前言

在不斷變化的網(wǎng)絡(luò)安全環(huán)境中，提前防范威脅是非常重要的。本文將以 Microsoft Office 宏病毒釣魚為例，介紹如何使用 Sysmon 來獲取和分析 Windows 系統(tǒng)日志，揭示隱藏的惡意或異常活動，了解入侵者和惡意軟件如何在網(wǎng)絡(luò)上運(yùn)行。

Sysmon

Sysmon（系統(tǒng)監(jiān)視器）是一項 Windows 系統(tǒng)服務(wù)，用以監(jiān)視系統(tǒng)活動并將其記錄到 Windows 事件日志中。它提供有關(guān)進(jìn)程創(chuàng)建、進(jìn)程篡改、管道連接、注冊表更改等29種類型事件的詳細(xì)信息，可以作為 SIEM 代理的一個重要探針。

Sysmon 的安裝和卸載相當(dāng)簡潔，以管理員身份在命令提示符中執(zhí)行下列命令即可，無需重啟電腦。

sysmon64 -accepteula -i c:windowsconfig.xml  # 指定配置文件安裝          

安裝后事件日志以 xml 格式（可使用 EvtxeCmd.exe 工具轉(zhuǎn)換為 JSON 格式更利于批量分析處理）存儲在中，可通過事件查看器查看詳細(xì)數(shù)據(jù)。剛安裝好 Sysmon 后，就能觀察到許多事件，從詳細(xì)信息里可以簡單看出事件是以進(jìn)程為單位，以配置文件作為規(guī)則進(jìn)行記錄的。日志中包含進(jìn)程中創(chuàng)建的進(jìn)程及完整命令、進(jìn)程映像文件的哈希、記錄驅(qū)動程序或 DLL 的加載、記錄磁盤和卷的讀取訪問、文件變更等詳細(xì)數(shù)據(jù)。事件與事件之間可以根據(jù)父子進(jìn)程關(guān)系、執(zhí)行命令的鏡像文件或進(jìn)程 ID 進(jìn)行關(guān)聯(lián)。

默認(rèn)的配置文件生成的日志非常多，不利于觀察分析。筆者在網(wǎng)上找到了他人分享的 Sysmon 配置文件，可以過濾掉大量無用事件。當(dāng)然，個人實(shí)際使用時還要根據(jù)主機(jī)環(huán)境和待檢測的場景進(jìn)行額外的適配工作，還可以基于事件ID進(jìn)一步過濾，只留下比較關(guān)注的日志信息。

宏病毒

宏即指令集，是指將多個連續(xù)操作指令合并為單個指令并執(zhí)行的功能。宏通常用于自動化和簡化復(fù)雜的任務(wù)，可以通過簡單的指令來執(zhí)行一系列復(fù)雜的操作。

如果黑客在宏中嵌入了惡意代碼，這樣的宏就被稱為宏病毒。大部分宏病毒都針對 Microsoft Office 等 Windows 平臺下的文檔。這是因為 Microsoft Office 在 Windows 操作系統(tǒng)上是非常普遍和常用的辦公軟件套件，支持宏功能，并且用戶廣泛使用 Office 文檔進(jìn)行日常工作。因此，黑客往往會選擇針對這些常見的文檔格式編寫宏病毒，以便更容易地傳播惡意代碼。

示例1

Sub AutoOpen()          

示例2

Private Sub Workbook_Open()          

支持宏的常用文件包括：

Microsoft Word文檔（.doc .docm .docx .dot .dotm等）          

當(dāng)前 Microsoft Office 版本默認(rèn)禁止了宏的自動運(yùn)行，除非用戶手動啟用，這顯著降低了宏病毒的感染率?，F(xiàn)代防病毒軟件和郵件網(wǎng)關(guān)通常也能夠檢測并阻止含有惡意宏的文件。

盡管防護(hù)措施增強(qiáng)，宏病毒仍在使用，特別是在針對特定組織或個人的定向攻擊（如釣魚攻擊）中。攻擊者會誘導(dǎo)用戶啟用宏以執(zhí)行惡意代碼。例如，通過社會工程手段，攻擊者可能聲稱啟用宏是查看文檔內(nèi)容所必需的?；蚴窃谂f版 Office 或未更新的系統(tǒng)中，宏病毒能夠輕易地發(fā)揮作用。本文以宏病毒攻擊為例，介紹如何使用 Sysmon 識別和分析 Windows 操作系統(tǒng)上的惡意活動。

檢測分析

基于 Office 宏病毒攻擊，攻擊者可能采取各式各樣的利用方式，當(dāng)然最直接的是釣魚。本文我們使用 Office 宏文件進(jìn)行釣魚測試，釣魚文件可以基于工具 msfconsole 生成，同時 Kali 上使用reverse_tcp 等待反連。這一部分不詳細(xì)贅述，讓我們直接來看 Sysmon 的日志記錄。

Sysmon 在這一過程中記錄的日志是比較多的，和 Office 宏文件釣魚直接相關(guān)的存在以下兩個事件：

1.創(chuàng)建進(jìn)程

2624號（PID）進(jìn)程創(chuàng)建了7336號進(jìn)程。在（Microsoft Word應(yīng)用程序）打開時創(chuàng)建了（宏中定義的隨機(jī)名稱）作為子進(jìn)程。這顯示W(wǎng)ord文檔中的宏功能被觸發(fā)，導(dǎo)致執(zhí)行了外部程序或腳本。

2.網(wǎng)絡(luò)連接

7336號進(jìn)程中執(zhí)行了 TCP 網(wǎng)絡(luò)連接，訪問192.168.21.129的4444端口。這表明實(shí)際命令得到執(zhí)行，靶機(jī)主動回連，遠(yuǎn)控成功執(zhí)行，192.168.21.129主機(jī)獲得了本機(jī)的shell。

至此，分析結(jié)束。

總結(jié)

本次實(shí)驗中， Sysmon 對于 Windows 事件的記錄是比較完整的，提供了一個可靠的進(jìn)程行為日志和一個可用的主機(jī)溯源方法。不過也能看出其中存在兩個問題，一是 Sysmon 產(chǎn)生的日志量比較大，需要合適的配置文件進(jìn)行日志過濾；二是 Sysmon 本身不具備對其生成事件的分析能力，需要對接分析工具或 SIEM 平臺。

審核編輯 黃宇