{"id":206331,"date":"2018-07-09T00:50:00","date_gmt":"2018-07-08T22:50:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206331"},"modified":"2018-07-08T21:50:56","modified_gmt":"2018-07-08T19:50:56","slug":"sysmon-processguids-parentprocessguids-logonguids-extrahieren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/07\/09\/sysmon-processguids-parentprocessguids-logonguids-extrahieren\/","title":{"rendered":"Sysmon: ProcessGUIDs, ParentProcessGUIDs, LogonGUIDs extrahieren"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Wie kann man die von Sysmon ermittelten Daten wie ProcessGUIDs, ParentProcessGUIDs, LogonGUIDs extrahieren? Jemand hat ein kleines PowerShell-Script geschrieben. Vielleicht f\u00fcr den einen oder anderen Leser interessant.<\/p>\n<p><!--more--><\/p>\n<p>Gut, es ist etwas esoterisch, auf was ich gerade gesto\u00dfen bin. In den Sysinternals-Tools gibt es das Programm Sysmon, welches vor einigen Tagen sogar ein Update erhalten hat (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/07\/06\/sysinternals-sysmon-v8-0-autoruns-v13-90\/\">Sysinternals: Sysmon V8.0, Autoruns V13.90<\/a>). <\/p>\n<h2>Was ist Sysmon?<\/h2>\n<p>System Monitor (Sysmon) ist ein Windows-Systemdienst und Ger\u00e4tetreiber, der nach der Installation auf einem System \u00fcber Systemneustarts hinweg resident bleibt, um die Systemaktivit\u00e4t zu \u00fcberwachen und im Windows-Ereignisprotokoll zu protokollieren. Das Tool liefert detaillierte Informationen \u00fcber die Erstellung von Prozessen, Netzwerkverbindungen und \u00c4nderungen der Dateierstellungszeit. Administratoren k\u00f6nnen die Ereignisse, die mit Hilfe von Windows Event Collection oder SIEM-Agenten erzeugt werden, sammeln und anschlie\u00dfend analysieren. Damit lassen sich b\u00f6sartige oder anomale Aktivit\u00e4ten erkennen und verstehen.<\/p>\n<h2>Parent- u. ProcessGUIDs, LogonGUIDs extrahieren<\/h2>\n<p>Matt Graeber, seines Zeichens Sicherheitsspezialist wollte genauer wissen, wie Sysmon Werte wie ProcessGUIDs, ParentProcessGUIDs und die LogonGUIDs ableitet, wie er auf Twitter schreibt. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">I always wanted to know how Sysmon ProcessGUIDs, ParentProcessGUIDs, and LogonGUIDs were derived. I did some reversing and figured it out. Here's a quick and dirty parser to extract the embedded data within the GUIDs. Enjoy! <a href=\"https:\/\/twitter.com\/hashtag\/DFIR?src=hash&amp;ref_src=twsrc%5Etfw\">#DFIR<\/a> <a href=\"https:\/\/t.co\/C7sqz0Hg35\">https:\/\/t.co\/C7sqz0Hg35<\/a> <a href=\"https:\/\/t.co\/e7v06MFEen\">pic.twitter.com\/e7v06MFEen<\/a><\/p>\n<p>\u2014 Matt Graeber (@mattifestation) <a href=\"https:\/\/twitter.com\/mattifestation\/status\/1015748125221314560?ref_src=twsrc%5Etfw\">8. Juli 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Seine Motivation daf\u00fcr war, dass er die Daten au\u00dferhalb von sysmon f\u00fcr Korrelationszwecke ben\u00f6tigte. Er wollte beurteilen, inwieweit ein Angreifer die GUIDs beeinflussen kann.<\/p>\n<p>Also hat er ein wenig gegraben und einen, wie er schreibt, schnellen und schmutzigen Parser entwickelt, um die eingebetteten Daten innerhalb der GUIDs zu extrahieren. Der PowerShell-Code ist <a href=\"https:\/\/gist.github.com\/mattifestation\/0102042160c9a60b2b847378c0ef70b4\" target=\"_blank\">auf GitHub<\/a> abrufbar. Dieser gew\u00e4hrt einige Einblicke in die Windows-Interna. Und wie er erg\u00e4nzt, wei\u00df er nun auch, dass der erste Teil der GUID pers\u00f6nlich identifizierbare Informationen enth\u00e4lt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wie kann man die von Sysmon ermittelten Daten wie ProcessGUIDs, ParentProcessGUIDs, LogonGUIDs extrahieren? Jemand hat ein kleines PowerShell-Script geschrieben. Vielleicht f\u00fcr den einen oder anderen Leser interessant.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,143,301],"tags":[4328,4351,4325],"class_list":["post-206331","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-tipps","category-windows","tag-sicherheit","tag-tipp","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206331","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=206331"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206331\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=206331"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=206331"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=206331"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}