Sysmon

Il 7 agosto 2014 è stata rilasciato Sysmon una nuova utility della collezione Windows Sysinternals in grado di eseguire il monitoraggio delle attività chiave del sistema e registrarle nel registro eventi fornendo informazioni dettagliate circa la creazione di processi, le connessioni di rete e la creazione di file. Il 18 agosto 2014 è stata rilasciata la versione 1.01 del tool

Grazie all’installazione di Sysmon è quindi possibile identificare l’eventuale presenza sul sistema di malware o di tentativi di attacco ed eseguire correlazioni tra gli eventi per tracciare quali azioni vengono svolte sulla rete.

Scendendo nel dettaglio Sysmon utilizza Windows Event Collection o agenti SIEM per raccogliere le informazioni del sistema in modo che possano essere analizzati successivamente. Va però specificato che il tool non si occupa di eseguire l’analisi dei dati raccolti e non fornisce protezione da attacchi o malware.

Di seguito le operazioni che Sysmon è in grado di svolgere:

  • Log della creazione di processi con comand line completa sia per il processo corrente che per i processi padre
  • Registrazione dell’hash dell’immagine del processo tramite SHA1 (default), MD5 o SHA256
  • Registrazione della GUID del processo per consentire la correlazione degli eventi anche nel caso Windows riutilizzi gli stessi ID per processi diversi
  • Opzione per la registrazione delle connessioni di rete memorizzando processo sorgente, indirizzo IP, porta, hostname e port name
  • Rilevamento della creazione di file registrando il momento esatto in l’operazione avviene e non utilizzando la data di creazione del file che potrebbe essere modificata da un malware
  • Registrazioni degli eventi già dalle prime fasi del boot per memorizzare le attività eseguite anche da malware operanti in Kernel mode

In sistemi Windows Vista e successivi gli ebeti vengono registrati in Applications and Services Logs/Microsoft/Windows/Sysmon/Operational del registro eventi, mentre nei sistemi precedenti nel registro eventi di Sistema. Gli eventi vengono registrati con timestamp in UTC standard time e vengono utilizzati i seguenti ID:

  • ID 1: Creazione processo
  • ID 2: Modifica dell’ora di creazione di una file da parte di un processo
  • ID 3: Connessione di rete tramite protocolli TCP o UDP

Per il suo funzionamento Sysmon installa un servizio (Sysmon relativo all’eseguibile %windir%\Sysmon.exe) e un driver (%windir%\SysmonDrv.sys), l’installazione può essere eseguita tramite il seguente comando che evita la visualizzazione delle condizioni di licenza accettandole automaticamente (-accepteula), registra le connessioni di rete (-n) e per default utilizza SHA1 per la registrazione dell’hash dei processi:

sysmon -i -accepteula -n

E’ possibile modificare la configurazione di Symon una volta istallato tramite l’opzione -c, di seguito alcuni esempi :

  • Utilizzo di SHA256 per la registrazione dell’hash dei processi: sysmon -c -h sha256
  • Ripristino delle condizioni di default (utilizzo di SHA1 per la registrazione dell’hash dei processi e connessioni di rete non registrate: sysmon -c —

2014-09-05-Sysmon-01

Come indicato sia l’installazione che la disinstallazione (sysmon -u) del driver e del servizio non richiedono il riavvio del sistema, ma ovviamente sono necessari i privilegi amministrativo.

Sysmon può risultare particolarmente utile sia nelle piccole realtà con un ridotto numero di computer gestiti con un antivirus gratuito come Microsoft Security Essentials (integrato in Windows 8 e 8.1 nativamente) come sistema per idenficare eventuali problemi di sicurezza, che su computer non presidiati ed esposti in internet (si pensi a chioschi o a server web, RDS) in scenari in cui non vi sia il budget per l’adozione di IDS (Intrusion Detection System).

 

Al momento Sysmon non viene eseguito su Windows XP in quanto il driver utilizza chiamate due chiamate API KeEnterGuardedRegion e KeLeaveGuardedRegion disponibili solo in Windows Server 2003 e successivi, per un’analisi dettagliata si veda il post Sysmon failing to install on XP Embedded.