Linux Sysmon

Ben Ubuntu dağıtımı üzerinde Sysmon'u kurmayı planlıyorum. Eğer siz farklı bir Linux dağıtımı üzerinde bunu yapacaksanız aşağıdaki linkteki adımları takip edebilirsiniz. https://github.com/Sysinternals/SysmonForLinux/blob/main/INSTALL.md

O halde Sysmon kurulumuna başlayalım.

1.

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb

2.

sudo dpkg -i packages-microsoft-prod.deb

3.

sudo apt-get update

4.

sudo apt-get install sysmonforlinux

Eğer bu aşamada aşağıdaki hatayı alıyorsanız bir sonraki adımı deneyiniz.

5. Not: Yanlızca 4. aşamada hata alırsanız bu aşamayı deneyiniz.

sudo apt-get install sysmonforlinux --fix-broken

Bu noktada Sysmon kurulmuş oldu ancak sysmon bir de config dosyası ile çalışmakdır. İlgili config dosyasında da sysmon'un hangi logları toplayacağı belirtilmektedir. Temel bir Sysmon Config dosyasını aşağıdaki linkten edinebilirsiniz. https://gist.github.com/olafhartong/56bfbbe1a43ba675fdf5b9f194d608af

Ardından ilgili komut ile config dosyamızı import edebiliriz.

sysmon -accepteula -i sysmon-linux-sample-config.xml

Bu aşamadan sonra Sysmon loglarını kendi log dosyasına yazmaya başlamaktadır. Yazdığı logları gerçek zamanlı olarak görmek için ise aşağıdaki komutu kullanabiliriz.

tail -f /var/log/syslog

Örnek bir logu incelememiz gerekirse, gördüğümüz gibi Event ID olara 3 gözükmekte. Event ID 3 ise, bir TCP connection'un başlatıldığı anlamına gelmektedir. Bunu yanında bu log özelinde; ->Kullanılan protokol, ->Hangi User ile yapıldığı, ->Bağlantının başarı ile kurulup kurulamadığı, ->Source IP, Source Port, Dest IP, Dest Port bilgileri, Gibi bilgiler bizlere sağlanmaktadır.

Bunun yanında diğer Event ID'lerin ne anlama geldiği hakkındaki bilgiye de aşağıdaki tablodan erişebilirsiniz.

ID
Tag
Event

1

ProcessCreate

Process Create

2

FileCreateTime

File creation time

3

NetworkConnect

Network connection detected

4

n/a

Sysmon service state change (cannot be filtered)

5

ProcessTerminate

Process terminated

6

DriverLoad

Driver Loaded

7

ImageLoad

Image loaded

8

CreateRemoteThread

CreateRemoteThread detected

9

RawAccessRead

RawAccessRead detected

10

ProcessAccess

Process accessed

11

FileCreate

File created

12

RegistryEvent

Registry object added or deleted

13

RegistryEvent

Registry value set

14

RegistryEvent

Registry object renamed

15

FileCreateStreamHash

File stream created

16

n/a

Sysmon configuration change (cannot be filtered)

17

PipeEvent

Named pipe created

18

PipeEvent

Named pipe connected

19

WmiEvent

WMI filter

20

WmiEvent

WMI consumer

21

WmiEvent

WMI consumer filter

22

DNSQuery

DNS query

23

FileDelete

File Delete archived

24

ClipboardChange

New content in the clipboard

25

ProcessTampering

Process image change

26

FileDeleteDetected

File Delete logged

27

FileBlockExecutable

File Block Executable

28

FileBlockShredding

File Block Shredding

29

FileExecutableDetected

File Executable Detected

Table Source: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

Şimdi ise zararlı bir dosyanın Linux üzerinde ne gibi aktivitelerde bulunduğunu Sysmon ile gözlemleyelim.

Loglara baktığımızda 23 ID'li bazı eventler görmekteyiz. Yukarıdaki tablodan da teyit edebileceğimiz gibi 23 nuamralı event ID, dosya silme anlamı ifade etmektedir. Silinen dosyalardan bazılarına baktığımızda ise reboot, shutdown, halt, poweroff gibi binary dosyalarıdır. Zararlının bunları silmesinin sebebi, endpoint üzerindeki kontrolünü arttırmak, endpoint'in kapatılmasını, yeniden başlatılmasını engellemek olabilir.

Logları incelemeye devam ettiğimizde ise çok sayıda 3 ID'li event'in oluştuğunu görüyoruz.

Farklı IP'lere TCP bağlantılarının ilk paketi olan SYN paketlerinin gönderildiği gözlemlenmektedir.

Yani bu zararlı görünüşe göre sistem yöneticisinin ya da endpoint sahibinin virüs enfeksiyonu sonrasında sistemi reboot edebilmesi ve kapatabilmesi gibi fonsiyonlarına erişememesi sağlama ve bunun ardında çok sayıda farklı IP'ye TCP handshake başlatarak bulunduğu host'un band genişliğini doldurmak ve sistem belleğini kullanmak üzere kaynak tüketimini arttırmayı hedefliyor olabilir. Çünkü bir SYN paketinin memory'dek boyutu yaklaşık olarak 62 byte'dır.

Sonuç olarak Windows endpoint'lerde yapabileceğimiz gibi Linux endpointlerde de Sysmon ile aktiviteleri inceleyip zararlı aktiviteler için bir görünürlük katmanı sağlayabiliriz.

Kaynaklar https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon https://github.com/Sysinternals/SysmonForLinux/blob/main/INSTALL.md

PreviousMalware Hunting using Procmon and ProcexpNextReverse Engineering

Last updated