Systinternals Sysmon: Logging von suspekten Systemaktivitäten

    Die Sammlung der kostenlosen Sysinternals-Werkzeuge erhält ein neues Tool: Sysmon dient dazu, Informationen über die Generierung von Prozessen und Netzverbindungen sowie Änderungen des Dateidatums zu protokollieren. Sie können Aufschluss über Angriffe oder Aktivitäten von Malware geben.

    Die in Log-Dateien gespeicherten Informationen eignen sich nicht nur zur nachträglichen Suche nach den Ursachen von aufgetretenen Fehlern. Vielmehr versucht die relativ neue Kategorie der SIEM-Tools, die mitgeschnittenen Informationen möglichst in Echtzeit auf verdächtige Muster zu prüfen und den Administrator zu alarmieren, falls es solche erkennen kann.

    Erweitertes Logging durch Sysmon

    Das neueste Mitglied in der Sysinternals-Sammlung erfüllt solche weitergehenden Anforderungen jedoch nicht. Vielmehr kann man darin eine Ergänzung bzw. Erweiterung zu den Windows-eigenen Auditing-Fähigkeiten sehen, die sich über Gruppenrichtlinien zentral festlegen lassen (Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Überwachungs­richtlinie).

    Mithin reichert Sysmon das Eventlog um zusätzliche Informationen an, dazu zählen:

    • Erzeugung von Prozessen und Elternprozessen inklusive Kommandozeile
    • Speichern eines Hashes für die Abbilddatei eines Prozesses
    • Eine eigene GUID, um Zusammenhänge zwischen Prozessen herstellen zu können, wenn Windows Prozess-IDs wiederverwenden sollte
    • Infos zu Netzwerkverbindungen, darunter den Ursprungsprozess, IP-Adressen, Portnummern, Host- und Portnamen
    • Veränderungen des Erstellungsdatums von Dateien
    • Events auch aus frühen Phasen des Boot-Vorgangs

    Sysmon zeichnet unter anderem auch auf, wenn ein Prozess das Erstellungsdatum einer Datei ändert.

    Nachdem Sysmon für die forensische Analyse dieser Daten nicht zuständig ist, könnte man sie zu diesem Zweck in ein SIEM-Tool füttern. Wenn man schon einem bestimmten Verdacht nachgehen möchte, dann kommt auch der Einsatz von Windows-Bordmitteln in Frage. In der Regel ist die schwerfällige Ereignisanzeige dabei keine große Hilfe, dafür bietet PowerShell eine Reihe von Cmdlets zur Auswertung der Events. Carlos Perez exerziert in diesem Blog-Beitrag durch, wie man dabei vorgehen könnte.

    Installation und Verwendung

    Wie bei den meisten Sysinternals-Programmen fällt auch bei Sysmon der Download sehr schlank aus. Die einzige Datei neben der eula.txt ist sysmon.exe, deren Ausführung zur Installation des Tools als Windows-Service führt. Dazu ist allerdings der Schalter -i notwendig, den man um weitere Argumente ergänzen kann. Dazu zählt besonders -n, um das optionale Logging von Netzwerkaktivitäten einzuschalten:

    sysmon -i -n

    Sobald sich das Programm als Service eingerichtet und gestartet hat, beginnt es mit der Aufzeichnung der gewünschten Informationen. Dies erfolgt unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Sysmon => Operational.

    Die wenigen möglichen Einstellungen, neben dem Netzwerk-Monitoring ist das primär die Wahl des Hash-Algorithmus, lassen sich zur Laufzeit mit dem Schalter -c ändern. Führt man hier keine weiteren Argumente an, dann zeigt das Tool nur seine aktuelle Konfiguration an. Dagegen lässt sie sich mit

    sysmon –c --

    auf den Standard zurücksetzen.

    Sysmon kann kostenlos von Microsofts TechNet-Website heruntergeladen werden.

    Keine Kommentare