbindungen und Änderungen der Dateierstellungszeit. Administratoren können die Ereignisse, die mit Hilfe von Windows Event Collection oder SIEM-Agenten erzeugt werden, sammeln und anschließend analysieren. Damit lassen sich bösartige oder anomale Aktivitäten erkennen und verstehen.
Parent- u. ProcessGUIDs, LogonGUIDs extrahieren
Matt Graeber, seines Zeichens Sicherheitsspezialist wollte genauer wissen, wie Sysmon Werte wie ProcessGUIDs, ParentProcessGUIDs und die LogonGUIDs ableitet, wie er auf Twitter schreibt.
I always wanted to know how Sysmon ProcessGUIDs, ParentProcessGUIDs, and LogonGUIDs were derived. I did some reversing and figured it out. Here's a quick and dirty parser to extract the embedded data within the GUIDs. Enjoy! #DFIR https://t.co/C7sqz0Hg35 pic.twitter.com/e7v06MFEen
— Matt Graeber (@mattifestation) 8. Juli 2018
Anzeige
Seine Motivation dafür war, dass er die Daten außerhalb von sysmon für Korrelationszwecke benötigte. Er wollte beurteilen, inwieweit ein Angreifer die GUIDs beeinflussen kann.
Also hat er ein wenig gegraben und einen, wie er schreibt, schnellen und schmutzigen Parser entwickelt, um die eingebetteten Daten innerhalb der GUIDs zu extrahieren. Der PowerShell-Code ist auf GitHub abrufbar. Dieser gewährt einige Einblicke in die Windows-Interna. Und wie er ergänzt, weiß er nun auch, dass der erste Teil der GUID persönlich identifizierbare Informationen enthält.
Anzeige
