Sysmon
Il 7 agosto 2014 è stata rilasciato Sysmon una nuova utility della collezione Windows Sysinternals in grado di eseguire il monitoraggio delle attività chiave del sistema e registrarle nel registro eventi fornendo informazioni dettagliate circa la creazione di processi, le connessioni di rete e la creazione di file. Il 18 agosto 2014 è stata rilasciata la versione 1.01 del tool
Grazie all’installazione di Sysmon è quindi possibile identificare l’eventuale presenza sul sistema di malware o di tentativi di attacco ed eseguire correlazioni tra gli eventi per tracciare quali azioni vengono svolte sulla rete.
Scendendo nel dettaglio Sysmon utilizza Windows Event Collection o agenti SIEM per raccogliere le informazioni del sistema in modo che possano essere analizzati successivamente. Va però specificato che il tool non si occupa di eseguire l’analisi dei dati raccolti e non fornisce protezione da attacchi o malware.
Di seguito le operazioni che Sysmon è in grado di svolgere:
- Log della creazione di processi con comand line completa sia per il processo corrente che per i processi padre
- Registrazione dell’hash dell’immagine del processo tramite SHA1 (default), MD5 o SHA256
- Registrazione della GUID del processo per consentire la correlazione degli eventi anche nel caso Windows riutilizzi gli stessi ID per processi diversi
- Opzione per la registrazione delle connessioni di rete memorizzando processo sorgente, indirizzo IP, porta, hostname e port name
- Rilevamento della creazione di file registrando il momento esatto in l’operazione avviene e non utilizzando la data di creazione del file che potrebbe essere modificata da un malware
- Registrazioni degli eventi già dalle prime fasi del boot per memorizzare le attività eseguite anche da malware operanti in Kernel mode
In sistemi Windows Vista e successivi gli ebeti vengono registrati in Applications and Services Logs/Microsoft/Windows/Sysmon/Operational del registro eventi, mentre nei sistemi precedenti nel registro eventi di Sistema. Gli eventi vengono registrati con timestamp in UTC standard time e vengono utilizzati i seguenti ID:
- ID 1: Creazione processo
- ID 2: Modifica dell’ora di creazione di una file da parte di un processo
- ID 3: Connessione di rete tramite protocolli TCP o UDP
Per il suo funzionamento Sysmon installa un servizio (Sysmon relativo all’eseguibile %windir%\Sysmon.exe) e un driver (%windir%\SysmonDrv.sys), l’installazione può essere eseguita tramite il seguente comando che evita la visualizzazione delle condizioni di licenza accettandole automaticamente (-accepteula), registra le connessioni di rete (-n) e per default utilizza SHA1 per la registrazione dell’hash dei processi:
sysmon -i -accepteula -n
E’ possibile modificare la configurazione di Symon una volta istallato tramite l’opzione -c, di seguito alcuni esempi :
- Utilizzo di SHA256 per la registrazione dell’hash dei processi: sysmon -c -h sha256
- Ripristino delle condizioni di default (utilizzo di SHA1 per la registrazione dell’hash dei processi e connessioni di rete non registrate: sysmon -c —
Come indicato sia l’installazione che la disinstallazione (sysmon -u) del driver e del servizio non richiedono il riavvio del sistema, ma ovviamente sono necessari i privilegi amministrativo.
Sysmon può risultare particolarmente utile sia nelle piccole realtà con un ridotto numero di computer gestiti con un antivirus gratuito come Microsoft Security Essentials (integrato in Windows 8 e 8.1 nativamente) come sistema per idenficare eventuali problemi di sicurezza, che su computer non presidiati ed esposti in internet (si pensi a chioschi o a server web, RDS) in scenari in cui non vi sia il budget per l’adozione di IDS (Intrusion Detection System).
Al momento Sysmon non viene eseguito su Windows XP in quanto il driver utilizza chiamate due chiamate API KeEnterGuardedRegion e KeLeaveGuardedRegion disponibili solo in Windows Server 2003 e successivi, per un’analisi dettagliata si veda il post Sysmon failing to install on XP Embedded.
Interessante , scaricato e provato ad installarlo …ma non si installa ..mi propone sempre le istruzioni di come si installa, anche copiando dal sito MS. i comandi completi ..cmd in modalità amministrativa win 7 x64 ..avast come anti vir…
Saluti
Se hai copiato e incollato i comandi d’installazione dal mio post potrebbe essere che vi siano dei carateri non validi, prova a digitare il comando d’installazione
….ti ringrazio…ma già provato nessun cambiamento, nessuna segnalazione in registro eventi di anomalo..semplicemente non fà nada :-)…appena posso faccio un reboot e vedo ..grazie
..trovato..abbisogna dell’installazione di base… senza altri switch : sysmon.exe -i allora parte l’installazione..saluti
Grazie del feedback, non vorrei che il problema fosse legato allo switch -accepteula che onestamente non ho utilizzato.
Specificando sysmon -i -n non ti funziona?
si utilizzando -i -n il prodotto si installa, inoltre dopo la prima installazione accettando eula .. nelle successive dinstallazione dopo relativa disinstallazione, la stessa non é piu richiesta.
Saluti
..addendum..inoltre una volta installato anche il controllo di rete tramite -n non puoi rimuovere il controllo se non disinstallando sysmon e reinstallandolo in modalità base, io pensavo che lo switch -c unito a -n installava e ripetendolo lo disinstallava ..ma non é così..;-) o forse o mal interpretato.
saluti
Confermo che l’accettazione dell’EULA è necessaria solo la prima volta che si utilizza il tool dal momento che di fatto sono le condizioni di licenza…
Il flag -c per il momento permette di aggiungere opzioni per toglierle puoi reimpostare alle condizioni di default con sysmon -c — (due volte -)