Χρήση του εργαλείου sysmon για τον εντοπισμό επιθέσεων εσωτερικής μετακίνησης ενός επιτιθέμενου
Windows Sysmon tool for lateral movement alerts
Προβολή/
Λέξεις κλειδιά
Sysmon ; Event ID ; Event logger ; Logs ; Lateral movement ; Εσωτερική μετακίνηση ; Καταγραφέας συμβάντων windows ; Καταγραφέας γεγονότων windows ; Αναγνωριστικό συμβάντος ; Επιτιθέμενος ; ΑμυνόμενοςΠερίληψη
Σε αυτή την διπλωματική εργασία παρουσιάζεται ένας τρόπος εγκατάστασης, παραμετροποίησης και λειτουργίας του Sysmon, το οποίο είναι ένα σύστημα παρακολούθησης συστήματος των windows. Το Sysmon παρέχει λεπτομερείς πληροφορίες σχετικά με τις δημιουργίες διαδικασιών, τις συνδέσεις δικτύου και τις αλλαγές στο χρόνο δημιουργίας των αρχείων. Συλλέγοντας τα συμβάντα που παράγει χρησιμοποιώντας τη συλλογή συμβάντων των Windows ή τους πράκτορες της SIEM και στη συνέχεια την ανάλυση τους, είναι ικανό να εντοπίσει κακόβουλη ή ανώμαλη δραστηριότητα και να καταλάβει πώς λειτουργούν οι εισβολείς και το κακόβουλο λογισμικό στο δίκτυό του συστήματος. Με τη βοήθεια του sysmon θα παρουσιαστούν διάφορα καταγεγραμμένα συμβάντα που εντοπίστηκαν κατά τη διαδικασία εσωτερικής μετακίνησης (Lateral movement) ανάμεσα σε 2 windows 10 συστήματα από τα οποία το ένα έχει το ρόλο του επιτιθέμενου και το άλλο το ρόλο του θύματος. Για να επιτευχθεί το παραπάνω θα παρουσιαστούν τεχνικές προτεινόμενης παραμετροποίησης του sysmon ώστε να κάνει σωστή καταγραφή, τεχνικές προτεινόμενης παραμετροποίησης των αρχείων καταγραφής των windows καθώς κα τα διάφορα εργαλεία που θα χρησιμοποιήσουμε ώστε να επιτύχουμε, να καταγράψουμε και να εντοπίσουμε την εσωτερική μετακίνηση μέσα σε ένα σύστημα.